Hallo!

Erstmal vorab sorry für allfällige dumme Fragen oder Fehler - ich bin ein absoluter PC-Dau.

Betriebssystem: Vista Home Premium.

Ich war heute in einem Forum unterwegs, als ich beim Betrachten der dortigen Bildergalerie eine Meldung von meinem AVG bekam - Trojaner. Ich bekam erstmal Panik und hab die Werbung natürlich prompt weggeklickt, kann sie also nicht aufschreiben, sorry. Kurz darauf bekam ich eine zweite Meldung, auch diese Datei wurde sofort gelöscht. Die befallene Datei war eine schon länger auf meinem PC installierte Bildschirmschonerdatei, die ich mir vor vielen Monaten mal runtergeladen hatte. Kann mir nicht vorstellen, dass diese schon immer infiziert war. Ich hab die restlichen Dateien manuell gelöscht.
Der Trojaner nennt sich wohl backdoor.generic10.fql, wobei ich bei Google gar nichts dazu gefunden habe, was mich schon etwas irritiert.

Ich habe hinterher einen Komplettscan gemacht sowie einen Onlinescan bei einem anderen Anbieter, ohne dass was gefunden wurde.

Nun wurde ich vom Betreiber des Forums, den ich über den Vorfall informiert habe, gebeten, das Logfile zu schicken. Frage ist nun - wie mache ich das bei AVG? Ich habe wohl den Speicherort der Logdateien gefunden, allerdings sind es vom heutigen Tag bereits 12 und ich kann damit gar nichts anfangen.
Was braucht der Betreiber, um was damit anfangen zu können?
HiJackThis-Files bringen ja nur bei einer akuten Infektion was, oder? Die lassen doch auch keine Rückschlüsse auf den Ursprung der Infektion zu?

Danke schon mal im Voraus für jede Hilfe.

Hallöle Marika

Der Bildschirmschoner war sogar mit Sicherheit damals schon infiziert. Du solltest vorsichtiger werden was du dir im Netz so runter lädst..

Da du dir einen Backdoor eingefangen hast musst du den Rechner platt machen.

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!