Hallo alle zusammen, ich möchte euch mal von einer lustigen bzw. tragischen Geschichte berichten.
Ich habe ein Heimnetzwerk von vier Rechnern, die über einen Router mit integrierter Firewall verbunden sind. Das WLAN-Netzwerk wird mit WPA (TKIP) verschlüsselt. Zusätzlich ist ein NAS200 mit zwei Platten, die regelmäßig spiegeln und Backups machen installiert. Alle Rechner sind mit der Routersoftware und mit der aktuellen Avira Antivirsoftware ausgestattet.
Auf Updates wird geachtet.

Hier beginnt die Geschichte:
Rechner eins (3 Jahre alt) hat zwei IDE Festplatten auf denen 200 GB Familienfotos und videos gespeichert sind. Der Rechner geht kaputt.
Das System ist immer hoch und wieder runtergefahren mit Blue Screen.
Abgesicherter Modus und Reperaturinstallation haben nicht funktioniert.
Meinem Vater hats gereicht, er hat sich einen neuen Rechner zugelegt.
Die Daten konnten durch einen Bekannten aus der Computerbrache gerettet werden. Auf der Windowsfestplatte war die Partitionstabelle kaputt.

Rechner zwei (zwei Jahre alter Highend-Rechner) wird immer langsamer, er fährt nichtmehr runter, man kann kein Programm starten, selbst der shutdown Befehl funktioniert nicht. Grafikkarte und RAM hab ich ausgetauscht, funktioniert trotzdem nicht. Ich habe den Verdacht, dass die RAM-Blöcke im Dutt sind, deswegen hab ich Ubuntu runtergeladen und werd bald nen MEM-Test machen. Zwischenzeitig hatte ich die Windowsfestplatte von Rechner 1 drin, hat aber nicht funktioniert.

Jetzt die Krönung:
Zur Sicherheit wollte ich heute die geretteten Daten von Rechner 1 auf die Netzwerkfestplatte kopieren und siehe da das Ding ist lehr, vorher waren 150 GB anderer Daten drauf. Zwei eingerichtete Benutzerprofile waren weg. Die Software für den NAS200 hat mir angezeigt das Disk 2 nicht formatiert ist. Das Teil hat allerdings bis gestern noch gearbeitet. Hab mich sofort mit dem Kundendienst des Herstellers in Verbindung gesetzt, der hat mir gesagt ich soll Disk 2 formatieren, toll auch. Die zwei Festplatten hab ich an meinen Rechner angeschlossen, Ergebniss sie sind unpartioniert und zu 100% lehr.
Hab jetzt wieder unseren Bekannten kontaktiert, der bekommt die beiden Festplatten im LAufe der Woche.


Ich habe nun zwei Fragen an diese Forengemeinschaft:

1. Was für Möglichkeiten gibt es ein Heimnetzwerk und die vorhandenen Daten noch sicherer zu machen?
2. Gibt es irgendeinen Virus, der soviel zerstören kann, oder war es sogar ein Hacker, der die Netzwerkfestplatte formatiert hat (Diese war über DynamikDNS über das Internet zu erreichen)?

Was meint ihr ist das einfach nur böser Zufall, dasss soviel in 3 Wochen passiert? Tipps und Hinweise sind sehr Willkommen.


Aus lauter Panik hab ich jetzt meinen Rechner auf Herz und Nieren geprüft:

HiJack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:40, on 21.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ares] "C:\Programme\Ares\Ares.exe" -h
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: RemoteShutDown Service (RemShutDownSvc) - Unknown owner - C:\WINDOWS\System32\remsdnsv.exe

--
End of file - 5361 bytes


AntiVir:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 21. November 2008 19:49

Es wird nach 1044087 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: COMP

Versionsinformationen:
BUILD.DAT : 8.2.0.336 16933 Bytes 30.10.2008 11:40:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.7.2008 17:19:46
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.7.2008 17:19:45
LUKE.DLL : 8.1.4.5 164097 Bytes 18.7.2008 17:19:46
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.7.2008 17:19:46
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 19:54:52
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 9.11.2008 20:47:39
ANTIVIR2.VDF : 7.1.0.89 221184 Bytes 16.11.2008 20:47:35
ANTIVIR3.VDF : 7.1.0.116 134144 Bytes 20.11.2008 20:47:38
Engineversion : 8.2.0.34
AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 20:22:05
AESCRIPT.DLL : 8.1.1.15 332156 Bytes 11.11.2008 20:47:41
AESCN.DLL : 8.1.1.5 123251 Bytes 7.11.2008 20:48:11
AERDL.DLL : 8.1.1.3 438645 Bytes 5.11.2008 20:49:16
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 20:47:41
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 7.11.2008 20:48:10
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 7.11.2008 20:48:09
AEHELP.DLL : 8.1.2.0 119159 Bytes 18.11.2008 20:47:37
AEGEN.DLL : 8.1.1.4 319861 Bytes 18.11.2008 20:47:37
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 20:22:00
AECORE.DLL : 8.1.5.0 172407 Bytes 18.11.2008 20:47:36
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 20:21:59
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.7.2008 17:19:46
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.7.2008 17:19:45
AVREP.DLL : 8.0.0.2 98344 Bytes 31.7.2008 22:57:40
AVREG.DLL : 8.0.0.1 33537 Bytes 18.7.2008 17:19:45
AVARKT.DLL : 1.0.0.23 307457 Bytes 18.4.2008 20:16:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.7.2008 17:19:45
SQLITE3.DLL : 3.3.17.1 339968 Bytes 18.4.2008 20:16:19
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.7.2008 17:19:46
NETNT.DLL : 8.0.0.1 7937 Bytes 18.4.2008 20:16:19
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.7.2008 17:19:43
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.7.2008 17:19:44

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 21. November 2008 19:49

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'locator.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FwebProt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FritzDsl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '57' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Volume>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jahncke\Desktop\go\mtxl1493_fullsetup.rar
[0] Archivtyp: RAR
--> mtxl1493_fullsetup.exe
[FUND] Ist das Trojanische Pferd TR/Agent.1877531
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Jahncke\Lokale Einstellungen\Anwendungsdaten\CurseClient\wowdb.dll
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\RECYCLER\S-1-5-21-484763869-1972579041-839522115-1003\Dc29.exe\FiFA 08 Crack.exe
[0] Archivtyp: NSIS
--> [TempDir]/is159426.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{0ACC7B31-2F4C-45B9-A473-4839D411C64F}\RP229\A0046974.exe
[0] Archivtyp: NSIS
--> [TempDir]/is159426.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{0ACC7B31-2F4C-45B9-A473-4839D411C64F}\RP230\A0050988.dll
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{0ACC7B31-2F4C-45B9-A473-4839D411C64F}\RP230\A0050990.exe
[0] Archivtyp: NSIS
--> [TempDir]/is159426.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Freitag, 21. November 2008 20:59
Benötigte Zeit: 1:09:21 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

11306 Verzeichnisse wurden überprüft
581003 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
6 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
580996 Dateien ohne Befall
6222 Archive wurden durchsucht
1 Warnungen
6 Hinweise

Zitat:

C:\RECYCLER\S-1-5-21-484763869-1972579041-839522115-1003\Dc29.exe\FiFA 08 Crack.exe

Ist erst seit zwei Tagen drauf und wurde schon gelöscht.

edit: Ich hab mir gerade so gedacht da ich den Trojaner Dropper.Gen drauf hatte, kann es sein das jemand die Passwörter vom NAS200 aufgezeichnet und diesen Mist mit der Netzwerkfestplatte angestellt hat?

Zitat:

Zitat von Jacko1985

Ist erst seit zwei Tagen drauf und wurde schon gelöscht.

Sowas sollte überhaupt nicht auf dem System sein.
Wurde das Ding ausgeführt?

ja, aber die Probleme mit den Rechnern waren vorher schon.