Zitat:

noch zwei weitere Rechner habe (unter anderem, der von dem ich schreibe)

sind die ordentlich gepatch? ALso garantiert alle Windows Patche eingespielt? Service Pack 3?
Sind Netzwerkfreigaben vorhanden?
Wenn die Rechner nicht ordentlich gepatcht sind und/oder Netzwerfreigaben vorhanden sind besteht ein extrem großes Risiko!!!!

Zitat:

Ich dachte hier erst einmal an Wireshark, wobei es natürlich schwierig ist vom versuchten System aus damit zu agieren.

in der Tat bringt das vom infizierten System aus garnichts!
Du könntest einen TestRechner zwischen Router und den infizierten Comp setzten und alles mitloggen. Wie das geht kann dir Karl genauer erleutern aber was bringt das? Das ist 'ne Heiden Arbeit und den TestRechner darfst du danach eh platt machen...

Neuaufsetzen geht wesentlich schneller..

Zitat:

Weil sich so ein Trojaner ja nicht ohne Rootkit als Prozess verstecken kann - oder?

Oh doch.

Zitat:

sind die ordentlich gepatch? ALso garantiert alle Windows Patche eingespielt? Service Pack 3?
Sind Netzwerkfreigaben vorhanden?

Eigentlich sind die alle hübsch gepacht (wie aber der Laptop auch) und nur der eine Rechner hat eine Festplatte (nicht die Systemfestplatte!) freigegeben.

Zitat:

in der Tat bringt das vom infizierten System aus garnichts!
Du könntest einen TestRechner zwischen Router und den infizierten Comp setzten und alles mitloggen. Wie das geht kann dir Karl genauer erleutern aber was bringt das? Das ist 'ne Heiden Arbeit und den TestRechner darfst du danach eh platt machen...

Neuaufsetzen geht wesentlich schneller..

Da wirst du wohl recht haben, aber heute ist ja zufälligerweise Samstag und mir ist gerade die neue c't ins Haus geflattert. Wie der Zufall es so will, liegt exakt dieser Ausgabe die alljährliche Notfall-CD mit bei.
Ich konnte es mir nicht verkneifen, diese direkt in den Laptop zu stecken und einmal zu schauen was Knoopichillin denn so findet.

Der Test läuft gerade noch, allerdings wurden bereits Spuren vom Wurm Netsky.AP und Netsky.P.Expl gefunden. Besonders tragisch ist das wohl in der Hinsicht, dass die Funde aus meiner XAMPP-Installation stammen. Folglich wurde von mir also Spam/Trojaner Mails verschickt

Oh ... ist gerade reingekommen ... im Mülleimer wurde nun der Trojaner TR/Agent.iob gefunden ... in der im Threadtitel erwähnten spoolsv.exe.

Na gut ... den Scan werde ich wohl auf jedenfall noch durchlaufen lassen und dann auch meine anderen Systeme einmal durchschauen lassen.

Die Befunde würde ich hier natürlich nur alzugerne posten (hoffe ja immer noch mich irgendwie vor der Neuinstallation zu drücken ). Ansonsten werde ich mich morgen wohl mit den Re-Installationstipps näher vertraut machen.

Ach so ... außerdem hoffe ich natürlich, dass mein rebellisches Verhalten - bin ja schließlich nicht einfach den Instruktionen gefolgt - in Ordnung ist. Freue mich jedenfalls über die schnellen Antworten und die super Hilfe ^^

Zitat:

Zitat von undoreal

@ john.doe: Ist dir eigentlich klar was du hier grade versuchst zu bereinigen?

Falls du mein letztes Posting aufmerksam liest, könntest du bemerken, dass ich noch bei der Analyse war.

Zitat:

Ich denke nicht oder?

Sry, aber deine Art stinkt mir. Und mit dieser Meinung bin ich wohl nicht alleine.

ciao, andreas

wie kannst du das

Zitat:

hoffe ja immer noch mich irgendwie vor der Neuinstallation zu drücken

mit dem hier

Zitat:

allerdings wurden bereits Spuren vom Wurm Netsky.AP und Netsky.P.Expl gefunden. Besonders tragisch ist das wohl in der Hinsicht, dass die Funde aus meiner XAMPP-Installation stammen. Folglich wurde von mir also Spam/Trojaner Mails verschickt

guten Gewissens in einem Post schreiben?

Nun mach den Rechner endlich platt!
Sonst wird das 'ne Katastrophe! Ich sag's dir!

_

Zitat:

nur der eine Rechner hat eine Festplatte (nicht die Systemfestplatte!) freigegeben.

Für den solltest du gleich einen extra Thread erstellen! Wenn du hier den Link zum anderen Thread reinpostest nehme ich ihn mir vor...
Denn die SdBots suchen nach jeder Netzwerkfreigabe und kopieren sich dann fleißig dorthin. Ob das der Systemordner oder Platte ist ist denen völlig egal. (Wer gibt schon seinen system Ordner frei? ^^) Infiziert wird der Rechner trotzdem.
Scanne den PC mit Knoppix und poste das log im neuen Thread. Poste auch ein HJT log.
_

Und setzte den Rechner um den es in diesem Thread geht nach Anleitung neu auf!

@ Andreas:

Du musst dich nicht gleich so angegriffen fühlen!
Ich wollte lediglich Schlimmeres verhindern denn der TO folgt dir wenn du ihm Hilfestellung gibst. Daher sollte man das nur tun wenn man absolut fit ist. (Übrigens hast du fixen lassen, das gehört nicht zur Analyse. Aber lasse wir diese Haarspallterei..)
Der Rechner gehörte dringend vom Netz!!! Der TO verliert seine persönlichen Daten wenn du ihm nicht sagst, dass er ausspioniert wird. Und das war aus dem ersten log ersichtlich..
Zweitens musst du mal zusammen rechnen wieviel Zeit der TO jetzt schon für die "Analyse" vergeudet hat... Da hätte er dreimal Neuaufsetzen können; was er eh tun muss. Zusätzlich habe ich es jetzt schwer ihn dazu zu bewegen weil er natürlich Blut geleckt hat und denkt den Rechner so bereinigen zu könnnen..
Und dass dir meine Art stinkt überrascht mich nicht.. Allerdings müssen solche Töne ab und an angeschlagen werden um dem TO klare Anweisungen geben zu können die zum Ziel führen.
Wir haben hier einen "Board-Standard" der sehr wichtig für eine professionelle Hilfeleistung hier im Board ist.
Leider haben wir zur Weinachtszeit nicht genug kompetente Leute um alle Posts mitzulesen, dafür aber viele neue, unerfahrene User die den TOs mehr schlecht als Recht Hilfe geben können...
Übrigens mische ich mich ganz allgemein erst sehr spät ein und lange nicht immer obwohl es nötig wäre...
Wenn du helfen möchtest dann kannst du das nur wenn du lernst.
Die erste Zeit nur mitlesen ist da die beste Möglichkeit. Und das eine ganze Weile! Wenn du dann Fragen hast schreib die älteren Hasen per PN an und lass dir einzelne Sachen erklären.
Wenn wir Zeit haben und die Fragen gut gestellt sind werden die meisten hier sich gerne die Zeit nehmen sie zu beantworten!
Und wenn du dann Hilfestellung gibst trau dich erstmal nur an die "einfachen" Sachen und bitte uns bei Unsicherheiten um Rat.
Wir lesen hier leider im Moment zu viele unsichere Hilfeleistungen und müssen daher mal wieder ein bischen eingreifen..
lieben Gruß

Hmmm ... das Logfile vom Scan sollte eigentlich irgendwo auf meiner Platte sein ... habe aber nichts gefunden - egal!
Bin gerade dabei alle mir wichtigen Daten zu kopieren. Allerdings habe ich dich direkt noch ein paar Fragen.

1) Ich sichere die Dateien gerade auf eine externe Festplatte, soll ich diese dann mit MWAV/eScan auf einem anderen Rechner durchsuchen? Und wenn ich das auf einem anderen Rechner mache. Muss ich diesen dann auch im abgesicherten Modus starten, wie in der Anleitung angegeben? *sich nicht vorstellen kann, wozu das gut sein soll*

2) Arbeitet ihr auch alle mit eingeschränkten Benutzerrechten, habe mir hierzu mal nen Artikel in der c't angeschaut. Mich überzeugte das nicht so, soll ja an allen Enden und Ecken zu Problemen führen.

3) Wie meinst du das mit dem KnoppixScan? Geht auch Knoopicillin? ^^ Da weiß ich wenigstens mit um . Bzw. wie kriegt man denn nun raus, dass mein Rechner zu einem Botnetzwerk gehört - kriegt man das nur durch abhören der Netzwerkverbindung raus?

4) Kann man jetzt eigentlich ruhigen Gewissens die WindowsUpdates nach der Neuinstallation aus dem Internet beziehen oder soll ich die lieber mit einem anderen Rechner herunterladen und dann via USBstick kopieren?

1) Ich würde die Platte von einer live CD aus scannen oder im abgesicherten Modus.

2) Also das Arbeiten mit eingeschränkten Rechten macht durchaus Sinn. Mehr als jedes AntiViren Programm...

3)

Zitat:

Geht auch Knoopicillin?

^^ ja..

4) Also wenn du das Service Pack 3 offline aufspielst kannst du die anderen Updates danach ruhig automatisch einspielen lassen..