|
Log-Analyse und Auswertung: Hilfe bei Unglaublichem FehlerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.08.2004, 00:21 | #1 |
| Hilfe bei Unglaublichem Fehler Bei Zeus! Ich muss leider ganz von vorne Anfangen. Mein System: Win XP Professional SP1 Internet Explorer 6.0 Gestern Abend begann das Problem damit, dass nach Anwahl eines Googel Eintrags mal wieder ununterbrochen Popups aufgingen. Während ich dabei war diese zu schließen meldete mir AnitVir das ein Trojaner gefunden worden wäre, gleichzeitig gelangte ich an ein Popupfenster welches sich nicht mehr schließen ließ. Erst ließ ich AntiVir die Datei in die Quarantäne stecken. Aber ich bekam von da an ununterbrochen Trojaner Meldungen. Welche ich daraufhin löschen ließ (die Trojaner meine ich). Keine Ahnung ob das die korrekte Bezeichnung ist aber, aber der Trojaner wurde als : TR/Java.ByteVerify angegeben. Mit Hilfe des Task Managers bekam ich dann auch endlich das Popupfenster geschlossen. Nachdem ich dann erneut den IE startete hatte ich folgende Seite als Startseite: [http//hozbmm.outhost.info] Diese Seite lies keine Anwahl einer anderen mehr Seite zu. Auch über Internetoptionen lies sich diese Seite nicht mehr ändern da alle Buttons grauhinterlegt waren. Ich versuchte über den Windows Explorer im Startverzeichnis Plötzlich neu aufgetauchte Kopie der Verknüpfung mit dem IE zu entfernen. Die war nicht möglich da sich der Explorer immer wieder schloss wenn ich das Symbol mit der rechtern oder Linken Maustaste anklickte. Darauf hin versuchte ich den Registrierungseditor zu öffnen. Dieser schloss sich aber immer wieder nach zwei Sekunden. Daraufhin tat ich wohl das dümmste was ich machen konnte. Ich versuchte zur letzten Lauffähigen Version zurück zu kehren. Nach dem Neustart des Rechners brach dann ein Sturm von Popupfenstern auf mich herein. Nach dem ich mich wieder mit dem Task Manager Beholfen hatte, versuchte ich erst einmal AntiVir laufen zu lassen. Zunächst bekam ich mehrer Trojaner gemeldet. Außerdem wurde mir eindauernd das laut AV „bösartige“ Backdoorprogramm: BDS/HacDef.073.B1 gemeldet. Unter anderem in den Dateien: “hxdefdrv.sys“ und in Archivdateien im Verzeichnis welches für das Recovern zuständig ist. Außerdem wurden Cax.cap und andere Dateien als Verseucht angezeigt. Ich trennte die Verbindung zum Netz durch abtrennen des Netzwerkkabels. Ich versuchte den Rechner nun im Abgesicherten Modus zu Starten. In der Registry versuchte ich es nun zunächst einmal über : HKEY_CURRENT_USER\Sotfware\Policies\Microsoft\InternetExplorer\Controlparameter. Und veränderte den Wert hier auf Null. Ich habe dann versucht alle Einträge Gründlich zu löschen. D.h. Temp Ordner, Temp.Internetfiles, Cookis, .Inf datein, In der Datei Hosts im System32 Verzeichnis befanden sich an die Hundert einträge die alle entfernt habe. (fast alle bezogen sich auf folgende IP Adresse die definitiv nicht meine ist: 213.159.118.228. ) Jedenfalls habe ich alle Einträge gelöscht denen ich igendeine Bedeutung für das Problem untstellt habe. Auch unter HKEY_CURRENT_USER / Software / Microsoft / Internet Explorer / Main habe ich alle Einträge gelöscht bzw. wieder hergestellt. Außerdem dem habe ich alle Sicherheitsoptionen auf Maximum gestellt. D.h. Java und AktivX wurden deaktiviert. Nach Neustart des Rechners (noch ohne Netz) schien auf den Ersten Blick alles in Ordnung zu sein. Zumindest lies sich im Internet Explorer wieder eine Andere Seite eintragen. Na Wiederherstellung der Internetverbindung konnte ich auch alle möglichen Seiten wieder ansurfen. Aber jetzt kommst. Als ich www.HijackThis .de als Adresse angegeben hatte, schloss sich Internet Explorer. Nach dem ich in erneut aufgerufen hatte, wurde wieder eine Geöffnet: und zwar wieder eine aus dem Horstsordner den ich vorher geleert hatte. Wenn ich allerdings schnell z.B. T-online anwähle geht das auch ohne weiteres. Versuche ich es aber mit Hijackthis.de wird der IE erneut beendet. Auch die Regedit ist wieder nur für 2-3sek. zu öffnen. Auch der Versuch HijackThis mit einem Anderen Computer herunter zu laden und dann auf den Problemrechner zu überspielen ist nicht möglich. Folglich kann ich auch leider keine Logdatei erstellen. Irgendwie habe ich das Gefühl ich habe es nicht mehr mit einem Trojaner zu tun sonder mit einer Hydra oder vielleicht hab ich ja die Büchse der Pandora geöffnet. Hilfe die Antiken Griechen haben sich gegen mich verschworen. Also, wer kann mir Helfen und mir den Rotenfaden geben damit ich aus diesem Tempel des Minotaurus herausfinde. Seven |
13.08.2004, 00:57 | #2 | |
Administrator, a.D. | Hilfe bei Unglaublichem Fehler Hallo,
__________________du willst doch nicht ernsthaft, an deinen hochgradig verseuchten System, weiter rumfrickeln. Deine Dateien und Passwörter sind als bekannt anzusehen, daraus resulitiert: Neuaufsetzen deines Systems, da es für dich nicht mehr vertrauenswürdig ist. http://oschad.de/wiki/index.php/Kompromittierung Bei dir sind aktive Trojaner mit Backdoor Funktionalität wie z.B. BKDR_AGOBOT.LS am laufen: Zitat:
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen 2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html 3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ 4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. Deine Passwörter ändern 8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7 9. Surfverhalten überdenken Für die Zukunft: http://www.mathematik.uni-marburg.de...ompromise.html
__________________ |
14.08.2004, 04:02 | #3 |
| Hilfe bei Unglaublichem Fehler Ok ich stampfe das System ein und installiere XP neu.
__________________Allerdings habe ich kein anderes, 100% Sicheres System zu verfügung. (siehe "so langsam gehen mir die Rechner aus") Ich denke mal für die Ersten Treiber updates werden sie aber ausreichen. Aber was ist mit dem Windows update usw. ? seven |
14.08.2004, 10:14 | #4 |
| Hilfe bei Unglaublichem Fehler 1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen 7.) Browser und emailprogramm (auch hier gibt esAlternativen zu Outlook wie Eudora, foxmail, The Bat) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X) 8.) Vorsichtig bleiben, keine wirklich bekannten mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen, ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen |
15.08.2004, 15:58 | #5 |
| Hilfe bei Unglaublichem Fehler So wärend ich mich mit den anderen Rechnern herumgeschlagen habe, habe ich nun auch mein XP installiert. (Und dabei oh welche Freude auch noch 25GB zusätlichen unvormatierten Festplatten Platz gefunden ) Dumm nur das der wwar jetzt angezeigt wird aber sich nicht Formatieren lässt .Aber da gehört ja hier gar nicht hin. Aber ich sollte ja die XP Firewall aktivieren. (Eigenschaften von Netzwerkumgebung und dann auf Eigenschaften von Lan-verbindung und unter erweiter ein Häkchen machen) Nur was muss ich einstellen damit ich von anderen Rechner im Netzt noch auf den XP zugreifen kann? Ich benutze übrigens einen Fly4L Sever als Router. Allerdings ohne Maskierung. Sollte ich jetzt nicht vieleicht einfach so das Update machen? Und dann direkt AntiVir Installieren? Ich denke den Rest könnt ich dann zur not besser in einem anderen Forum klären. Seven |
Themen zu Hilfe bei Unglaublichem Fehler |
abgesicherten modus, als startseite, antivir, computer, dateien, ellung, explorer, fehler, gelöscht, helfen, hilfe, immer wieder, löschen, maus, microsoft, neustart, nicht möglich, ordner, popups, problem, quara, recover, regedit, registry, rojaner gefunden, schließen, seite, seiten, sicherheitsoptionen, software, system, system32, t-online, temp, temp ordner, trojaner, trojaner gefunden, träge, windows, überspielen, ändern |