|
Plagegeister aller Art und deren Bekämpfung: Avira meldet versteckte Dateien in c:\windows\system32\twain32Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.02.2009, 21:27 | #1 |
| Avira meldet versteckte Dateien in c:\windows\system32\twain32 Hallo, mein Viren-Scanner (Avira Personal Free) hat heute beim Suchlauf folgende versteckte Objekte gefunden: c:\windows\system32\twain32 c:\windows\system32\twain32\user.ds c:\windows\system32\twain32\local.ds Ich habe diese Objekte in die Quarantäne kopiert. Da ich noch nie ein Problem mit versteckten Objekten hatte, habe ich mich im Netz umgeschaut, wie ich das beheben kann. Dabei bin ich auf Hijack This gestoßen. Damit habe ich mein System gescannt und das Logfile in einer Online-Auswertung auswerten lassen. Das hat mir zwar bei meinem o.g. Problem nicht weitergeholfen, hat aber dafür zumindest zwei neue aufgedeckt. Hier das Logfile (Einträge, die die Auswertung als problematisch ansieht, sind fett): Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:08:23, on 18.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\system32\PROMon.exe C:\Programme\Analog Devices\SoundMAX\Smtray.exe C:\WINDOWS\System32\NMSSvc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ixquick.com/deu/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206807220687 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://w*w.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206807937640 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - h**p://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1210505975 O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game03.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - h**p://driveragent.com/files/driveragent.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Boonty Games - Unknown owner - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe (file missing) O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 5341 bytes Vorher hatte ich bereits mit Malwarebytes gescannt und die erkannten Probleme beseitigt. Hier das Logfile: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1775 Windows 5.1.2600 Service Pack 3 18.02.2009 19:08:21 mbam-log-2009-02-18 (19-08-21).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 126482 Laufzeit: 2 hour(s), 7 minute(s), 54 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: c:\windows\system32\twex.exe -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: system32\twex.exe -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\twex.exe (Backdoor.Bot) -> Delete on reboot. Ein weiterer Lauf von Malwarebytes hat nichts zutage gefördert. Während der erste Malwarebytes-Scan lief, hat mir Avira weitere Malware-Meldungen gebracht: In der Datei 'C:\System Volume Information\_restore{53DE5DAB-9533-4FC2-8E26-B8AAC64EDE5B}\RP318\A0060271.exe' wurde ein Virus oder unerwünschtes Programm 'APPL/BoontyGames' [program] gefunden. In der Datei 'C:\System Volume Information\_restore{53DE5DAB-9533-4FC2-8E26-B8AAC64EDE5B}\RP318\A0060236.exe' wurde ein Virus oder unerwünschtes Programm 'GAME/Dldr.TryMedia.Gen' [game] gefunden. In der Datei 'C:\System Volume Information\_restore{53DE5DAB-9533-4FC2-8E26-B8AAC64EDE5B}\RP318\A0060242.exe' wurde ein Virus oder unerwünschtes Programm 'GAME/Dldr.TryMedia.Gen' [game] gefunden. In der Datei 'C:\System Volume Information\_restore{53DE5DAB-9533-4FC2-8E26-B8AAC64EDE5B}\RP318\A0060240.exe' wurde ein Virus oder unerwünschtes Programm 'GAME/Dldr.TryMedia.Gen' [game] gefunden. In der Datei 'C:\System Volume Information\_restore{53DE5DAB-9533-4FC2-8E26-B8AAC64EDE5B}\RP318\A0060238.exe' wurde ein Virus oder unerwünschtes Programm 'GAME/Dldr.TryMedia.Gen' [game] gefunden. Ich habe alle diese Programme in die Quarantäne verschoben. Da ich keine tieferen Kenntnisse der ganzen Materie besitze und mein PC bis gestern ohne Probleme lief, frage ich mich jetzt: 1. Hängen geschilderte Malware-Vorfälle zusammen oder sind sie getrennt zu betrachten ? 2. Kann sich jemand die Logfiles anschauen ? 3. Was braucht man noch zur Analyse bzw. Fehlerbehebung ? Eine idiotensichere Schritt-für-Schritt-Anleitung wäre für mich das Beste. Hoffe auf Rückmeldung ... Gruß P.S.: Da ich von einem Tool namens Combofix gelesen habe, habe ich mir dies schon einmal heruntergeladen. Avira hat beim Scannen jedoch mit folgender Meldung reagiert: Die Datei 'C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe' enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a09738c.qua' verschoben! Ist das normal ? Geändert von zaunbauer (18.02.2009 um 21:56 Uhr) Grund: Nachtrag |
18.02.2009, 21:50 | #2 |
| Avira meldet versteckte Dateien in c:\windows\system32\twain32 Hallo und
__________________Du hast 2 Backdoorprogramme auf deinem Rechner. Somit ist dein System nicht mehr sicher, da andere Personen Zugriff auf deinen Rechner haben. Hier steht warum: Technische Kompromittierung - Definition und entspr. Handlung Beachte vor allem den Abschnitt Für die Zukunft. Anleitung: Neuaufsetzen des Systems + Absicherung Viel Erfolg gruß 4RobSen8 |
19.02.2009, 11:46 | #3 |
| Avira meldet versteckte Dateien in c:\windows\system32\twain32 Erst einmal Vielen Dank.
__________________Ich habe meine mir wichtigen Daten auf einen USB-Stick gezogen. Da ich keine Live-CD (Linux) besitze und auch nicht wüsste, ob ich damit zurechtkomme, habe ich dies direkt aus dem laufenden Betrieb des infizierten Systems getan. Kann das gutgehen ? Falls nicht, kann ich versuchen mir eine Ubuntu-Live-CD zu besorgen. Was ich jedoch damit anfangen sollte, ist mir ein böhmisches Dorf. Eventuell kann mir das jemand in leicht verständlichen Worten erklären. Weiterhin habe ich mich dazu entschlossen, das System komplett neu aufzuspielen. Leider musste ich in der Anleitung dazu lesen, dass selbst beim normalen Formatieren nicht gewährleistet ist, dass alle Daten zuverlässig gelöscht werden. Was muß ich denn tun, damit meine Platte vor bzw. während der Installation wirklich jungfräulich ist bzw. wird ? Mein Wuschzustand wäre eine unpartitionierte Fetsplatte, wie sie mal vom Band gelaufen ist. Wie gesagt: Datenverlust ist kein (primäres) Thema. Gruß |
19.02.2009, 14:26 | #4 | |||
| Avira meldet versteckte Dateien in c:\windows\system32\twain32Zitat:
Zitat:
Zitat:
Wegen der Formatierung frage ich mal nach. |
20.02.2009, 09:37 | #5 |
| Avira meldet versteckte Dateien in c:\windows\system32\twain32 Hallo, nur noch einmal, damit es mir klar wird: Der Virus agiert nicht nur aus einer exe-Datei heraus, sondern kann auch meine Daten (Bilder, Open-Office-Dokumente, etc., die auf einer anderen Partition liegen) in der Weise infizieren, dass ich mir bei Zurückspielen der Daten den Dreck wieder auf den Rechner zeihe ? Welchen Virenscanner würdest Du empfehlen, um den Stick zu überprüfen ? Auf welche Art und Weise kann ich ein sicheres Backup dieser Daten machen ? Wäre das über eine Live-CD ? Ich habe mir gestern eine Ubuntu-Live-CD besorgt, um einmal zu sehen, was mich dabei erwartet. Die CD lief auch prima an, färbte den Bildschirm in diesem Ubuntu-Beige und lief und lief, stoppte und nichts passierte. Der Mauszeiger ließ sich nicht mehr bewegen (ging während die CD lief) und das Laufwerk ließ sich auch nicht mehr öffnen. Schade. Kann es sein, dass die Hardware-Vorraussetzungen (die ich nicht kenne) für meinen Rechner (Intel Pentium IV, 2.4 MHz, 256 MB Ram) zu hoch sind ? Das Ubuntu war die Version 8.10 Alpha 3 (aus einer com!-Ausgabe) und ist laut begleitendem Bericht nicht für den produktiven Einsatz geeignet (was ich auch nicht vorhatte), ließe sich aber risikolos ausprobieren. Hört sich alles nach schlechten Vorraussetzungen an (magerer Rechner, seltsames Ubuntu, User scheint keine Ahnung zu haben, verfällt in Aktionismus) ist aber nicht zu ändern. Würde mich weiterhin über Empfehlungen freuen. Bis hierhin wieder Vielen Dank und Gruß. |
22.02.2009, 22:44 | #6 |
| Avira meldet versteckte Dateien in c:\windows\system32\twain32 So, folgendes habe ich jetzt durchgeführt: 1. XP neu installiert, vorher gesamte Platte formatiert (NTFS, fabrikneu wie es heißt). 2. SP1-SP3, Avira und Firefox offline installiert 3. fehlende Updates nachgefahren Theoretisch müsste bis hierhin alles sauber sein. Hier noch aktuelle Logfiles: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1794 Windows 5.1.2600 Service Pack 3 22.02.2009 22:34:31 mbam-log-2009-02-22 (22-34-30).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 97137 Laufzeit: 17 minute(s), 1 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:36:50, on 22.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1235294796778 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1235294931341 O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe -- End of file - 3332 bytes Leider habe noch keine Antwort auf die Frage, ob nach dem Formatieren während der Installation noch irgendwelche Rückstände auf der Platte sein können. Falls jemand ein Tool kennt, mit dem man eine Platte richtig sauber bekommt, würde ich mich über einen Beitrag sehr freuen. Abschließende Fragen: 1. An der Fritzbox, über die ich via LAN-Verbindung ins Netz gehe, hängt noch ein anderer PC. Es ist aber kein lokales Netzwerk eingerichtet. Ist es möglich, dass dieser PC auch betroffen ist ? 2. Gibt es empfehlenswerte Alternativen zur Windows-Firewall ? Die soll ja nicht so gut sein. 3. Gibt es empfehlenswerte Scanner, die auf Malware und Rootkits spezialisiert sind ? Gruß |
25.02.2009, 12:32 | #7 |
| Avira meldet versteckte Dateien in c:\windows\system32\twain32 Hallo noch einmal, kann mir jemand sagen, ob es ein sehr schlankes Live-Linux gibt, mit dem ich über einen Shell-Befehl die Platte löschen kann ? Was ist mit Knoppicillin. Das Neuaufsetzen meines Systems sah bisher folgendermaßen aus: 1. Einlegen einer XP-Installations-CD (geliehen), um bestehende Partitionen zu löschen und die danach neu angelegte Partition zu formatieren. Das ist m.M. nach notwendig, da meine Installations-CD's nur so IBM-Recovery-CD's sind, die XP in die bestehende Systempartition installieren (und vorher mit FAT32 formatieren). 2. Abbruch des Installationsvorgangs bei Eingabe des Aktivierungsschlüssels. 3. Installieren von XP mittels o.a. Recovery-CD's. 4. Konvertieren von FAT32 in NTFS Offline Einspielen von SP1-SP3. Da ich mir immer noch nicht sicher bin, ob damit (für's Erste) alles erledigt ist, frage ich halt nach einem Linux, das ich auf meinem Rechner zum Laufen kriege. Bisherige Versuche mit verschieden Ubuntu-Versionen (7.10 und 8.10) schlugen fehl. Es muß auch kein Linux sein. Irgendetwas, was per CD-Start die Platte löscht. Bei meinem wie o.a. aufgesetzten System bricht AntiVir den Rootkit-Suchlauf nach 77.1 Prozent ab und rät zu einem System-Scan. Ich bin mir sicher über dieses Problem auch hier im Forum schon etwas gelesen zu haben, finde es aber nicht mehr. Ein kleiner Hinweis, was ich mit meinen Beiträgen falsch mache bzw. warum sie nicht beantwortet werden, wäre nett. Ich habe versucht mich an die Regeln zu halten, werde jedoch den Verdacht nicht los, dass hier der Nebensatz "kann und wird dir hier keiner helfen" zur Anwendung kommt. Gruß |
25.02.2009, 12:50 | #8 |
/// TB-Ausbilder | Avira meldet versteckte Dateien in c:\windows\system32\twain32 Hi, wenn du ein sehr schlankes Linux als Live-CD benutzt willst,würd ich DamnSmallLinux empfehlen. wenn du wirklich nur deine Platte formatieren willst, dann würd ich Darik's Boot and Nuke empfehlen. Was sagt der SystemScan von Avira?
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
25.02.2009, 14:18 | #9 |
| Avira meldet versteckte Dateien in c:\windows\system32\twain32 Hallo, freue mich sehr über die schnelle Antwort. Ich habe mein System gerade eben noch einmal gescannt, um aktuell zu sein. Hier der Report: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 25. Februar 2009 13:48 Es wird nach 1265297 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: IBM-UNHBJX6HZ43 Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 24.02.2009 18:55:43 AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06 LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 18:55:47 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:55:48 ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 18:55:48 ANTIVIR3.VDF : 7.1.2.78 104960 Bytes 25.02.2009 09:59:25 Engineversion : 8.2.0.88 AEVDF.DLL : 8.1.1.0 106868 Bytes 24.02.2009 18:55:51 AESCRIPT.DLL : 8.1.1.52 348538 Bytes 24.02.2009 18:55:51 AESCN.DLL : 8.1.1.7 127347 Bytes 24.02.2009 18:55:51 AERDL.DLL : 8.1.1.3 438645 Bytes 24.02.2009 18:55:51 AEPACK.DLL : 8.1.3.8 397684 Bytes 24.02.2009 18:55:50 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 24.02.2009 18:55:50 AEHEUR.DLL : 8.1.0.97 1610103 Bytes 24.02.2009 18:55:50 AEHELP.DLL : 8.1.2.0 119159 Bytes 24.02.2009 18:55:49 AEGEN.DLL : 8.1.1.21 336244 Bytes 24.02.2009 18:55:49 AEEMU.DLL : 8.1.0.9 393588 Bytes 24.02.2009 18:55:49 AECORE.DLL : 8.1.6.6 176501 Bytes 24.02.2009 18:55:49 AEBB.DLL : 8.1.0.3 53618 Bytes 24.02.2009 18:55:49 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 24.02.2009 18:55:49 AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01 RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Mittwoch, 25. Februar 2009 13:48 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '35923' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '23' Prozesse mit '23' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '45' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <IBM_PRELOAD> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Mittwoch, 25. Februar 2009 14:10 Benötigte Zeit: 21:40 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 2473 Verzeichnisse wurden überprüft 141496 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 141494 Dateien ohne Befall 7268 Archive wurden durchsucht 2 Warnungen 0 Hinweise 35923 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Gruß Deine beiden Links lesen sich sehr gut. Vielen Dank dafür. Ich denke, dass für mich DBAN besser geeignet sein dürfte, da ich bei Linux nur einmal den Befehl dd if /dev/zero of=/dev/hda aufgeschnappt habe, wo jedoch ausdrücklich dabei stand, man müsse wissen, was man da tut. Das eben wüsste ich nicht. Hast Du Erfahrungen mit DBAN ? Löscht es auch tatsächlich alles, was mir Ärger bereiten könnte (laut Link, ja) ? Es wäre auch klasse, wenn Du auf meine anderen Fragen, die noch offen sind, Antworten hättest. Noch einmal Vielen Dank ! Geändert von zaunbauer (25.02.2009 um 14:31 Uhr) Grund: Nachtrag |
25.02.2009, 15:23 | #10 | ||||||
/// TB-Ausbilder | Avira meldet versteckte Dateien in c:\windows\system32\twain32 Hi, ein kleiner Ausflug zu dd if /dev/zero of=/dev/hda und was daran ungut ist. (allerdings auf englisch) Zitat:
Zu deinen Fragen.
lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
25.02.2009, 18:13 | #11 |
| Avira meldet versteckte Dateien in c:\windows\system32\twain32 Hallo, vielen Dank für die ausführliche Hilfe. Der Suchlauf meines Virenscanners war durchgelaufen, insofern scheint ja tatsächlich alles o.k. zu sein. Der Exkurs zu dem Linux-Befehl war auch informativ und hat das enthüllt, was ich mir schon gedacht hatte: ICH sollte die Finger davon lassen. Obwohl das Schreiben von Nullen auf die ganze Platte schon dem entspricht, was ich mir unter "plattmachen" vorstelle. Das Tool, das Du mir empfohlen hast, um zu überprüfen, ob mein MBR befallen ist, hat folgende Logdatei ausgeworfen: Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://w*w.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Sieht gut aus, oder. Das mit dem MBR war auch meine größte Sorge, weil ansonsten trotz des umständlichen Weges mehrere Formatierungen und auch Partitionierungen stattgefunden haben. Vielleicht lasse ich aber zur Sicherheit noch einmal das DBAN laufen und installiere noch einmal neu. Die Frage zu dem anderen PC an der FritzBox ist nicht aus gegebenem Verdacht oder Anlaß heraus gestellt, sondern nur ob es theoretisch möglich ist über diese Verbindung zu infizieren. Aber auch hier zu scannen ist grundsätzlich nicht dumm. So, jetzt noch mal zum USB-Stick: Die Daten auf dem Stick sind aus meinem damals noch infizierten System heraus gesichert worden. Das heißt doch, dass auch wenn ich aus einem Live-System heraus gesichert hätte, wären die Daten (evtl.) infiziert, oder ? Du schreibst, ich sollte den Stick vor dem Öffnen scannen. Blöde Frage: Wann ist vor dem Öffnen ? Wenn ich einstecke oder bevor ich eine Datei öffne ? Gibt es da auch AutoPlay und wenn ja, was dann ? Die Daten, die für mich auf dem Stick wichtig sind, sind OpenOffice-Write und -Calc Dokumente, eine Outlook-Sicherungsdatei und eine Outlook-Archivierungsdatei, sowie jede Menge Bilder. Oder hat die Infizierung des Sticks (wenn er's denn ist) gar nichts mit Dateien und Dateitypen zu tun ? Da ist mir noch einiges unklar. |
26.02.2009, 13:46 | #12 |
| Avira meldet versteckte Dateien in c:\windows\system32\twain32 Hi, so, da war ich mir eigentlich sicher, dass mein System sauber sein müsste, da ich, wie bereits beschrieben mehrfach formatiert hatte. Ich wollte dann gestern nur zur Sicherheit noch einmal Malwarebytes laufen lassen, welches ich noch nicht installiert hatte. Also bin ich über den Link aus den Anleitungen des Forums zur Download-Site gegangen, klicke auf <Download> und auf einmal schließen sich alle Browser-Fenster. Ein zweiter Versuch war dann erfolgreich. Der Scan hat, nachdem der Update der Definitionsdateien gemacht wurde, nichts gefunden. Aber irgendetwas stimmt doch da nicht, oder ? Wie tief kann sich die Malware, die ich mir eingefangen habe, denn eingenistet haben ? Ist da vielleicht auch das BIOS betroffen ? Kann sein, dass diese Frage blödsinnig ist, ich weiß mir da eben nur keinen Reim drauf zu machen, da ich außer dem Trojaner-Board, Microsoft-Update, HiJack This und Malwarebytes keine Seiten besucht habe, was für mich heißt: Das Zeug ist noch auf der Platte und nicht neu drauf gekommen. Ich mache jetzt einen Versuch mit DBAN. Gruß |
26.02.2009, 13:57 | #13 |
/// TB-Ausbilder | Avira meldet versteckte Dateien in c:\windows\system32\twain32 Hi, ja der MBR sieht gut aus, war aber auch fast zu erwarten. Die meisten Antivirenscanner erkennen eine Veränderung des MBR mittlerweile, auch wenn sie es nicht reparieren können. Zu dem anderen Rechner: Theoretisch ist das möglich ja. Es gibt zb die Möglichkeit, dass ihr gemeinsam freigegebene Ordner nutzt, über die sich sowas verbreitet, oder das dein infizierter Rechner versucht hat über nichtgepatchte Sicherheitslücken in deinen Zweitrechner einzudringen. Manchmal überträgt man ja auch Dateien von einem Rechner zum anderen, eventuell hast du deinen Rechner ja sogar auf die gleiche Weise infiziert wie du deinen Laptop auch infiziert hast. Deswegen wäre eine einfache Kontrolle gut. Zu deinem USB-Stick: Beides ist möglich, zum einen dass du infizierte Dateien übeträgst, zum anderen das der Stick infiziert wird. Ersteres ist in deinem Fall wahrscheinlich kein Problem: Diese Warnung gilt generell eher für ausführbare Dateien wie etwa Dateiendungen wie exe, scr, com, etc... Die Malware hängt an die ausführbaren Dateien ihren eigenen Code an. Wenn die Dateien einmal infiziert sind hilft natürlich auch keine Live-CD mehr, die Dateien auf dem USB-Stick sind infiziert. Die Malware die auf deinem Rechner gefunden wurde, tut sowas allerdings eigentlich nicht. Das war mehr eine Sicherheitsvorkehrung falls ein Befall übersehen wurde. Im zweiten Fall beobachtet die aktive Malware alle hinzugefügten Medien und versucht dort eine autorun.inf und weitere Dateien abzulegen, um damit weitere Rechner zu befallen. Wenn die Malware nicht aktiv ist, kann sie auch nicht die externen Medien überwachen und sich auf ihnen einschreiben. Daher kann man sie durch eine Live-CD ausgehebelt werden. Normalerweise werden derartige Dropper vom Guard deines Antivirenscanner beim Einstecken des Sticks erkannt und geblockt. Wenn du verhindern willst, dass eine evtl vorhandene autorun.inf beim Einstecken ausgeführt wird, dann halte beim Einstecken des Sticks die Shift-Taste gedrückt halten. Dann im Arbeitsplatz per Rechtsklick "mit Antivir überprüfen" den USB-Stick scannen lassen bevor du dir den Inhalt des Sticks anzeigen lässt. Wenn du ganz ganz ganz besonders sicher sein willst, dann boote von einer Linux-Live-CD und lösche die eventuell vorhandene autorun.inf. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
26.02.2009, 14:24 | #14 |
| Avira meldet versteckte Dateien in c:\windows\system32\twain32 Das geht ja sehr schnell mit den Antworten. Prima. Jetzt habe ich mal eine Frage zu DBAN: Ich habe mir das Programm heruntergeladen. Jetzt muss ich noch schnell nach 'nem Brennprogramm suchen. Was muß ich denn für Brennoptionen (oder einstellungen, wie auch immer) angeben, damit von der erstellten CD gebootet wird (hab' noch nie eine CD gebrannt) ? Was sagst Du übrigens zu meinem letzten Post (Browserfenster schließt sich bei Download-Versuch) ? Ist schon merkwürdig, oder ? Zum evtl. infizierten Zweitrechner noch einmal: Wie gesagt, das einzige, was sie gemeinsam haben, ist, dass beide über eine FritzBox (einmal über LAN-Kabel, einmal über USB-Kabel) ins Internet gehen. Kein eingerichtetes Netzwerk. LG |
26.02.2009, 19:37 | #15 |
/// TB-Ausbilder | Avira meldet versteckte Dateien in c:\windows\system32\twain32 Oh man, da hab ich wohl vergessen den Beitrag abzuschicken. Also nochmal: Deinen 2. Beitrag hatte ich noch gar nicht gesehen, als ich geantwortet hab. Also auch ein normales Programm kann man abstürzen, es muss nicht unbedingt Malware dahinterstecken. Wenn du Malwarebytes installieren kannst ohne dass es probleme gab und der Browser auch nur einmal abgestürzt ist, würde ich mir da keine großen sorgen machen. Wenn du DBAN als ISO-Datei geladen hast, dann sollte das Bild bootfähig sein. Dann musst du nur noch sicherstellen, dass du die ISO-Datei auch als solche brennst und nicht als Daten-CD hier sind einige Anleitungen, aber ich weiß nicht welche Programme du hast? Link Was deinen 2. Rechner angeht: Die Möglichkeit eines Befalls kann nicht ausgeschlossen werden, aber sie erscheint recht unwahrscheinlich. Wie ich vorher schonmal schrieb, könntest du dich zb über eine Email oder eine ausgeführte Datei infiziert haben, die du auf beiden Rechnern aufgerufen hast. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
Themen zu Avira meldet versteckte Dateien in c:\windows\system32\twain32 |
1.exe, adobe, antivir, auswerten, avira, bho, combofix, desktop, einstellungen, excel, explorer, fehlerbehebung, frage, hijack, hijack this, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, logfile, malware.trace, pdf, plug-in, problem, registrierungsschlüssel, software, solution, suchlauf, system, userinit.exe, versteckte objekte, virus, windows, windows xp |