Zitat:

Zitat von *Christian*

Schau dir ein paar Threads an und les dir mal die empfohlenen Lektüren bezüglich Backdoors durch.

Ja, nun was soll ich sagen, habe mir alle zugänglichen Trojaner, wie Sub7, Net-Divel, Optix, MoSucker, Assain, usw., besorgt, habe mich wissentlich damit infiziert und alle wieder weg bekommen, zu „fuß“! und das, ohne ein neues OS aufzusetzen.
LG; Charlie
Nachtrag; bei Beast, war es nicht so einfach.

Wenn auf einem System einmal ein Schädling aktiv war, der einem Angreifer die Möglichkeit zur Manipulation desselben mit Administratorrechten gegeben hat, ist es unmöglich, mit Hilfe von noch so vielen Programmen eine definitive Säuberung des Systems zu gewährleisten (zumindest nicht für den normalen Anwender). Man kann sich natürlich über die Wahrscheinlichkeit streiten, mit der eine besonders schwer zu findende Veränderung stattgefunden hat, aber, wie gesagt, für die Wiedererlangung eines 100% schädlingsfreiens Rechners gibt es für den Normaluser nur die Neuinstallation. Es kann durchaus sein, dass ich den erkannten Trojaner mit dem Virenprogramm restlos beseitige, was er aber eventuell während seiner Tätigkeit nachgeladen hat, weiss ich erstens nicht und es kann auch gezielt versteckt sein. Diese Unsicherheit bleibt bestehen, wenn ich das System weiterverwende.


Was Killver betrifft, wäre ich mir jetzt auch nicht so sicher, da ich keine genauen Infos über die Möglichkeiten von "Backdoor.Win32.Blarul.d" habe.
Hast du die
O10 - Hijacked Internet access by New.Net

Einträge denn nun wegbekommen? Wie sieht das aktuelle Log aus?

Zitat:

Zitat von charlie1

Ja, nun was soll ich sagen, habe mir alle zugänglichen Trojaner, wie Sub7, Net-Divel, Optix, MoSucker, Assain, usw., besorgt, habe mich wissentlich damit infiziert und alle wieder weg bekommen, zu „fuß“! und das, ohne ein neues OS aufzusetzen.
LG; Charlie
Nachtrag; bei Beast, war es nicht so einfach.

Wenn du selbst genau weisst, wonach du suchst, und was du gemacht hast, kann man das doch nicht mit der Situation eines fremden PC´s vergleichen. Wie willst du denn bitteschön über ein Forum den Rechner eines Nutzers soweit testen können, um das auszuschließen, vor allem wenn du, wie gesagt, eben NICHT weisst, was auf dem Rechner ist. Experten können sicher auch Rootkits aufspüren und entfernen, das ist für die Zusammenhänge, um die es hier geht, doch aber völlig illusionär, wo viele ja schon vor einer Neuinstallation Angst haben, die aber bei einer Kompromittierung eben der einfachste Weg ist.

Ja, recht hast du, denn Rootkits, sind eine andere „Baustelle“, denn die von der Platte zu bekommen, ist nicht einfach, aber es geht, auch ohne, dass OS neu aufzusetzen.
LG Charlie

Das ist ja leider das Problem, man weiss ja dummerweise nicht, was eventuell durch den ursprünglichen Trojaner geladen wurde. :/ Richtige Rootkits werden sicher nicht die Regel sein und natürlich sage ich nicht, dass jemand hier einen infizierten Rechner auf KEINEN FALL mit 2 Virenscannern, Adaware und HJT faktisch sauber bekommen kann, auch nach Agobot oder Sd.bot und Konsorten, aber garantieren kann man das nicht, man weiss ja in den meisten Fällen nicht mal, wie lange der backdoor überhaupt da war.

Aber zu dem Thema wirds immer unterschiedliche Meinungen geben, ich will meine da auch nicht zur absoluten Wahrheit erheben. Ich denke halt, bei einem aktiven Backdoor mir Remotezugriffsmöglichkeiten, sollte man lieber auf Nummer sicher gehen und ausgehend von einem frischen System dann auch eventuell nötige Änderungen in Surfverhalten und Konfiguration empfehlen. Sooooo kompliziert und langwierig ist die Neuinstallation bei XP ja nun eigentlich auch nicht mehr, wenn man die wichtigen eigenen Daten vorher sichern kann und für die meisten "Patienten" hier, denke ich, auch immer noch einfacher.

Natürlich ist ein neues OS aufsetzen immer die radikalste und sauberste Lösung, aber mein Dozent vor Jahren, sagte immer, dass mache erst wenn gar nichts mehr geht, auch bei Kunden, damit meine ich „richtige“ Kunden, nicht das ein falscher Eindruck entsteht!
Technisch und zeitlich gesehen, ist das Aufsetzen eines neuen OS ja wirklich kein Problem, geht schneller als eine ordentliche Prüfung, aber nicht jeder Kunde hat wirklich alle wichtigen BA’s.
Und ich selbst mache es bei mir sehr ungern, denn irgendwas habe ich immer vergessen und wenn es die Favoriten sind.
Liebe Grüße,
Charlie

aktueller hijack log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Karna\Razer\razertra.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\download\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [razertra] C:\Programme\Karna\Razer\razertra.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\snider\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Edit with X&ML Spy - C:\Programme\Altova\XMLSPY2004\spy.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11

Na wie siehts aus?

Meine Güte, hier bekommt man ja einen Augeninfarkt, brauchst du das wirklich alles?
Mal saubermachen wäre wirklich angesagt, ja!
Gehe noch mal mit Stinger und Ewido drüber, aber ich habe beim kurzem Überfliegen nichts aktives mehr gesehen, aber wie gesagt „Augeninfarkt“
Liebe Grüße,
Charlie

hmh ja brauch ich

wo krieg ich stinger und ewido progs her?

@killver

Im Log seh ich eigentlich nix mehr.
Stinger würde ich hier nicht nehmen.
ewido ist ein freeware Malware-Scanner. Infos und Download: www.ewido.net

Hast du denn immernoch dein Problem?

Nun Ja, hast wie immer recht, Christian, denn Stinger macht erst mal die „neuen Dinger“ weg alte halt nicht, aber ein guter „Besen“ ist es doch besser als gar keiner, kann also nichts schaden, oder?
Ewido, ist besser als der Ruf, denn es wurde von den „PC-Zeitschriften- Machern“ nur oberflächlich getestet.
Ewido, extra noch mal drüber zu laufen lassen, kann bestimmt nichts schaden!
Florian, der da mitgewirkt hat, kennt die Trojaner!
Liebe Grüße,
Charlie

Na, ich hab nicht immer Recht ...

Stinger erkennt nur sehr wenige Malware im Gegensatz zu diversen Scannern ...

Zitat:

Zitat von *Christian*

Na, ich hab nicht immer Recht ...

Stinger erkennt nur sehr wenige Malware im Gegensatz zu diversen Scannern ...

Habe ich doch gesagt, nur die Neusten, ist das falsch?
Liebe Grüße,
Charlie

Naja, nur die neusten auch nicht gerade.
Da sind schon einige ältere dabei: http://vil.nai.com/vil/stinger/