Zitat:

Zitat von yxlofohn

Hey Jacki,

im "normalen Vista" wurde bei mir erstmal nichts mehr gefunden. Allerdings, da ist undoreal recht zu geben, heißt das noch gar nichts.
In C:\windows\temp habe ich zum Beispiel eine gleichnamige Datei mit der Dateiendung "tmp" gefunden. Um die hat sich Antivir gar nicht geschert. Dein temporäres Verzeichnis solltest du also auch gleich von Vista-PE aus leeren.

@undoreal: Vielleicht sollten wir die Pferde im Stall lassen und Thesen etwas vorsichtiger formulieren.

Ähm, nein! Das System ist kompromitiert. Soll ich das für euch Beide unter Umständen buchstabieren? Wisst ihr überhaupt was das bedeutet?
Habt ihr euch mal gefragt wie der Spam in eurem Postkasten landet oder die Kinderpornos verteilt werden? Oder Ddos Attacken auf Microsoft Server durchgefühert werden?
Durch Rechner wie deinen Jacki!

Nimm die Avira Rescue Disk: http://www.free-av.com/en/products/1...ue_system.html
Das sollte auch funktionieren.

PS: Hast du Jura studiert oder Ahnung vom Thema?
DU bist haftbar für die Sicherheit deines Systems! Egal ob oder welcher Scanner was findet oder nicht. AV-Scanner sind dämlich und finden in den meisten Fällen überhaupt nichts.

Ich sag doch ich habe nicht viel Ahnung davon. Ich behaupte niemals dass ich recht habe oder der gleichen. Sorry falls es so rüber gekommen ist.

Nur kann man nicht Haftbar oder Verantwortlich sein für etwas was man unmöglich kontrollieren kann!
Man müsste sich jahrelang mit der Zehne beschäftigen, und selbst dann wäre man nicht 100% sicher. Und das kann wohl nicht von jedem PC Besitzer erwartet werden.

Aber gut dem deutschen Gesetzt trau ich sogar so einen absoluten Schwachsinn zu, keiner der so etwas beschließt ist in der Lage für die Sicherheit seines Systems zu sorgen.


Einfach ALLE Daten zu löschen wird für kaum bis gar keinen eine annehmbare Lösung sein! Und wird es für mich auch niemals sein, dass muss ich dir gleich sagen.

Oder wie machst du denn dass?? Löscht du alle paar Monate alle Dateien von deinem PC?


Also gut, kann man sich wohl viel drüber Streiten aber bringt nicht viel.

Mit dieser Avira Rescue Disk kann ich updaten und nen Suchlauf starten.
Muss vorher auswählen ob Funde gelöscht oder nur protokolliert werden sollen. Löschen?

Ich muss es morgen mal laufen lassen, es dauert extrem lange.

Log kann ich nicht leider posten, aber soll ich dir dann mal die eventuellen Funde abschreiben?

Gibt ja auch extra Software für Rootkits, da vielleicht mal was versuchen?

Glaub mir mich regt ein externer Zugriff und die Gefährdung von Konten usw, usw. mindestens genauso auf, es geht ja um meine. Ich bin hier damit wir es lösen können. Nur so übel hätte ich es mir niemals vorgestellt. Nur wie gesagt, man muss es irgendwie human lösen.

Du bist dir schon sicher dass es so was ernstes sein muss und das ganze System infiziert ist und eig. alle Daten weg müssten?

Zitat:

Nur kann man nicht Haftbar oder Verantwortlich sein für etwas was man unmöglich kontrollieren kann!

Erste Lektion: Unwissenheit schützt vor Strafe nicht. Genug davon. Sieh zu, dass du das tust was ich dir sage und den Rechner wieder bereinigt bekommst.
Du wärst nämlich nicht der Erste der hier aufschlägt weil er ein bei eBay ersteigertes Motorrad nicht bezahlt hat oder bei dem die Kripo vor der Tür stand und alle Rechner mitgenommen hat weil von diesen aus gecrackt wurde. Die Tränen und die Verzweiflung sind dann groß.

Zitat:

Einfach ALLE Daten zu löschen wird für kaum bis gar keinen eine annehmbare Lösung sein! Und wird es für mich auch niemals sein, dass muss ich dir gleich sagen.

Dann hast du ein generelles Problem denn ein Rechner muss nunmal alle paar Jahre platt gemacht werden. Welche Daten wie gesichert werden dürfen habe ich dir gepostet.

Zitat:

Mit dieser Avira Rescue Disk kann ich updaten und nen Suchlauf starten.

Die ist up to date. Starte den Suchlauf und speichere das log auf einem USB Stick. So kannst du es dann hier posten. Und starte den Rechner in der Zeit bis ich dir weitere Anweisungen gebe nicht neu!

Zitat:

Gibt ja auch extra Software für Rootkits, da vielleicht mal was versuchen?

Bei Zeiten... ich weiss schon was ich tue. Warum mit Kanonen auf Spatzen schießen? Erstmal kleine Geschütze. Mit den großen kann man sich nämlich ganz gut den Rechner zerschießen. Und das willst du ja offenkundig nicht.

Zitat:

Glaub mir mich regt ein externer Zugriff und die Gefährdung von Konten usw, usw. mindestens genauso auf, es geht ja um meine.

Danke.
Betreibst du online Banking? Wenn ja dann hoffe ich das du inzwischenen deine Bank informiert hast?
eBay und alle anderen Zugangsdaten und Passwörter solltest du dringend von einem sauberen PC aus ändern!

Zitat:

Du bist dir schon sicher dass es so was ernstes sein muss und das ganze System infiziert ist

Das ist nicht zu übersehen ja. Bei dir läuft eine der tausend Varianten des TDSS Rootkits. Dieses Rootkit versteckt den eigentlich schädlichen Prozess vor dir. Daher hast du keine Ahnung ob sich grade jemand von deinem Rechner aus einen Film ansieht oder dir über die Webcam zusieht.
Meistens sitzt am anderen Ende nicht direkt eine Person da die tausende von infizierten Maschienen zu verwalten haben. Die Arbeit übernehmen dann Bots die deinen Rechner nach allem durchsuchen was wichtig erscheint.
Dein Rechner hängt in einem Botnetz welches vom Cracker für viele verschiedene Dinge mit denen man schmutziges Geld verdienen kann genutzt wird.
Guck dir mal die Bilder weiter unten in diesem Blog Beitrag an: http://www.prevx.com/blog.asp Das ist echt! Da bietet ein BotNetz Inhaber seine Dienste an für die dann die Clienten der Opfer missbraucht werden. Er könnte nach einem erfolgreichen Einbruch jegliche Spuren der Infektion so löschen das sie nicht mehr auffindbar sind. Und dann erkläre das mal dem Staatsanwalt.
Der Betreiber dieses BotNetzes bietet unter anderem folgende Dienste an:
- Einbruch in e-Mail Konten
- ICQ Datenklau
- SpamMail verschicken (e-Mail, Skype, ICQ)
- Oder er vergrößert nur sein BotNetz. Da würden dann alle deine Freunde eine ICQ Nachricht oder e-Mail von dir bekommen welche sagt: schau dir mal die tollen Fotos an! Nur leider sind die Fotos ebenfalls verseucht und deine Freunden dann auch.
- Ddos Angriffe
und vieles weitere.
Bemerkst du die Ausmaße? Das Beispiel ist absolut real und die Größe des BotnEtzes von dem ich hier rede wird auf über 4000Rechner geschätzt.
Wobei das noch ein winzlings BotNetz ist. Die Größe des Sturm BotNetzes wird im Millionen Bereich geschätzt! Von denen sind so 200-40.000 Rechner gleichzietig online. Kannst du dir vorstellen was man mit dieser Rechen-Power alles anstellen kann? Das geht sogar soweit, dass in Italien damit die Börse manipuliert wurde und der Betreiber Unmengen Geld absahnte.

Hi undoreal,
man kann mit Avira Rescue Disk wirklich keine Logs irgendwie abspeichere. Man ist nur auf der einen Ansicht.

Es gab 10 Funde, die ich gelöscht habe. Die zwei besagten Dateien waren auch dabei.
Alles andere waren Dinge die ich schon lange habe und kenne.
Eines war ne Datei aus dem VistaPE Ordner denn ich noch auf dem Desktop habe.

Dann gab es doch Funde bzw. Meldungen im Verzeichnis C:\Blocks\AllBlocks\
Namen waren da Microsoft office und IE6

Weißt du was dieser Blocks Ordner ist? Hat den jedes Vista System order gehört es zu einer extra Software das Herstellers, in dem Fall HP.

Wenn ich den PC wieder starte (ohne Internet) dann sind die Fehlermeldungen von Avira weg.

Was auch noch interessant ist, die Datei kbiwkmxkycbqkt.sys die ich aus einer leeren .txt erstellt habe und schreibgeschützt an die Stelle kopieren wollte an der immer die Fehler gefunden werden (ja lol, hätt ja klappen können^^) ist jetzt auf dem Desktop wieder sichtbar, was sie vorher einfach nicht war.

Mir ist auch aufgefallen dass ich im System32 Ordner jetzt eine kbiwkmobqwnbns.dat und kbiwkmtctqvxip.det habe, was vorher nicht da war.

Es sieht soweit wieder alles normal aus, mit keinem Programm ist mehr was zu finden…
Doktor? bin ich geheilt?
Ich weiß dass nur weil jetzt Avira Ruhe gibt nicht alles weg sein muss und die Antiviren Programme längst nicht alles finden, aber was kann man tun?
So weiß man doch nichts von der Gefahr in der man vielleicht schwebt. Gerade diesen „Virus“ habe ich sichrer schon länger drauf nur seit einem Update kann er erkennt werden.


Ist Onlinebanking durch die Eingabe von TANs nicht sicher auch wenn einer die Logindaten hat? Ich denke dass die TANs nicht nach einem einfach Muster generiert wurden da genau dort der Sinn liegt sie nicht knacken zu können.

Kann man sagen wo man sich so ein Rootkit einfängt?
Vermehrt auf torrent Seiten und ähnlichem?

Gibt es sonnst noch etwas was ich für meine Sicherheit tun kann?
Unbekanntere Tools, FF statt IE8?

Die Dinge die du schon länger hast hast du wahrscheinlich geklaut oder? Bei Torrent? Weas meinst du bewegt die Leute sich mehrere Stunden oder Tage hin zu setzen und einen Crack, Keygen ode sonst wie zu programmieren?
Falls du die Antwort nicht schon erahnen kannst: Sie packen dem Ganzen noch ein hübsches Pferdchen als Geschenk bei und verdienen sich dumm dämlich.

Die Dateien die jetzt sichtbar sind wurden vorher vom Rootkit versteckt. Womit wir bei der eientlichen Suche nach dem Schädling wären.



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK
  Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter BlaBlub.exe abspeichern!
  Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.



Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Überprüfe den Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.

Sehr viel Text, demnach mal die Logs auf einem alten Webspace von mir geupt.
Und der Vorteil dass ich es wieder löschen kann wenn du es gesehen hast, da es etwas sensible Informationen enthält.
www.fg-beta.bplaced.net/ComboFix.txt
www.fg-beta.bplaced.net/PandaActiveScan.txt
www.fg-beta.bplaced.net/mbam-log-2009-08-26 (23-51-23).txt xD

Ich kenne nicht die genau Statistik aber man darf davon ausgehen das so gut wie jeder gerade Jugendliche schon mal etwas runtergeladen hat was man als anständiger Bürger im Laden kaufen sollte.

z.B. eine Datei von ESL Aequitas (Anticheattool für Onlinegames) würde gefunden und gelöscht. Aber ist ja normal dass es auch mal harmlose Dinge findet oder?
Zum Beispiel der letzte Fund von Panda wird als Virus erkannt, es ist aber eine Software für meine Logitech Multimediatastatur.

Aber in der Tat vor ca. einer Woche hatte ich einen Keygen der keiner war. Danach hatte ich Probleme mit Java, bei jedem öffnen von IE8 kamen 2-3 Fehlermeldungen.
Als ich dann Java endlich mit „Windows Install Clean Up“ richtig löschen konnte und neu installierte ging wieder alles. Vielleicht kam das Problem jetzt noch von dort.

Bis jetzt wusste ich eigentlich bei jedem Virenbefall und manchmal folgendem Windows neu aufsetzen wo ich den Misst eingefangen hatte.
.exen die sich als mp3 ausgeben und einen Player installieren wollen oder ähnliches.
Irgendwie bisschen selber schuld ja…

Da bin ich ja jetzt echt froh dass wir doch ohne durchs Fenster springende FBI Agenten ausgekommen sind und wünsche dir noch viel Erfolg beim säubern der anderen ca. 40.000 Systeme

Ich bedanke mich vielmals bei dir und hoffe dass wir uns nicht so schnell wieder sehen müssen

Gruß jacki

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

c:\program files\mozilla firefox\plugins\libdivx.dll
c:\program files\mozilla firefox\plugins\ssldivx.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

LopSD

Deaktiviere deine Sicherheitsprogramme wie Antivirus etc., du kannst sie nach dem Scan wieder aktivieren.

* Lade dir Lop S&D herunter
* Starte die Installation per Doppelklick. Dort "Je suis d'accord avec les termes" anwählen und dann jeweils auf "suivant" klicken
* Nach beenden der Installation erscheint eine Verknüpfung zu Lop S&D auf deinem Desktop, bitte per Doppelklick ausführen.
* Wähle die Sprache deiner Wahl aus und danach die Option 1
* Es kann sein, dass dein Rechner neustartet, lasse dies zu.
* Warte ab bis der Scan beendet ist und das Logfile angezeigt wird.
* Poste das Log hier

*Das generierte Logfile wird unter C:\lopR.txt abgespeichert.
*Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.



Das MBAM Log ist nicht online. Reiche das bitte nach.

MBAM Log ist online!
Nur wird es hier nicht als Link erkannt weil hinten ein Leerzeichen drin ist.
Hätte woher %20 dazwischen setzen müssen.
Einfach ganzen Link in dein Browser kopieren.

http://www.fg-beta.bplaced.net/lopR.txt

Hast du die MBAM Funde löschen lassen?

Lösche bitte den ganzen Favoriten Ordner.

Und lösche den Mist hier:

C:\Users\xxx\AppData\Roaming\uTorrent\Sony Vegas Pro 9 + Crack and KeyGen.rar.torrent
C:\Users\xxx\Documents\Xilisoft Corporation\MP4 Converter\crack.js
C:\Users\xxx\Documents\Xilisoft Corporation\Video Converter Ultimate\crack.js

Wenn du weiterhin sowas ausführst dann landest du garantiert irgendwann ganz böse auf der Schnautze!