Ein freundliches Hallo miteinander.

Nachträglich noch ein frohes Fest.
Wobei ich da gleich zum Thema komme:

Mein Bekannter ist eher etwas "unbedarft" was PCs angeht und surft seit 2003 ohne Virenscanner.
Gestern ging das Gerät aus und heute sprang er dann gar nicht mehr wirklich an (Laptop). Vorher hatte er von 1&1 eine Email bekommen, die einen Virus auf seinem Rechner vermeldete, der "die Mailserver kontaktierte".
Nach einigem Hin und Her, einlegen der Windows-CD und Neustart kam er dann wieder auf die Windows-Oberfläche. Da sein latein schon lange nicht mehr ausreicht kontaktierte er mich und so habe ich mich mit Tante Google auseinanderesetzt.
Das erste was wir taten als der Rechner wieder ansprang war ein Online-Scan durch bitdefender.com. Dort wurde eine Datei lediglich gemeldet und zwar Parents Friends. Nach seinen Aussagen hat er niemas von dem Programm gehört. Nach Befragen von Google kam heraus das das Kürzel BSI für das Bundesam für sicheres Internet steht und Parents Friends ein Programm ist, welches einen internen Keylogger hat.
Da er es nicht installiert hat besteht die Vermutung eines Trojaners. Die angegebene Tastenkombi zum Aufrufen der Konsole blieb ereignislos und auch die Deinstallations-Routine winadmkill/uninst konnte nicht ausgeführt werden, da die Datei nicht auf dem Rechner vorhanden ist.

Da er gestern bei Amazon etwas bestellen wollte, aber weder eine Bestätigung bekommen hat noch im Bestellverlauf etwas zu sehen ist bekam er heute Panik und hat den Rechner aus dem Internet genommen, nachdem wir erst mal Antivir installiert haben.
Betreffende Passwörter habe ich für ihn geändert von meinem Rechner aus.

Ein HiJackthis-Log liegt noch nicht vor, da er gar nicht weiss wie er es erstellen soll.

Als ich dann wissen wollte ob die Datei wenigstens im Taskmanager unter Prozesse aufgeführt wird erklärte sich dann auch die Speicherauslastung von 100%: scvchost.exe ist 9 Mal vorhanden und einmal davon eine Auslastung von 99%...
Er brach den Prozess ab und sofort kam NT-Autorität\System und der Rechner gab ihm 1 Minute zum sichern der Dateien. Das hatte er wohl heute morgen schon einmal, jedoch hatte er da einfach nur Fotos betrachtet.

Ich weiss, das klingt alles sehr verwirrend, aber ich weiss nicht wie ich es sonst erklären soll (schließlich hatte ich bisher nicht die Möglichkeit direkt vor dem Gerät zu sitzen)..

Ich befürchte eine Einschmugglung via Trojaner - nur leider konnte ich keinen Lösungsansatz finden die Datei zu löschen.

Seine Angst ins Internet zu gehen kann ich nachvollziehen und deshalb frage ich nun stellvertretend für ihn, was wir nun noch tun können? Wie wird man dieses Programm wieder los? Woher kommt die Konsole des BSI (die man öffnen kann via Start.exe)? Und warum gibt es das NT-autoritäts-Problem?
Ich würde ihm gern helfen bevor er zum ortsansässigen PC-Typen geht, der meiner Meinung nach nicht mehr Ahnung hat wie ich...(und vor allem älteren Damen einen PC für 800 Euro zusammenbaut und ein gecracktes Windows XP installiert)...

Ist eine Ferndiagnose überhaupt möglich ohne HijackThis oder andere Programme? (Ich vermute Nein).

Für jeden gutgemeinten Rat oder jede Info wären wir sehr verbunden!

Lieben Gruß,
Rheanna

Hallo und Herzlich Willkommen!

1.

Zitat:

Zitat von Rheanna

Ist eine Ferndiagnose überhaupt möglich

NEIN!

2.

Zitat:

Prozess Name: Host Process for Services
Produkt: Windows
Firma: Microsoft
Datei: svchost.exe
Sicherheits-Bewertung:

"svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von DLL-Dateien ausgeführt werden. Dienste sind Funktionen, die z.B. automatische USB-Geräten erkennen oder die Druck-Funktionen ermöglichen. Dienste können gestartet oder gestoppt werden. Nicht alle Dienste benötigen Svchost.exe (nur solche, die per DLL-Dateien ausgeführt werden müssen). Das Betriebssystem startet Svchost-Sessions sobald es solche benötigt und beendet sie auch wieder, sobald einer nicht mehr gebraucht wird. Svchost.exe fasst mehrere Dienste zusammen, d.h. es können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden. Mehr Infos Mehr Infos

Wichtig: Die Datei "svchost.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei svchost.exe um einen Virus, Spyware, Trojaner oder Worm!
Es können mehrere Instanzen von "Svchost.exe" gleichzeitig ausgeführt werden

WICHTIG!:
Auf die genaue Dateiname und Reihenfolge von Buchstaben achten!

3.

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

4.
Zusammenfassend seien folgende Maßnahmen empfohlen:

Tipss & Hilfe:
SETI@home-Sicherheit / Sicherheitskonzept
Anleitung: Neuaufsetzen des Systems + Absicherung
Was muss ich bei einer Neuinstallation beachten?/computerleben.net
Windows XP neu installieren/computerleben.net
Windows Vista neu installieren/computerleben.net

Datensicherung:
- NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Bevor er/sie mit dem PC direkt ins Netz geht:
Passworte und Zugangsdaten ändern! - von einem sauberen System aus
Also alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (am besten von einem anderen, nicht-infizierten Rechner aus!)
- Vor zurückspielen:
Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung

gruß
Cf

Hi Coverflow

Vielen Dank für deine Antwort Das "Nein" war mir ja schon irgendwie klar, aber ich hoffe, ich bekomme ein wenig Unterstützung Ich kenn mich auch zu wenig aus damit, aber zumindest mehr als er. Übrigens: Ein Suchlauf mit Antivir erbrachte zwar Warnungen ohne Ende - aber die ParentsFriends-Datei da, die wurde nicht gemeldet - obwohl auf der Website von dem Programmierer oft dieser Fehler (ist es ja nur indirekt) gemeldet wurde.

Damit ich das Pferd nicht von hinten aufzäumen muss hier meine Fragen, die ich nun nach deiner Antwort habe

Zu 2.
Er nutzt XP (ich nutze Vista) - wie finde ich da heraus welcher svchost nun wo liegt? Anklicken per rechte Maustaste bringt ja nur die Abbruchmöglichkeiten und eine Erklärung gibt es ja bei XP nicht. Bei Vista wird einem ja wenigstens bei den meisten Sachen noch eine Beschreibung dahinter geliefert.
Den betreffenden Text den du einfügtest hatte ich bereits ergooglet, ebenso wie zu anderen Dingen die mir nichts sagten (spoolsv und so weiter) um zu schauen wo das Programm noch läuft.

Zu 3.
Davor schreckt er zurück und ich denke das sollte die letzte Lösung sein, oder? Das Sichern der Dateien wird jetzt über das Wochenende sowieso unmöglich, da er nicht ausreichend Festplattenmaterial hat Saturn und Mediamarkt haben ja heute zu

Zu 4.
Danke für das Zusammentragen der Informationen - sollte ein Neuaufsetzen nötig sein werde ich nach diesen Anweisungen selbst bei ihm vor Ort das Neuaufsetzen ion die Hand nehmen


Können hier Hijackthis-Logs oder andere Logs sinnvoll sein? Wenn ja bitte kurze Nennung welche Logs und ich versuche ihm das zu erklären.

Im übrigen ist ihm heute aufgefallen, das betreffende svchost nur auf 99 % Auslastung springt sobald eine Verbindung mit dem Internet aufgebaut wird. Wie gesagt ein Prozess beenden führt zu Systemabschaltung. Google verwies mich auf einen Wurm (recht neu angeblich). Masseninfektion.
Die Befürchtung, das nun die Kontonummer im Umlauf ist liegt nahe - bei Amazon kann man die ja auslesen und dann bei anderen Anbietern eintragen. Seitdem der Name nicht mehr abgeglichen wird hat man selbst ja später damit den Ärger. Mein Rat war mit der Bank Kontakt aufzunehmen und zu schauen, ob die vorab Meldung machen können bevor so eine Lastschrift durchgeführt wird. Ob die Bank sich drauf einlässt ist allerdings eher fragwürdig.

Bevor ich ins Schwafeln gerate: Vielen Dank schon einmal für deine Zeit!
Für weitere Hilfestellungen hab ich immer ein offenes Ohr!

LG, Rheanna

hi

- da "Svchost.exe" eine wichtige Systemdatei ist, die löschung, Beschädigung, oder der Beendigung des Prozesses führt letztlich dazu, dass der Rechner zu streiken beginnt
- wenn dir etwas komisch vorkommt, ein Dateiname oder sonstiges, mache darauf ein Rechtsklick mit der Maus und schon kannst Du die Herkunft unter "Eigenschaften" auslesen (Beschreibung usw)

arbeite bitte die Punkte ab, dann sehen wir weiter (obwohl eine Neuinstallation von Windows XP dauert wesentlich kürzer "geht schneller" als ...normalerweise müsse das System auf solche Weise etwa alle 2 max. 3 Jahre gereinigt werden!) :

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

Hi Coverflow,

ich habe meinem Nekannten zu einem Neuaufsetzen geraten. Ein weiterer Suchlauf von HijackThis und einigen Virenscannern brachte 2 weitere Viren und ich erklärte ihm, das es verschwendete Zeit wäre darauf viel Zeit zu verwenden.

Aber ich danke dir für deinen Rat. Und vor allem deine Zeit.
Nach einigen holperigen Diskussionen ist sein Laptop nun zumindest sicherer als er je war

Allen einen guten Rutsch

LG,. Ela

hi

danke für die Rückmeldung

Folgendes bitte ihn weiter leiten:
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus

Lesestoff:

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* [/url] - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
• Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 2-3 Monate ändern)
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color][/b] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Virenscanner
• BSI für Bürger
• SETI@home - [Sicherheit] Sicherheitskonzept
• Entwicklung schädlicher Websites/viruslist.com

Zitat:

Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner -

wünsch Dir alles Gute