Nachdem ich mir Malware (Rootkit, Trojaner, Viren, was auch immer) eingefangen habe, habe ich beschlossen eine Generalüberholung meines Systems (Spezifikationen unten) vorzunehmen.

Ziel ist es dabei,

• eine neue (noch verpackte) Festplatte als Ersatz für Festplatte 1 zu verbauen (Festplatte 2 soll eingebaut bleiben)
• ein neues OS (Windows 7 später ergänzt um LinuxSuse) zu installieren und
• (einen Teil) meine(r) DATEN zu RETTEN!!!
  Datentyp: Musikdateien (ausschließlich mp3), Officedateien (tex,div,aux,odt, ods, pdf, doc, xls, xlt, ppt), Bilder (jpg, gif), Firefox-Favoriten und Einstellungen, OpenOffice-Einstellungen, Windows-Adressbuch

Da ich extreme Panik davor habe, mir beim Datensichern die Malware rüberzuholen, wollte ich mich hier vergewissern, wie ich vernünftig vorzugehen habe und dabei auch ein paar Fragen stellen

1. oder 2. Schritt: Daten sichern

1. Sollte ich zuerst sichern oder erst versuchen die Malware zu entfernen?
2. Generell: Welche der o.g. Dateitypen kann ich bedenkenlos sichern, auf welche sollte ich verzichten?
   Spezieller: Laut h**p://oschad.de/wiki/Dateiendungen sollte man auf Dateien vom Typ pdf, doc, xls, xlt, ppt verzichten.
   Können diese Dateien gesichert werden, wenn man Makros nicht benutzt?
   Sind die OpenOffice-Formate unbedenklich?
3. Mighty Marc empfiehlt in http://www.trojaner-board.de/60012-d...aufsetzen.html die Dateien von einem sauberen System aus zu scannen.
   Mir ist nicht ganz klar wie das gehen soll.
   Bietet mein Suse die Möglichkeit in meiner Windows-Partition auf Viren zu scannen? Wenn ja wie?
   Wird ein sauberes System nicht kompromittiert, wenn ich auf die evtl. verseuchten Daten Zugriff habe oder diese scanne?
4. Kann ich meine Daten im abgesicherten Modus auf DVD brennen oder besteht dabei die Gefahr den Trojaner mitzukopieren
   (beim Brennen unter Suse erhalte ich vmtl. aufgrund mangelhafter Installation Fehlermeldungen, bei Knoppix Live habe ich es auch nicht geschafft)?

1. oder 2. Schritt: Virus löschen

1. Genügt es Festplatte 1 (bzw. nur die Partitionen Windows und Programme) zu formatieren oder sollte ich auch Festplatte 2 formatieren?
2. Genügt es die Festplatte(n) zu formatieren oder sollte ich zunächst mit Antivirensoftware versuchen das Rootkit zu entfernen?
3. Kann das Rootkit auch ins BIOS, auf Suse oder auf den Router übergesprungen sein?
   Wie habe ich dann vorzugehen?

Abschließend mein System und die entdeckte Malware.

Im Voraus schon einmal vielen Dank für Eure Hilfe.
http://www.trojaner-board.de/images/...ankeschoen.gif

SYSTEM:
Prozessor: Intel(R) Core(TM)2CPU 6420@2,13GHZ
Arbeitsspeicher: 2GB
Grafik: NVIDIA GeForce 7600 GS
Sound: Realtek High Def Audio
Netzwerk: Marvell Yukon88E8053 PCI-E

Festplatten-Partitionen:
Festplatte 1: Windows / Programme / Daten / Musik / Rest /Linux (nochmals unterteilt)
Festplatte 2: More / Videos / Sicherung

DVD-Laufwerke: 1 DVD-Brenner + 1 DVD-Laufwerk

OS: Windows XP ServicePack2 + Suse-Linux (Brenner funktioniert nicht!)

Software: Avira AntiVir, a-Squared Free, ad-aware, Firefox

MALWARE (laut a-squared Free):
Trace.Directory.dataminer!A2 (im Ordner Windows/system32/lowsec)
Virus.JS.Pdfka!IK (wurde bei einem zweiten Scan nicht mehr angegeben)
PWS.Win32!IK (wurde bei einem zweiten Scan nicht mehr angegeben)

Virenbefall:
am 3.4.2010 (zumindest hat an diesem Tag mein System selbsttätig die Windows-interne Firewall abgeschaltet)
seit 4.4.2010 stürzt Windows beim Hochfahren (genauer beim Laden von AviraAntivir) ab.Nutzung im abgesicherten Modus ist möglich, manche Dateien werden jedoch nicht angezeigt.

Hallo und

Zitat:

Sollte ich zuerst sichern oder erst versuchen die Malware zu entfernen?

Ich würde empfehlen, das Backup über ein Live-System durchzuführen. Ich weiß nicht ob Du schon eine OpenSuse-DVD hast und ob die eien Livemodus anbietet, dann könntest Du das darüber machen.
Wenn die zweite Platte aber eingebaut bleiben soll, kannst Du ja auch alles auf der bis auf die wichtigen Daten löschen!

Zitat:

Können diese Dateien gesichert werden, wenn man Makros nicht benutzt?
Sind die OpenOffice-Formate unbedenklich?

Ja, persönliche Dokumente kannst Du sichern, die sind unbedenklich. Finger nur weg von ausführbaren Dateien (also Setup, Programme, Spiele) die vom infizierten System verarbeitet wurden.

Zitat:

Bietet mein Suse die Möglichkeit in meiner Windows-Partition auf Viren zu scannen? Wenn ja wie?

Die zweite Platte wolltest Du doch drin lassen. Wenn Windows auf der neuen installiert ist, ist das ein frisches System und darunter kannst Du zB mit Malwarebytes oder so die Daten der alten Platte scannen.

Zitat:

Kann ich meine Daten im abgesicherten Modus auf DVD brennen oder besteht dabei die Gefahr den Trojaner mitzukopieren

meine Idee, wie schon erwähnt: Die Daten einfach auf der alten Platte lassen, die wolltest Du ja auch drinlassen. Du kannst sie sicherheitshalber ja auchnochmal auf eine ext. Platte kopieren (falls vorhanden).

Zitat:

Genügt es Festplatte 1 (bzw. nur die Partitionen Windows und Programme) zu formatieren oder sollte ich auch Festplatte 2 formatieren?

IdR reicht es, die Systempartition zu formatieren. Der restliche Datenbestand sollte dann aber geprüft werden. Wenn eh alles wichtige gesichert ist, kannst Du auch die gesamte Platte plattmachen...

Zitat:

Genügt es die Festplatte(n) zu formatieren oder sollte ich zunächst mit Antivirensoftware versuchen das Rootkit zu entfernen?

Formatieren reicht, damit wird das gesamte infizierte System gelöscht, eine vorherige Bereinigung im infizierten System wäre Zeitverschwendung...

Zitat:

Kann das Rootkit auch ins BIOS, auf Suse oder auf den Router übergesprungen sein?

Nein, das Risiko ist unwahrscheinlich bis inexistent...

Zitat:

OS: Windows XP ServicePack2

SP2 ist uralt. Du solltest das SP3 installieren! Und natprlich auch alle anderen wichtigen Microsoftupdates!

Zitat:

Software: Avira AntiVir, a-Squared Free, ad-aware, Firefox

A Squared und Ad-Aware würde ich weglassen.

Danke für die Antwort.

Wenn ich diese richtig verstehe, muss ich mir wegen meiner persönlichen Daten (Textdokumente, Musik, Bilder, Filme) doch weniger Sorge machen als befürchtet.
Wäre das folgende Vorgehen dann sinnvoll?

1. Einzelne Dateien (Firefox-Favoriten und Einstellungen, OpenOffice-Einstellungen, Windows-Adressbuch) auf Festplatte 1 von C:Windows bzw. D:Programme auf H:Linux kopieren
2. Mit Gparted Live auf Festplatte 1 die Partitionen C:Windows und D:Programme formatieren.
3. Festplatte 1 und 2 ausbauen
4. Neue Festplatte (im Folgenden als Festplatte 3 bezeichnet) einbauen (und partitionieren)
5. Windows 7 installieren, Updates (Patches) installieren
(falls erforderlich) Hardware (Treiber und Updates) installieren
6. Firefox, Ccleaner, AntiVir und Malwarebytes installieren
7. Festplatte 1 (vorübergehend) als zweite Festplatte einbauen und die darauf noch vorhandenen Partitionen E: Daten, F:Musik, G:Rest, H:Linux mit Ccleaner, AntiVir und Malwarebytes auf Virenbefall prüfen
8. Falls keine Malware entdeckt wird: Die Dateien auf Festplatte 3 kopieren bzw. verschieben.
(Andernfalls RSIT einsetzen und Ergebnisse posten)
9. Festplatte 1 ausbauen
10. Festplatte 2 als zweite Festplatte einbauen und die darauf noch vorhandenen Partitionen I:More, J:Videos, K:Sicherung mit Ccleaner, AntiVir und Malwarebytes auf Virenbefall prüfen
11. Falls keine Malware entdeckt wird: Die Dateien auf Festplatte 3 kopieren.
(Andernfalls RSIT einsetzen und Ergebnisse posten)
12. Festplatte 2 formatieren und partitionieren
13. Installation der restlichen Software (Office-Anwendungen, Musik, Video etc), Dateien nach eigenen Wünschen hin und her schieben, persönliche Einstellungen vornehmen etc.

Bemerkung: Auf den Partitionen E: Daten, F:Musik, G:Rest, H:Linux, I:More, J:Videos, K:Sicherung habe ich keine System-Dateien, Programme oder Spiele installiert (die Trennung war zumindest der Grund für die vielen Partitionen).

P.S. Während ich auf Antwort gewartet habe, habe ich über das System CCleaner und Malwarebytes laufen lassen. Das letztgenannten Programme hat einige Malware gelöscht, konnte eine Datei jedoch nicht entfernen.
Da ich nicht weiß, ob es zur Beurteilung des o.g. Vorgehens hilfreich ist, die Malware zu kennen, hänge ich hier noch die Berichte (vor dem Löschen der Malware und nach dem Löschen der Malware) an.

Zunächst der Bericht vor dem Löschen der Malware:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3930

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

09.04.2010 21:24:23
mbam-log-2010-04-09 (21-24-23).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 99422
Laufzeit: 5 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\getdo (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> No action taken.



Nun noch den Bericht nach Löschen der Malware (die verbliebene Malware ließ sich trotz mehrmaligen Versuchs nicht löschen)
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3930

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

10.04.2010 17:27:36
mbam-log-2010-04-10 (17-27-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|I:\|J:\|K:\|L:\|)
Durchsuchte Objekte: 428676
Laufzeit: 1 Stunde(n), 41 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\wiaservg.log (Malware.Trace) -> No action taken.


PPS 1: Mein OS ist natürlich Windows XP Service Pack 3. Da ist mir beim ersten Posten
wohl ein Fehler unterlaufen. Sorry.

PPS 2: Soll ich a-squared und ad-aware einfach nur weglassen, oder soll ich stattdessen
Malwarebytes' Anti-Malware installieren und gelegentlich laufen lassen?

Danke für die Unterstützung!

Zitat:

2. Mit Gparted Live auf Festplatte 1 die Partitionen C:Windows und
D:Programme formatieren.

Kannst Du auch im Windows-Setup, es braucht dafür kein GParted zu sein. Da Du eh ins Windows-Setup musst, kannst Du das das da erledigen.

Zitat:

3. Festplatte 1 und 2 ausbauen

Eine Platte wolltest Du doch zusätzlich zur neuen behalten? Lass die einfach drin.

Zitat:

7. Festplatte 1 (vorübergehend) als zweite Festplatte einbauen und die darauf noch vorhandenen Partitionen E: Daten, F:Musik, G:Rest, H:Linux mit Ccleaner, AntiVir und Malwarebytes auf Virenbefall prüfen

Kopier doch einfach alle wichtigen Daten auf die Platte, die als Zweitplatte drinbleiben soll (soll es das?) oder einfach eine 2. Partition der neuen Platte. Dann ersparst Du Dir das ständige Ein- und Ausbauen der Platten.

Ich würd so machen, dass ich möglichst wenig rumschrauben muss. Hast Du keine externe Platte? Dann kannst Du erst alles da rauf schieben und baust dann so die Platten ein, wie Du es em Ende auch haben willst. Zum Schluß nur die Dateien wieder zurückkopieren

Zitat:

8. Falls keine Malware entdeckt wird: Die Dateien auf Festplatte 3 kopieren bzw. verschieben.

An für sich ist ein Virencheck bei nicht ausführbaren Dateien überflüssig. Und Du wolltest ja auch nur reine Daten sichern und keine ausführbaren Dateien (Programme, Spiele, Setups) - kann aber nicht schaden.

Zitat:

10. Festplatte 2 als zweite Festplatte einbauen und die darauf noch vorhandenen Partitionen I:More, J:Videos, K:Sicherung mit Ccleaner, AntiVir und Malwarebytes auf Virenbefall prüfen

Warum so viele Partitionen? Ich mach sowas nicht, um für Ordnung zu sorgen gibt es Verzeichnisse, man braucht keine Tausend Extrapartitionen! Ich mach für jedes System mit einer Platte nur zwei Partition, eine fürs OS eine als Datenablage. Mehr Partitionen sind IMHO unnötig und unflexibel!

Hallo Arne,

danke für die Hinweise.
Ich werde in den nächsten Tagen versuchen, sie umzusetzen und gebe dann einen kurzen Bericht.

Jens