| |
| |||||||
Log-Analyse und Auswertung: Datenrettung bei flacorWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
05.08.2010, 07:15
| #1 |
| |  Datenrettung bei flacor Guten Tag zusammen! Ich habe mir flacor eingefangen, und das wohl gleich 2fach. Zu Hause bekomme ich die Fehlermeldung, das flacor.dat nicht in Ordnung sei, beim Hochfahren, und im Büro steigt Firefox manchmal plötzlich aus. Zudem hat sich der Rechner einige male einfach herunter gefahren. Außerdem hatte ich im Büro einige Tage ständig die Meldung meines Antivirenprogramms (Eset), dass eine Verbindung zu foreks999 blockiert worden sei. Diese Meldung blieb auch nach dem Einsatz von Knoppicillin bestehen, verschwand aber nach einer Systemwiederherstellung auf einen früheren Zeitpunkt. Im Büro machen wir auch online-Banking, allerdings nur mit schriftlicher TAN oder wie das heißt (ich mache es nicht selbst), also mit Abschreiben einer Nummer aus einer Liste. Allerdings haben wir auch schon mal was über Kreditkarte gekauft. Ich denke, dass ich folgendes tun muss: Windows an allen betroffenen Rechnern neu aufsetzen, bis dahin nichts kritisches tun (kein Banking, keine passwortgeschützten Seiten aufrufen etc.) und alle Passwörter ändern, aber nur von einem sauberen System aus. Das ist großer Mist, aber wohl nicht zu umgehen. Was mich interessiert: Wie weit ist flacor denn nun bei mir verbreitet? Ich muss sehr iele Daten retten: Bilder, Filme und sehr viele CAD-Daten sowie 3D-Projekte. Im Einzelnen: Im Büro haben wir einen Exchange-Server. Muss ich davon ausgehen, dass flacor auch da sitzt? (Der befallene Rechner war einige Tage im Büro-Netz.) Was ist mit den anderen Rechner im Büronetz? Ich betreibe einen kleinen Internetshop. Kann flacor durch den Admin-Bereich auch dort sitzen? Sitzt er auch auf den externen Festplatten? Ich brauche meine ganzen alten Emails. Wie kann ich mein Postfach retten? Vielen Dank für jede Hilfe! Bastian61 Hijackthis meldet auf meinen Rechner zu Hause: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 07:45:05, on 05.08.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe c:\xampp\apache\bin\apache.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\ESET\ESET Smart Security\ekrn.exe C:\Programme\iolo\common\lib\ioloServiceManager.exe C:\xampp\apache\bin\apache.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe C:\xampp\mysql\bin\mysqld.exe C:\Programme\BUFFALO\NASNAVI\nassvc.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\Programme\iZ3D Driver\Win32\S3DCService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\CmUCReye.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe C:\Programme\ESET\ESET Smart Security\egui.exe C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\BUFFALO\NASNAVI\nassche.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\SpeedProject\SpeedCommander 12\SpeedCommander.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE C:\Programme\Mozilla Firefox\firefox.exe D:\zur_Inst\HiJackThis204.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.vbvisual.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET Smart Security\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [RemoteControl9] C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe O4 - HKLM\..\Run: [PDVD9LanguageShortcut] C:\Programme\CyberLink\PowerDVD9\Language\Language.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [Getdo] rundll32.exe "C:\Dokumente und Einstellungen\Bastian\Anwendungsdaten\Adobe\Update\flacor.dat"" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: BUFFALO NAS Navigator.lnk = C:\Programme\BUFFALO\NASNAVI\NasNavi.exe O4 - Startup: NAS Scheduler.lnk = C:\Programme\BUFFALO\NASNAVI\nassche.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET Smart Security\EHttpSrv.exe O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET Smart Security\ekrn.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iolo FileInfoList Service (ioloFileInfoList) - Unknown owner - C:\Programme\iolo\common\lib\ioloServiceManager.exe O23 - Service: iolo System Service (ioloSystemService) - Unknown owner - C:\Programme\iolo\common\lib\ioloServiceManager.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld.exe O23 - Service: NAS PM Service (NasPmService) - BUFFALO INC. - C:\Programme\BUFFALO\NASNAVI\nassvc.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: S3D Service (Win32) - iZ3D Inc. - C:\Programme\iZ3D Driver\Win32\S3DCService.exe -- End of file - 10095 bytes |
|
05.08.2010, 11:25
| #2 |
| /// Malware-holic   | Datenrettung bei flacor also.
__________________1. bank anrufen und online banking sperren lassen. 2. du meinst pin /tan, das ist unsicher und sollte durch was sicheres ersetzt werden. hier mal nach reihenfolge was sicherer währe. kombination aus hbci /FinTS verfahren das FinTS verfahren als einzel lösung oder hbci-verfahren es werden da vllt einige zusatzkosten, nicht sonderlich hoch, entstehen, ist aber besser als irgendwann mal geld zu verlieren. 3. normalerweise verteilt sich das ding nicht übers netzwerk, aber zu mindest der heim pc und der, den du zurückgesetzt hast, hatten beide den zeus und gehören formatiert. 4. haben diese pcs alle windows xp? ich möchte das wissen um dier passende sicherheits tipps geben zu können. 5. passwörter alle von nem sauberen pc aus endern, dazu gehören auch die zugänge zum online shop, zu mindest die für den admin bereich. 6. hattest du an dem heim pc und an dem pc der auf arbeit infiziert war den selben wechseldatenträger? usb stick etc angeschlossen? 7. suche dir nen sauberen pc, downloade dort panda vaccine Panda USB Vaccine - Download - CHIP Online mit dem tool kannst du erst mal den autostart auf dem pc deaktivieren. das ist nötig, damit nicht irgendwelche malware von wechseldatenträgern übertragen werden kann, diese vorsichtsmaßname ist ein muss auf jedem privat und firmen pc. schließe nun zu erst den datenträger an, den du in der firma und zu hause genutzt hast, und formatiere ihn. wichtige daten kannst du sichern. nun kannst du ihn mit panda vaccine "impfen" so das keine malware übertragen werden kann. impfe alle datenträger, mit denen du daten von den infizierten pcs hohlen willst. 8. wenn du ein backup des online shops hast, kannst du das ja zb auch einspielen oder sende mir den link als pm, mal sehen ob ich was finde. manche shops haben auch software, die aktualisiert werden muss, stichwort sicherheitslücken, ich hoffe du schaust da regelmäßig? 9. welches e-mail-programm? |
|
05.08.2010, 12:43
| #3 |
| | Datenrettung bei flacor Danke erst einmal!
__________________Antworten: 1: bank anrufen und online banking sperren lassen. - mach ich. 2: du meinst pin /tan, das ist unsicher ... - wie kann etwas, das eine tan erfordert, die jedes mal wechselt und nicht im Computer ist, unsicher sein? (Soll keine Besserwisserei sein, sondern eine echte Verständnisfrage!) 3: normalerweise verteilt sich das ding nicht übers netzwerk... - Im Netz hat auch kein anderer Rechner irgendwelche Symptome. 4: haben diese pcs alle windows xp? - ja. 5: passwörter alle von nem sauberen pc aus endern, dazu gehören auch die zugänge zum online shop, zu mindest die für den admin bereich. - mach ich. 6: hattest du an dem heim pc und an dem pc der auf arbeit infiziert war den selben wechseldatenträger? usb stick etc angeschlossen? - nein. Aber Daten per Mail ausgetauscht und gesurft. 7: suche dir nen sauberen pc, downloade dort panda vaccine... - mach ich. 8: wenn du ein backup des online shops hast, kannst du das ja zb auch einspielen oder sende mir den link als pm, mal sehen ob ich was finde. manche shops haben auch software, die aktualisiert werden muss, stichwort sicherheitslücken, ich hoffe du schaust da regelmäßig? - da setze ich unseren Helfer daruf an, der uns den Shop betreut und angepasst hat. 9: welches e-mail-programm? - Outlook |
|
05.08.2010, 13:13
| #4 |
| /// Malware-holic | Datenrettung bei flacor warum sollte ne frage bessewisserei sein.... nehmen wir an, du gibtst dein zeug in den browser ein, verbindung wird umgeleitet nach russland oder sonst wo hin, trojaner zeigt dir ne überweisung an etc und nen gefälschten kontoauszug, online natürlich, du freust dich "überweisung getetigt" und irgendwann fällt dir auf, dass abgebucht wurde, aber aus russland oder sonst wo her. die anderen verfahren nutzen methoden, die das auf jeden fall erschweren und nahezu unmöglich machen. stichwort verschlüsselung etc. 3. dann wie beschrieben, die beiden pcs die betroffen waren formatieren. 4. dann mal zur absicherung. http://www.trojaner-board.de/74052-s...-internet.html für jeden pc ist ein eingeschrenktes konto pflicht. außerdem solltet ihr euch vllt Sandboxie besorgen. weis aber nicht wie da die preislichen bedingungen für firmen sind, für privatperson, 25 € lizenz lebenslang auf allen deinen pcs gültig. http://www.trojaner-board.de/71542-a...sandboxie.html außerdem sollte auf allen pcs dep aktiviert werden, eine zusätzliche sicherheitsmaßname, die windows von hause aus mit bringt. dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. secunia für software updates: http://www.trojaner-board.de/83959-secunia-personal-software-inspector-psi.html und immer drüber nachdenken, brauche ich wirklich alles an instalierter software, ich spreche zb über die google toolbar, auf arbeits pcs sollte das alles so knapp bemessen sein wie möglich, also nur das nötigste. und ich persönlich würd mir auch keine toolbar instalieren. 9: Outlook 2000/2002/2003 & 2007 Daten sichern (Backup) |
|
| Themen zu Datenrettung bei flacor |
| 32-bit, adobe, aufrufe, ausgehen, bho, blockiert, buffalo, daten retten, datenrettung, e-banking, einstellungen, eset smart security, exchange server, explorer, fehlermeldung, festplatte, firefox, flacor.dat, ftp, google, hkus\s-1-5-18, internet explorer, karte, kreditkarte, monitor, mozilla, neu aufsetzen, object, pdf, plug-in, programme, rundll, security, seiten, software, tan, windows, windows xp, ändern |
Linear-Darstellung
