Okay -
Den Scan versuche ich die ganze Zeit zu machen - bisher sind 4 Versuche fehlgeschlagen, jedesmal is was schiefgegangen (selbstverschuldet, also nicht durch bösartige Software oder so). Der Scan dauert bei mir gute 3 Stunden und ich darf ja in der Zeit am PC nix machen, weshalb ich gucken muss wo und wann ich den Scan mal laufen lassen kann.
Immerhin kann ich vom heutigen Scan-Versuch mal eine Logdateiposte, das dürfte so 50% des Scans gewesen sein, dann kams zu nem versehentlichen Stop:

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-30 21:09:40
Windows 5.1.2600 Service Pack 3
Running: 3s8y47u4.exe; Driver: E:\DOKUME~1\XxX\LOKALE~1\Temp\kwldyaog.sys


---- System - GMER 1.0.15 ----

SSDT            BA6DFEEE                                                                                         ZwCreateKey
SSDT            BA6DFEE4                                                                                         ZwCreateThread
SSDT            BA6DFEF3                                                                                         ZwDeleteKey
SSDT            BA6DFEFD                                                                                         ZwDeleteValueKey
SSDT            BA6DFF02                                                                                         ZwLoadKey
SSDT            BA6DFED0                                                                                         ZwOpenProcess
SSDT            BA6DFED5                                                                                         ZwOpenThread
SSDT            BA6DFF0C                                                                                         ZwReplaceKey
SSDT            BA6DFF07                                                                                         ZwRestoreKey
SSDT            BA6DFEF8                                                                                         ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text           E:\WINDOWS\system32\drivers\ACEDRV07.sys                                                         section is writeable [0xA7990000, 0x328BA, 0xE8000020]
.pklstb         E:\WINDOWS\system32\drivers\ACEDRV07.sys                                                         entry point in ".pklstb" section [0xA79D4000]
.relo2          E:\WINDOWS\system32\drivers\ACEDRV07.sys                                                         unknown last section [0xA79F0000, 0x8E, 0x42000040]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001a6bd56222                      
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001a6bd56222 (not active ControlSet)  

---- EOF - GMER 1.0.15 ----
         

--- --- ---


Werde morgen versuchen den Scan endlich mal ganz hinzubekommen.


Und noch unabhängig vom Scan:

Zitat:

Zitat von markusg

also die prozesse sind alle normal, system war vorher sicher auch schon da
avshado gehört zu avira und das die prozesse laufen ist ok, laufen nach deaktivierung trotzdem.
und 8x svchost.exe ist auch nicht außergewönlich

Über den System-System-Prozess will ich jetzt nicht streiten - womöglih hab ich den vorher nicht gesehen. Aber der Rest:
Das mag ja sein, dass die Prozesse an sich "normal" sind, nur bin ich mir 100% sicher, dass, wei gesagt, vis zur Infektion gut die Hälfte der Prozesse nicht da war - und, ich will ja nich fachsimpeln, aber das scheint mir schon äußerst verdächtig zu sein.
avshadow gabs vorher nich, 100%, und die ganzen svchosts - wie gesagt, auch wenn die "eigentlich" nicht schlimm sind, ich will mich nicht damit abfinden, dass die PLÖTZLICH da sind, wo sie vorher nicht waren. Da stimmt doch dann einfach was nich...

Ich weiß das alles genau, weil ich den Rechner immer "sauber" gehalten hab, im Sinne: Ich hab immer via msconfig dafür gesorgt, dass ich alles, was sich im Autostart einnistet, ich aber nich unbedingt brauche, rausgenommen hab. Und ich hatte regelmäßig ein Auge auf die ganzen laufenden Prozesse (nach Installationen von neuer Software, oder wenn ich den Eindruck hatte er läuft lahmer als sonst, usw.). Insofern weiß ich einfach, wieviele Prozesse das vorher ungefähr waren, und zumindest welche Prozesse mir völlig unbekannt sind.


Und noch was :
Was eben grade passiert ist (als ich übrigens hierher wollte um den reply zu schreiben )

Ich wollte firefox starten. Klicke. Fängt an ewig zu laden. PC ausgelastet.
Ich starte den Taskmanager, will firefox (den prozess, fenster hatte sich noch nicht geöffnet) abschießen. Dabei hängt sich der Task-Manager auf. Nun kann ich nichts von der windows GUI mehr benutzen (START-button / STRG+ESC, shortcuts auf taskleiste usw).
PC immernoch voll ausgelastet.
Ich starte noch einen taskmanager, versuche den ersten abzuschießen und beobachte mal was so die lastigen prozesse sind:
der oberste Prozess (also der mit höchster CPU-Auslastung) ist lsass.exe. Der war nonstop am rattern.
abwechselnd traten dann noch in die obersten drei immer wieder wmiapsrv.exe, ein svchost.exe und winlogon.exe und mit geringer Auslastung auch noch ein paar andere. Alles sehr chaotisch, und PC wie gesagt voll ausgelastet.
Firefox konnte ich übrigens dann mit dme zweiten Taskmanager problemlos abschießen.
Windows fing dann irgendwann an sich herunterzufahren, musste aber "hardcore-reset" letztendlich machen da beim herunterfahren-bildschirm nichts mehr passiert ist.

Normalerweise sind diese "neuen Prozesse" die ich da habe die meiste Zeit still (solange ich kein Internet starte tut da glaub ich keiner was).

der prozess gehört zu der neuen avira version, also kein wunder das er vorher nicht da war, wenn du mir nicht glaubst, können wir folgendes machen, system neu aufsetzen. dann kannst du dir sicher sein dass alles runter ist.

Das hat ja mit glauben nichts zu tun -
Ich werde aber trotzdem einfach das System neu aufsetzen.

Ich habe auch gerade festgestellt dass tatsächlich eine Fremdüberweisung von 60 Euro von meinem Konto getätigt wurde (obwohl ich nirgends eine TAN angegeben habe) - insofern wirds allerhöchste Zeit ^^, muss jetzt erstmal Konto sperren lassen usw.

Da doch lieber einmal alles platt machen und dann wieder ganz die Ruhe haben...!


Ich bedanke mich jedenfalls bei Dir (und den anderen) sehr für die schnelle und konstruktive Hilfe bis zu diesem Punkt!


Und noch eine leztte Frage für die Zukunft:
Wie kann ich mich besser schützen?
Ich verzichte (schon aus Prinzipien) auf teure Software und versuche mich an Freeware zu orientieren.
Ich habe bisher eben Antivir verwendet und neuerdings auch mal sowas wie ad-aware oder kurzweilig die demo von spywaredoctor.
Alle (potentiell gefährlichen, also exe- usw.)Dateien die ich herunterlade scanne ich vor dem ersten öffnen.
Firewall-technisch jedoch nix.
Was würdet ihr mir an speziellem Internet-Schutz, wie eben ne firewall o. ä., empfehlen?
Und is Antivir ok?


Danke nochmal für die bisherige Hilfestellung!

1. könntest du erst mal die bank anrufen, die werdendas geld wohl wieder zurück hohlen bzw erstatten
dann solltest du dich beraten lassen über online banking mit chipcard. du solltest fragen ob du ein lesegerät der klasse 3 bekommen kannst, da dies die besten auf dem markt sind, für privat user, kosten rund 50 €.
Kartenlesegerät ? Wikipedia
hier kannst du die einzelnen klassen sehen.
ok starte also nun mit der formatierung, nicht die schnelle wählen, sondern die "normale"
danach instaliere evtl. benötigte treiber.
dann instaliere windows xp servicepack 3 + fehlende updates + internet explorer 8.
dann folgt avira:
http://www.trojaner-board.de/54192-a...tellungen.html

dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.
einer der sichersten browser ist opera.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen
bitte instalieren, er ist sicherer als der firefox und der ie, und, zu mindest bei mir, schneller.
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
autorun für usb deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport
updates:
Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
dann lies bitte diesen artikel:
Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de
automatische updates sollte natürlich immer aktiev bleiben.
bitte endere außerdem alle passwörter
so, ab sofort surfe bitte nur noch in sandboxie, zu erreichen wenn du auf "sandboxed webbrowser" klickst

Super - danke für die vielen Infos..! und besonders für die detaillierten Tipps, wie ich den PC nach dem Plattmachen "einrichten" soll um mich mal grundlegend abzusichern.... toll!

Ich werde mich jetzt ranmachen, formatieren, neu aufsetzen und dann schritt für schritt wie beschrieben die verschiedenen sachen da dranbasteln.
Wenn alles geklappt hat melde ich mich dann abschließend nochmal zurück .. 8)!

Eine Frage is mir noch eingefallen, die ich das letzte mal vergaß:
Was hat es eigentlich mit dieser Wiederherstellungs-Geschichte auf sich?
Von wegen Wiederherstellungspunkt erstellen und dann irgendwann wiederherstellen usw..
Funktioniert das _echt_ auch bei einem Verseuchungsfall wie Viren, Trojaner usw.?
Also ich meine im Ernstfall: Mal angenommen mein PC is jetzt durch super-penetrante Schädlinge verseucht (und idealisiert: ich wüsste genau ich war bis vor 2 Wochen clean und habe mich jetzt durch eine ganz bestimmte .exe verseucht ...) und ich denke mir, nun ja, dann machen ich eben ne Wiederherstellung von vor 2 Monaten oder so. Gibt es echt keine Trojaner & co die das "überleben"? Also das mein ich mit der frage ob das Wiederherstellungs-dings zuverlässig ist. ??
Ich hab diese "Technik" bisher nie verwendet, aber wenn das zuverlässig is kann man sich damit ja einiges sparen, ich könnte mir jetzt natürlich zbsp sparen 100% plattzumachen und würde nur vlt. 20% meiner Daten (temporär) verlieren anstatt alle.
Ist das zu empfehlen?
Und: Da gibts ja die Windows eigene Version von. Kann die was? Oder gibts ne empfehlenswerte Freeware o. ä. zu?


D A N K E !!

Und Tschüsschen, mein PC !

Soooooooooooooooooooooo........
Hab den PC jetzt Schritt für Schritt nach der Anleitung eingerichtet und alles hat gut geklappt.

- D A N K E -
an dieser Stelle erst nochmal für die ganze Hilfe.


Abschließend nun ochmal die Frage:
Gerne würde ich jetzt natürlich mal von dem PC-Zustand wie er jetzt ist ein Abbild machen, um ihn ggf. jederzeit in diesen Zustand zurücksetzen zu können.
Die gepostete Backup-Software kann ich mir (im mom) nicht leisten.
Gibt es da keine kostenlosen Alternativen bezüglich Backup-SW oder Wiederherstellungs-SW?
Was ist mit der Windows-eigenen "Systemwiederherstellung" ... !? Kann die was, nützt das was wenn der Rechner irgendwann wieder verseucht sein sollte?

Übersicht: Die beste Backup-Freeware - NETZWELT
hier sollte was dabei sein.

Super - danke nochmal !
(Hab mich für Paragon entschieden, erfüllt genau das was ich meinte)
Thread kann geschlossen werden