Hallo werte Community

Ich bin neu hier und möchte euch um ein paar Tipps bitten.

Ich bin auch nur einer von den Nasen, die ein Chaos von Halbwissen haben, das ich ein bischen ordnen möchte, um daraus einen Arbeitsplan abzuleiten. Letzlicher Arbeitsplan: Meine Maschinen neu aufsetzen. Vieles habe ich dazu hier gefunden und werde es dankbar nutzen

Da hier Themen natürlich nicht zu allgemein werden sollen, splitte ich meine auftretenden Fragen in Teilbereiche und werde mich gewiß nochmal melden.

Als erstes möchte ich meine Daten sichern und zu diesem Zweck ein paar USB-Platten anschaffen. Wenn ich dann zum kopieren komme, möchte ich natürlich verhindern, das sich Schadsoftware mit sichert.

Und damit komme ich zum Punkt: Ich weiß, das einer meiner zwei Rechner gekapert wurde. Mein Provider hat mir berichtet ( die betreiben da etwas, was man wohl ein "Sinkhole" nennt ), das meine Maschine Massenmailversand betreibt. Angeblich wird dazu ein eigenes Versendertool verwendet, das unabhängig von meinem Email Account agieren soll. Ein ähnliches Thema habe ich hier bereits gefunden:

http://www.trojaner-board.de/94377-m...versendet.html

Ich gehe davon aus, das ich über die Phase des Trojaners hinaus bin, das sich da bei mir etwas installiert und auch getarnt hat, denn Malwarebytes hat nichts auffälliges gefunden.

Welchen Weg schlage ich jetzt am Besten ein? Killen wir den Burschen, bevor ich anfange Daten zu sichern? Oder kann man anderweitig verhindern, das sich da etwas auf meine Sicherungsplatten spielt, sobald ich sie anschliesse?

Ergänzend: Ich habe 2 XP Professional Lizenzen mit SP3. Beide gehen über einen Router ( WLAN deaktiviert ) ins Internet. Meinen Emailbomber habe ich sicherheitshalber abgekabelt. An dieser Stelle noch eine Laienfrage: Könnte evtl der Router selbst das Problem sein? Man hört da ja so Dinge, das Router auch gekapert werden können?

Vielen Dank schon mal im voraus.

Gruß

keenux

wieso gehst du davon aus, das Malwarebytes eine 100 %ige erkennungsrate bietet?

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
bitte die textdateien packen, mit winrar oder zip.
bei pc1 gib als dateiname
pc1.rar oder zip an, bei pc2 das selbe, nur mit ner 2 :-)
dann die archive hier anhängen.

Hallo

Danke für die schnelle Reaktion

1)
Zitat:

HTML-Code:

wieso gehst du davon aus, das Malwarebytes eine 100 %ige erkennungsrate bietet?

Unterstellung Wenn ich den Report blind glauben würde, wäre ich nicht hier.

2) Du schlägst direkt den Weg der Schädlingsbekämpfung ein? Dann los!

Im Anhang findet sich ein Zip Ordner, für PC1 und PC2 je ein OTL + Extras. PC2 ist mit höchster Wahrscheinlichkeit der Bösling. Das heißt aber nicht, das Nummer 1 clean ist.

3) Die Frage zum Router bleibt also erstmal aussen vor?

Gruß

keenux

ja, erst mal pcs.
beide:
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
da ich auf den ersten blick nichts verdächtiges gesehen hab.
wenn es dir natürlich lieber ist, können wir kurzen prozess machen, beide neu aufsetzen und nen router reset machen.
dann musst du dort aber nutzerdaten neu eingeben.

Hallo

Ausgeführt. Im Anhang zwei combofix-logs für PC1 und PC2 (gezipped).

Anmerkung: Das Programm hat bei PC2 einen Neustart durchgeführt, was es bei PC1 nicht getan hat. Mag möglicherweise etwas bedeuten.

Kurzen Prozess nicht sofort, da ich ja erst noch Daten sichern muß

Gruß

keenux

na das ist schon klar :-)
hmm ich sehe immernoch nichts.
ComboFix-quarantined-files.txt
das mal noch von beiden pcs posten. und dann mit der datensicherung anfangen.

Hallo

Meinst Du diese hier?

PC1

2011-01-04 16:34:48 . 2011-01-04 16:34:48 141 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-REGSHAVE.reg.dat
2011-01-04 16:32:46 . 2011-01-04 16:32:46 5,981 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2011-01-04 16:28:23 . 2011-01-04 16:28:23 51 ----a-w- C:\Qoobox\Quarantine\catchme.log

PC2

2011-01-04 16:09:05 . 2011-01-04 16:09:05 4,975 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2011-01-04 16:05:58 . 2011-01-04 16:05:58 51 ----a-w- C:\Qoobox\Quarantine\catchme.log

Gruß

keenux

ja, zeigen beide nichts auffälliges. also bei beiden daten sichern und dann gebe ich dir ne anleitung für beide pcs.
du solltest mal schauen, kaspersky 7 ist nicht mehr tau frisch, 2011 wäre ne überlegung wert.
welche mcaffee version du nutzt konnte ich net rauslesen, aber falls upgrade nötig, sollte das ebenfalls gemacht werden, oder beide pcs auf kasperksky umstellen.

Danke erst mal ,

ich melde mich, sobald ich die Datensicherung habe. Kann ein bischen dauern, da ich morgen beruflich ausgelastet bin und heute bin ich fix.

Ja, da sind bei mir einige Dinger veraltet.

Eine Schiene bei mir ist, das ich mir eine weitere Maschine anschaffen möchte. Sobald ich die habe, werde ich mir eine Kaspersky Tripple Lizenz kaufen. Bis dahin halte ich mich mit Freeware über Wasser

Das sich nix findet ist interessant. Sollen wir mal die Probe aufs Exemple machen? Ich könnte ihn einfach noch mal ans Netz geben und abwarten. Sollte sich da erneut ein Versand aktivieren, müsste ich ja erneut eine abuse-mail von meinem Provider bekommen.

Greets

keenux

naja, es könnten aber auch versteckte komponennten drauf sein.
so ne "entrümpelungsaktion" ist ja auch nicht schlecht und wir können das system dann richtig absichern.

Sodele

Daten gesichert.

Das einzige, was ich wohl mal versehentlich gekillt habe und nicht wiederfinde, ist ein Install-File für alte Video-Codecs. Aber sowas dürfte man im Netz wiederfinden können.

Ich habe nochmal ein Abuse-Hinweis von meinem Provider bekommen, datiert auf den 3.1, Montag. Ich meine aber zu wissen, das mein Verdächtiger zu der Zeit abgekabelt war. Also entweder sinds beide, oder aber könnte das ein Hinweis darauf sein, das der Router verseucht ist?

Entrümpeln ist immer gut. Macht die Dinger schneller

Gruß

keenux

codeks sind misst, nutze lieber nen richtigen player. vlc zb.
machst du gleich beide rechner neu?
dann mache auch gleich nen router reset. du musst dir evtl. deine zugangsdaten aufschreiben.
und dann im router menü ein passwort vergeben, standard pws sind blöd, die kennt halt jeder :-)
nutzt du wlan? dann schau das die wpa2 verschlüsselung genutzt wird, nicht das da jemand in deinem netz rum surft.
http://www.trojaner-board.de/96344-a...-rechners.html

Wow!

1) Hört sich interessant an: Wo finde ich dieses vlc?
2) Aufsetzen: Ich würde sagen, einen nach dem anderen. Hat den Vorteil, das ich mit dem anderen Online bleiben und Fragen stellen kann Es darf dann nur keine Seuche von dem noch nicht bearbeiteten Kasten auf den anderen zurückspringen.
3) Routerreset sollte selbsterklärend sein, oder? Mal sehn, was die Seite sagt: Ich schau mir das an.
4) PW geht klar.
5) WLAN ist deaktiviert, bin gekabelt.

Fragen:
1) Verstehe ich das richtig: Kann ich die einzelnen Komponenten manuell herunter laden, dann zB per Stick an den zu bearbeitenden Rechner übertragen und somit alles offline installieren? So kann man den Wettlauf im Netz aussetzen, ob die neue Installation schneller ist als die erste Attacke?
2) Opera kenne ich nur vom Namen her. Müsste man versuchen.
3) Avira 10 ist eine Virenschutz FreeWare?
4) Wie siehts mit einer Firewall und einem Resident aus? Ich mag zB den Teatimer vom Spybot, der schien mir bisher gut aufzupassen. Sei es drum: Ich plane ja Kaspersky und somit wäre das hier eh eine Übergangsphase.

Dann schau ich mal, was ich davon abgearbeitet bekomme

Es werden sich bestimmt noch Fragen ergeben, aber dann melde ich mich

Danke!

Gruß

keenux

Hallo

Zu dem folgenden Bereich habe ich eine Frage:

Zitat:

Zitat von markusg

Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de
download link ist hier
hxxp://ntsvcfg.de/svc2kxp.zip
lies den abschnitt über die svc2kxp.md
du solltest die methode 3 wählen, diese ist die sicherste.
je weniger dienste der pc nach außen anbietet, desto besser.
automatische windows updates sowie inteligenter hintergrundübertragunsdienst sollten schon aktiev sein, prüfe das bitte nachdem du das tool ausgeführt hast nach.
start ausführen
services.msc
suche die beiden dienste und schaue ob der starttyp automatisch lautet, falls nicht, wähle den dienst aus, rechtsklick, eigenschaften, starttyp automatisch

Ich habe mir mal den Begleittext durchgelesen und da steht unter der von Dir empfohlenen dritten Methode, das selbige für Rechner sein soll, die NICHT Teil eines Lan-Netzes sind. Aber genau das sollen meinen beiden ja sein/werden. Ist diese Methode denn dann die richtige?

Gruß

keenux

Hiho

Nunmehr bin ich bei XP an einer Spaßbremse angekommen:

Ich wollte den neu aufgesetzen Kasten nun ins Internet bringen, um die automatischen Updates zu ziehen. Dummerweise lässt sich keine Verbindung herstellen.

Ich bin im Gerätemanager und dort habe ich festgestellt, das es keine aktive Ethernet-Controller Verbindung gibt. Das Gerät ist installiert und aktiv, allerdings offenbar ohne Treiber.

Wie kriege ich da jetzt die Treiber rein?

Gruß

keenux