|
Seiten werden nicht angezeigt Hallo, nachdem mein PC (WinXP SP2) einige Zeit zicken machte (ominöses Benutzerkonto "Adminestrator" mit eingeschränkten Rechten und mein Browser [Maxthon] stürze dauernd ab), dachte ich mir, dass es nur ein Trojaner/ Virus /whatever sein kann. Also lub ich mir die Testversion von AVG herunter und machte einen Scan aller Partitionen, er fand auch so einiges, darunter I.Worm/Bagle, ein namentlich nicht genannter Trojaner und einiges an Adware. Das gefundene kam in Quarantäne und wurde anschließend gelöscht. Das war die Vorgeschichte. Nun zu meinem eigentlichen Problem: seitdem kann ich nicht mehr ins Internet, das heißt, mit der TCP/IP-Verbindung einwählen kann ich mich noch, aber das war auch schon alles. In sämtlichen Browsern (IE, Opera und Firefox) bekomme ich alternativ "Die Seite kann nicht angezeigt werden", "Server nicht gefunden" oder auch "Keine Seite zum anzeigen". Mit der T-Online-E-Mail-Software kann ich auch keine E-Mails mehr abrufen, er übernimmt zwar die Verbindung, aber wenn ich Mails abholen will kommt nur eine Fehlermeldung. Kann es sein, dass irgendeine wichtige Datei von AVG in Quarantäne gesteckt und dann von mir gelöscht wurde? Wenn ja - gibts ne Möglichkeit rauszukriegen was fehlt? Schonmal danke im voraus! -Misty |
Hallo, das klingt nicht gut. Es gibt Bagle-Varianten mit Backdoor-Funktionalität. Möglicherweise steht dir ein Neuaufsetzen deines Systems ins Haus. Mein Vorschlag: Du postest ein HijackThis-Logfile. Dann kann man Genaueres sagen. |
Zitat:
Im Anhang das Hijackthis-Log. -Misty EDIT: Kann das mein Problem sein?: h**p://www.pctipp.ch/helpdesk/kummerkasten/archiv/internet/20351.asp ? |
Sorry für den Doppelpost, aber der Editieren-Button ist nicht da (?). Das mit WebHancer scheint das Problem zu sein. Das Blöde ist: ich krieg das Ding nicht weg. Immerhin komme ich ins Internet wenn das Ding installiert ist. Poste gerade vom befallenen Rechner. Wie sieht mein Hijackthis-Log ansonsten aus? Nochwas schlechtes drin? Und was könnte WebHancer noch anrichten? Wäre es eine Option das Dingen draufzulassen? Danke für die bisherige Hilfe und nochmal danke im voraus! -Misty EDIT: Den Post kann ich jetzt editieren... |
Hallo, Zitat:
Zitat:
Zitat:
Zitat:
Du kannst Folgendes versuchen: Diese Dateien Zitat:
Ich kann dir dazu aber nicht raten. Denn 1. habe ich mit Ad-Aware noch keine Erfahrung gemacht (ich beziehe mich nur auf den Artikel, den du gepostet hast, und in dem der Ad-Aware-Hersteller angibt, Webhancer zuverlässig zu entfernen) 2. würde mir persönlich Bagle viel größere Kopfschmerzen bereiten, da meines Wissens man allein anhand der .dlls nicht entscheiden kann, welche Bagle-Variante auf deinem System war und ob somit eine Backdoor installiert ist/war oder nicht. Fazit: Wäre es mein Rechner, würde ich neu aufsetzen. Aber es ist nicht meiner. Du musst entscheiden. :) |
Hallo. Zum Edit-Button: Danke! Zu WebHancer: Der ist mittlerweile erledigt. Zu Bagle: Ja, da saß es drin. Hm, bei Bagle stand nochmas mit "J", hilft das? Zu den beiden Dateien, die du mir zum Scannen empfohlen hast: Die gibts laut System nicht und Hijackthis findet sie auch nicht mehr!? Soll ich ein neues Log posten? Zum neu aufsetzen: Das Blöde ist, dass ich mich das nicht so recht selbst traue mit XP und es ist ja auch recht Zeitaufwändig... Also wirklich nur als letzter Ausweg. Ich danke dir auf jeden Fall für deine Hilfe! -Misty |
Zitat:
Zitat:
Zitat:
Wenn das nicht hilft, poste bitte ein neues Hijackthis-Log (bitte nicht als Anhang, sondern direkt in deinen Beitrag kopieren). Möglich, dass die Dateien nach einem Neustart anders heißen. Zitat:
|
Zu WebHancer: Ad-Aware fand das Ding anscheinend erlegenswert... (übrigens nur die in dem Artikel angegebene Version, mein "normales" Ad-Aware fand das Dingen nicht) Zu Bagle: Leider gibts keine Log-Datei, da ich AVG mittlerweile wieder deinstalliert habe (und die in Quarantäne befinlichen Daten gelöscht), da ich angenommen habe, die Probleme mit dem Internet rührten von da her (Tipp von jemandem, von wegen AVG würde da was blockieren...) Zu den beiden Dateien: sind gefunden und über die Website geprüft, einhellige Meinung: "no virus found". Trotzdem mal ein neues Log: Zitat:
EDIT: Das einzige, was ich mich frage ist: wie ist Bagle auf mein System gekommen? Ich hab mal recherchiert und überall heißt es, dass sich das Ding per E-Mail verbreitet. Aber: ich öffne prinzipiell nur dann Dateianhänge, wenn ich explizit einen erwarte. Und Mails lasse ich auch nur auf meinen Rechner wenn ich eine erwarte... |
Zitat:
|
Zitat:
Hidden process: C:\WINDOWS\9129837.exe Hidden file: C:\WINDOWS\9129837.exe Hidden file: c:\WINDOWS\NEW_DRV.SYS Sind wohl beides Trojaner (vielleicht Reste von dem von AVG gekillten Viechern?). Sonst gabs nichts, nachdem ich die beiden entfernt habe wird jetzt nichts mehr gefunden. Gutes Zeichen? Kein Bagle mehr da? *hoff* -Misty |
Zitat:
Die saubere Variante wäre, Windows neu zu installieren. Nur wenn in Deinem Bekanntenkreis wirklich niemand zu finden ist, der Dir dabei helfen könnte, solltest Du eine Bereinigung in Betracht ziehen. Es sieht nach einer neuen Bagle-Variante aus und weiss der Geier was das Ding alles mit sich bringt. Du musst Dich also zwischen einem scheinbar sauberen und einem wirklich sauberen System entscheiden. Mit letzterem schläft man deutlich besser. |
Zitat:
Gehörten die beiden Dateien überhaupt zu Bagle? Eine Google-Recherche brachte mich auf zwei Trojaner... Wäre es eventuell ratsam ein paar Tage mit normaler Nutzung des PCs verstreichen zu lassen und dann nochmal einen Scan mit sämtlichen Programmen (AVG nochmal installieren und durchlaufen lassen, Ad-Aware, Blacklight und ein neues Hijackthis-Log) zu machen? -Misty |
Hast recht. Das Ding ist schlimmer als Bagle. Zitat:
|
So, mein WinXP-Rechner wandert am Monatg zum Händler, der checkt ihn nochmal durch und setzt ihn dann neu auf. Noch ne Frage: nützt es was, wenn man genau weiß wo man sich den Trojaner eingefangen hat? Mittlerweile hab ichs rausgekriegt, eigentlich eine Seite, der ich vertraue/vertraut habe. Soll ich die Adresse hier eventuell mal posten? Bagle ward seitdem nicht mehr gesehen (zumindest findet AVG nichts mehr), der Trojaner meldete sich auch erst wieder nachdem ich auf der besagten Seite war, AVG hat's gleich vernichtet und ein Scan förderte auch nichts zu Tage, ein Versuch (nochmal absichtlich auf die Seite) gleich darauf brachte das Gleiche. Reichen meine Versuche das System wenigstens etwas zu bereinigen um damit übers Wochenende zu kommen? Systemwiederherstellungspunkte gelöscht Scans mit Ad-Aware, AVG, eScan, Blacklight und Spybot Search & Destroy (all clear) Dazu die auf der Trojaner-Seite ( h**p://www.avira.com/de/threats/section/fulldetails/id_vir/2903/tr_psw.small.b.1.html ) beschriebenen Registry-Einträge wieder manuell in den Urzustand versetzt (dabei wohl beim letzten Eintrag was falsch gemacht, Windows-Firewall will nicht mehr) Jetzt hab ich ständig ZoneAlarm, AVG und Spybot Search&Destroy laufen (im Hintergrund und aktiviert). _________________ Noch eine Frage: Was ist/war eigentlich W95.Hybris.Worm (I.Worm/Hybris) ??? Wäre mir danach auch eine Neuinstallation empfohlen worden? Und noch eine, die mich deit der "Neuinstallieren"-Empfehlung beschäftigt: Wenn man solche Viren/Würmer/Trojaner eh nicht vernünftig entfernen kann, wieso machen sich dann die Anti-Viren-Software-Hersteller noch die Mühe eine Funktion zum entfernen herzustellen, wenn man dann doch "format C:\" (is glaube ich bei WinXP nimmer, oder?) machen muss? Wäre es da nicht effizienter "nur" Diagnoseprogramme zu erstellen? -Misty PS: Wollt ihr nochmal ein Hijackthis-Log haben? Da ist der Eintrag zu den von Bagle infizierten Dateien verschwunden. PPS: Euch ein dickes DANKE für die Hilfe. Auch wenn ich mir das Endergebnis anders vorgestellt hätte. *euch virtuell nen Blumenstrauß gibt* |
Und noch was: wenn ich danach gehe: h**p://oschad.de/wiki/index.php/Kompromittierung hätte ich wohl einen Totalverlust aller meiner Daten (keine Backups vorhanden, bzw keine Ahnung wann die Schädlinge gekommen sind), oder? Und "alle Datenträger neu formatieren" (hier: h**p://faq.underflow.de/#SECTION000120000000000000000) bedeutet dann doch wohl (neben C:) auch D:, E: und G: (meine externe Festplatte)? Und ein Totalverlust wäre für mich persönlich der Super-GAU schlechthin, ehrlich gesagt würde ich da lieber ein System akzeptieren, das eventuell nicht mehr ganz so sicher ist. Und nochwas: wenn ich mir diese ganzen "Schreckensszenarien" so durchlese kann es doch eigentlich keine wirkliche Sicherheit geben, auch wenn man sich mit Firewalls, Virenscannern, etc pp eindeckt? -Misty |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board