Können das noch versteckte Schädlinge sein?
 

Bin neu hier, verzeiht also Fehler. Hallo.

Ich habe mir durch einen Klick aufs falsche Fenster viele Viren und Spyware zugezogen. Inzwischen ahben ich den Computer mehrmals auf Auslieferungszustand gesetzt und Kaspersky installiert.

In den Berichten heißt es ständig: PID xxx versucht Kaspersky auszuschalten, aber Selbstschutz hat das verhindert. Außerdem werden selbst bei kurzem Einschalten des I-Nets, 10-20 Banner und Verbindungen blockiert, die ich auch noch aus der Zeit kenne, als ich verseucht war.

Kasperskyleute sagten mir, dass ich keine Angst haben muss, denn wenn der Selbstschutz wegen Schädlingen einspringen müsste, würde das Programm mir das melden und sie bekämpfen. Dies sei bei mir einfach weil das Betriebsystem solche Meldungen ausgibt, die mit Kaspersky reagieren, sei nichts schädliches.

Ich habe einfach immer noch Angst, dass das mehrmalige Stellen auf Auslieferungszustand und selbst das neue Kasperkyprogramm irgendwas nicht finden. Gibt es jemand, der dazu was sagen kann, aber bitte nur, wenn jemand was dazu weiß, die Antwort von Kaspersky bestätigen kann oder mir erklären kann, durch was so was kommen kann, falls es harmlos ist, alles andere würde mich ja nur weiter verunsichern.

Was kann man tun, wenn wirklich irgendwas noch drin ist, was kein Programm erfasst und mir ständig den Virenschutz abschalten will und zwischendrin, bevor er sich wieder aktiviert, Schadware reinspuckt, die dann aber wieder vom Virensystem blockiert wird. Andererseits ist das nur meine ängstliche Vorstellung, die sonst nirgends steht oder so. Ich weiß nur, dass es solche Programme gibt.

Interessierter

Danke

Ich würde es als nicht gerade optimal bezeichnen, wenn aktive Schädlinge versuchen, den Virenscaner abzuschießen, auch wenn KAV das abwehren kann.

Wenn du das System in den Auslieferungszustand per Receovery-CD zurücksetzt, kommt das einem Neuaufsetzen gleich, Schädlinge auf der Systempartition überleben das nicht. Fallen mir jetzt zwei Möglichkeiten ein, wie erneut Schädlinge raufgekommen sind:

- System war vor dem erstenGang ins Internet nicht richtig abgesichert (ungepatcht etc.)
- verseuchte Software wurde ausgeführt (z.B. auf verbliebenen weiteren Partitionen oder externer Datenträger)

Stell doch mal ein Hijackthis-Logfile hier rein.

Halli hallo.

Was meinst du mit neuaufgesetzt wie in meiner Signatur beschrieben?

Dann ist der Rechner DEFINITIV sauber! Der Selbstschutz von Kav (ich nehme an du nutzt 7.0?) springt ständig an. Kannst die Meldung ausschalten. Von den geblockten Anwahlversuchen auf das I.Net hätte ich gerne die Berichte.

Einstellungen->Datenverwaltung->Bericht->Doppelklick auf Firewall.

Wenn du ganz sicher gehen möchtest poste doch ein Hijackthis sowie ein MWAV log.

Zum stöbern über Systemsicherheit für Interessierte findest du auch einen Link in meiner Signatur.. ;)

[EDIT] Hi cosinus.!. ^^

Gruß

Undoreal

Hi co und un,

danke.

Also erstmal der Computer war beim Neustarten evtl. nicht mit A-V-Programm abgesichert, aber ich war ganz bewusst nur in Fritz.bos und Freenet und windows Update. Glaube kaum, dass da irgendwas passiert ist. Außerdem zeigt er ja nichts an.

Ich hatte mehrmals den Auslieferungszutand hergestellt mit Recovery-CD.
Einmal für 70 Euro durchs Geschäft, dreimal selbst.

Den Bericht der Firewall will ich gern senden, aber kann nicht garantieren, ob ich das kann, muss mal sehen.

Erst mal Danke.

Will es gern glauben, was du über Kasp. sagst, das wäre ja dann die Erklärung. Und die geblockten Seiten usw. die werde ich versuchen hier rein zusetzen.

Interessierter grüßt

Ich meine weniger die Absicherung durch einen Virenscanner, der ist eher sekundär. Wichtiger ist da die Frage, ob zumindest das SP2 vor der ersten Internetverbindung eingespielt war. Wenn nicht hagelt es Netzwerkwürmer mit Backdoorfunktionen. Das ist nicht der Fall wenn der Rechner durch einen Router abgeschottet ist.

Hier ist der Bericht:

05.07.2007 20:57:06 http://wdr.ivwbox.de/cgi-bin/ivw/CP/...26lr%3Dlang_de verboten ivwbox.de
05.07.2007 20:57:23 http://mrwong.ivwbox.de/cgi-bin/ivw/...29.05666833059 verboten ivwbox.de
05.07.2007 20:57:24 http://pagead2.googlesyndication.com/pagead/show_ads.js verboten *.googlesyndication.com/*show_ads.js
05.07.2007 20:57:50 http://mrwong.ivwbox.de/cgi-bin/ivw/...34.68617923478 verboten ivwbox.de
05.07.2007 20:59:30 http://www.paules-pc-forum.de/futurex/banner2fx.gif verboten */banner*.gif
05.07.2007 21:06:03 http://pagead2.googlesyndication.com/pagead/show_ads.js verboten *.googlesyndication.com/*show_ads.js
05.07.2007 21:06:03 http://www.etracker.de/cnt.php?java=...26lr%3Dlang_de verboten etracker.de
05.07.2007 21:06:03 http://www.sponsorads.de/script.php?s=79055 verboten sponsorads.de
05.07.2007 21:06:50 http://supportnet.de.intellitxt.com/....asp?ipid=1506 verboten intellitxt.com
05.07.2007 21:08:21 http://ads-205.quarterserver.de/adse...=1183662501046 verboten */banner/*
05.07.2007 21:08:21 http://ads-205.quarterserver.de/adse...andom=35515768 verboten */banner/*
05.07.2007 21:08:21 http://ads-205.quarterserver.de/adse...andom=99511399 verboten */banner/*
05.07.2007 21:08:21 http://ads-205.quarterserver.de/adse...=1183662501375 verboten */banner/*
05.07.2007 21:08:21 http://pagead2.googlesyndication.com/pagead/show_ads.js verboten *.googlesyndication.com/*show_ads.js
05.07.2007 21:08:22 http://ads-205.quarterserver.de/adse...andom=94333994 verboten */banner/*
05.07.2007 21:08:22 http://ads-205.quarterserver.de/adse...andom=95381610 verboten ads-205.quarterserver.de
05.07.2007 21:09:55 http://chip.ivwbox.de/cgi-bin/ivw/CP...016.3364675828 verboten ivwbox.de
05.07.2007 21:09:55 http://chip.ivwbox.de/2004/01/survey.js verboten ivwbox.de
05.07.2007 21:09:57 http://ad.chip.de/wb/adjs.php?what=&...&rubrik=1&ref= verboten ad.*.*
05.07.2007 21:09:57 http://statse.webtrendslive.com/dcs0...ty&bart=Thread verboten webtrendslive.com
05.07.2007 21:09:58 http://ad.chip.de/wb/adjs.php?what=&...&rubrik=1&ref= verboten ad.*.*
05.07.2007 21:09:58 http://ad.de.doubleclick.net/adj/chi...0;ord=8146956? verboten ad.*.*
05.07.2007 21:09:58 http://ad.de.doubleclick.net/adj/chi...0;ord=8146956? verboten ad.*.*
05.07.2007 21:09:58 http://ad.chip.de/wb/adjs.php?what=w...ubrik=1&tid2=0 verboten ad.*.*
05.07.2007 21:09:58 http://chip.de.intellitxt.com/intellitxt/front.asp?&ipid=3396&kwpn=2&mk=3&fms=1&sn=<b>,<li> verboten intellitxt.com
05.07.2007 21:11:29 http://ads-205.quarterserver.de/adse...=1183662689187 verboten */banner/*
05.07.2007 21:11:29 http://ads-205.quarterserver.de/adse...andom=99748322 verboten */banner/*
05.07.2007 21:11:29 http://ads-205.quarterserver.de/adse...andom=70453242 verboten */banner/*
05.07.2007 21:11:29 http://ads-205.quarterserver.de/adse...=1183662689453 verboten */banner/*
05.07.2007 21:11:29 http://ads-205.quarterserver.de/adse...andom=89470161 verboten ads-205.quarterserver.de
05.07.2007 21:13:13 http://bannersil.tripple.at/banner/r...tlfotograf.gif verboten */banner*.gif
05.07.2007 21:13:14 http://banner.tripple.at/banner/leer.gif verboten */banner*.gif
05.07.2007 21:13:15 http://www.telekom-presse.at/img/banner_MDAcompact3.gif verboten */banner*.gif
05.07.2007 21:22:22 http://pagead2.googlesyndication.com/pagead/show_ads.js verboten *.googlesyndication.com/*show_ads.js
05.07.2007 21:27:36 http://support.microsoft.com/library...sthead_ltr.gif verboten */banner*.gif
05.07.2007 21:27:52 http://www.etracker.de/cnt.php?java=...26lr%3Dlang_de verboten etracker.de
05.07.2007 21:27:52 http://www.sponsorads.de/script.php?s=79055 verboten sponsorads.de
05.07.2007 21:28:31 http://www.etracker.de/cnt.php?java=...xplore_exe.php verboten etracker.de
05.07.2007 21:33:29 http://pagead2.googlesyndication.com/pagead/show_ads.js verboten *.googlesyndication.com/*show_ads.js
05.07.2007 22:23:51 http://pagead2.googlesyndication.com/pagead/show_ads.js verboten *.googlesyndication.com/*show_ads.js


Soviel für den Moment, und lieben Dank, dass sich da jemand drum kümmert.

Interessierter

Hi, ich weiß nicht, was es heißt, wenn der Rechner durch enen Router abgeschottet ist.

Ich habe alles neu geladen und die erste I-Nettätigkeit war, die Windowsseite zu laden und die Updates runterzulalden.

War das nicht genug? Wie sollte man sonst vorgehen? Was meinst du damit ob die Updates vorher eingespielt sind? Wie soll ich die einspielen außer indem ich ins I-Net gehe und sie runterlade und auf keine andere Seite gehe?
Danke.

Int.....

Router - Wikipedia
Dadurch hängen deine Rechner nicht direkt im Internet, sondern in einem privaten LAN. Netzwerkwürmer wie Sasser, Blaster und Artverwandte können deswegen schon mal nicht so einfach das System befallen wenns ungepatcht sein sollte (ich lass trotzdem kein Rechner ohne das SP2 ins Internet).

Zumindest das SP2 musst du dir andersweitig besorgen, du solltest nicht mit WinXP SP0 oder SP1 ins Internet. Gibts meistens auf Heft-CDs, kannst du dir aber auch mit einem Knoppix oder ein anderen sauberen Maschine runterladen und auf CD brennen.

Mehr dazu
=> Sinnvoller Schutz für den Windows Internet-PC
=> Netzwerkwürmer

Du Links du du vorher gepostet hast, sehen m.E. durchaus normal aus, können durchaus Banner-Links sein, wie sie auf normalen Webseiten eingebaut sind.

Poste bitte das Hijackthis-Logfile.

Hi, danke, ich weiß nicht wie ich ein Hijack.... posten soll

Heißt dass, dass ich allein daduch, dass die Fritzbox mich mit dem I-Net verbunden hat und ich Windows Updates runterlade offen für Viren bin? Freenet komplett über Fitzbox ist das ein solches schützendes LAN? Sonsst habe ich nichts, bin ganz allein.

Ich kann keine SP2 irgendwo herholen. Ich muss das wo kaufen? Ist das nicht auf der Applications-CD drauf, die ich 2005 kaufte?

Sorry für die blöden Fragen, aber bin kein Experte, nur eine Generveter, seit dem damaligen Virenbefall.

Danke. Tschüs erstmal. Int.....

Wenn du eine Fritzbox hast, sollte dein Rechner dicht sein, aber überprüf das mal auf Port-Scan.de - dort den Schnelltest wählen. Poste die Ergebnisse. Mach vor dem Check die Windows-Firewall oder andere PFWs aus, damit diese das Ergebnis nicht verfälschen. Wir wollen ja nur wissen, wie der Router wirkt ;)
Das SP2 muss man nicht kaufen, das kannst du kostenlos bei MS runterladen: WinXP_SP2 - Komplettdownload

Hier der Bericht zu deiner Auswertung:

Gesamtstatus:
Sicher!
Keiner der getesteten Ports ist offen. Sehr gut!Hilfe in Ihrer Nähe
Sie suchen Hilfe als?
Privatperson Firma
Ihre Postleitzahl:

Allgemeine Information:
Test: Schnell-Test
IP: 89.60.187.123
Benutzter Browser: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322) Statusmeldungen:Bedeutung (mehr Infos in unseren FAQs)StatusGEFAHR! Port ist offen und jeder kann in Ihr System eindringen.offenUNZUREICHEND! Port ist weder offen, noch durch eine Firewall geschützt.ungefiltertSICHER! Port wird durch eine Firewall oder einen Paketfilter uberwacht.gefiltertSICHER! Port ist weder sichtbar noch angreifbar.kein DienstEin hoher Wert bedeutet ein hohes Risiko.Gefahr-Index0...10 Ergebnis:ErklärungHilfeDienstStatPort
File Transfer ProtocolFTP021
SSH-DienstSSH022
telnetTelnet023
Simple Mail Transfer ProtocolSMTP025
Finger Protocol-Finger079
Hypertext Transfer ProtocolHTTP080
Linux ConfigurationLinuxconf098
Post Office Protocol Version 3POP30110
Portmap-Portmap0111
Identification Protocol-Ident0113
Microsoft Remote Procedure Call-MS-RPC0135
NetbiosNetbios0139
INTERNET MESSAGE ACCESS PROTOCOLIMAP0143
Secure HyperText Transfer Protocol-HTTPS0443
Microsoft-DS-Microsoft-DS0445
Sama Web Administration Tool-SWAT0901
FilesharingFilesharing04662
Microsoft Remote Desktop-Remote Desktop03389
Universal Plug and Play Device-UPnP05000
xWindows-xWindows06000
Proxy-Server-Proxy-Server08080
Webmin-Webmin010000 Seite drucken




Wenn mein Computer angenommener Weise verseucht ist, hat es dann sinn SP2 runterzuladen oder muss ich gerade danne eine CD besorgen?
Angeommen ich lade es runter, wann, jetzt oder dann nach der Neuinstallation.
Denn dort habe ich es ja sowieso immer runtergelalden direkt von Windows.

Danke. Interessierter

Hm, also ich gehe von einem verseuchten Browser Helper Object (BHO) aus, welches noch in deinem IE (Nutzt du IE6 ?) residiert.
Grundsätzlich gibt es im Internet Explorer, egal welche Version genutzt wird, genug Sicherheitslücken, die immer wieder gefixt werden.

Selbst Kaspersky kann nicht 100 prozentig sagen, dass du keine Viren bzw. Mal- und Spyware auf deinem Computer hast.

Oft geschieht gerade dies ohne das Wissen des Benutzers - Spyware verschafft sich Zutritt zu deinem PC und Malware wird installiert - Gerissenerweise ohne das Wissen des Opfers. Somit hast du Glück, dass du in jener Angelegenheit (rechtzeitig) wach geworden bist.

Uhm, hast du es schonmal mit "HiJackThis" versucht ? Nein? Dann arbeite bitte diese Liste ab:

• 1. Downloade dir das Multifunktions-Tool "HiJackThis"
• 2. Entpacke HiJackThis in einen eigenen Ordner, ansonsten kannst du keine Backups erstellen, was du vorher dringend tun solltest! (In diesem Ordner werden dann automatisch die Logfiles und der Ordner "backups" angelegt.
• 3. "None of the above, just run a scan" -> "Run a Scan and save a logfile"
• 4. Finde den Logfile, der sich im Ordner von HiJackthis.exe befinden sollte namens "hijackthis.log".
• 5. Poste deinen Logfile hier (KOMPLETT) mit der ganz oben im Thread angegebenen Versionsnummer, Datum etc..

Danke!:kloppen:

/Edit:
Grundsätzlich soll man sich vor dem Neuaufsetzen alle nicht verseuchten sehr relevanten Daten abspeichern. Dazu gehört auch das Service Pack 2 - Lade es dir herunter und brenne es auf eine CD bzw. speichere es auf einem USB-Stick

So wie sich das für mich darstellt ist der Rechner sauber!

Wie soll denn da eine Infizierung erfolgt sein?

Die KAv Meldungen sind definitiv i.O.! Die der Firewall wie auch die des Selbstschutzes! Mach dir mal keine Sorgen.



PS:

Kannst mir ruhig glauben ;)

Gruß

Undoreal

Moin :)

@Interessierter

Hier wurde der Selbstschutz von Galileo 39 recht gut erklärt
Kaspersky Lab Forum -> Versuch von Prozess mit PID

Überprüfe doch bitte , welcher Prozess vom Selbstschutz blockiert wurde.

In Posting 4 stehen die Einstellungen.

Ich würde schon gerne wissen, welcher Prozess das auslöst.

@undoreal

Bist Du nicht auch neugierig?


Gruß cad

Hallo und danke erstmal.

Bevor ich das mit dem Selbstschutz ausprobiere. Eine neue Bsonderheit:

Wenn ich mit Kasp. einen externen Datenträger mit Bildern teste, bleibt die Routine bei einem Bild hängen.

Wenn ich dasselbe Bild, was auch in Eigene Datein ist aufrufe, wird bei der Dateiprüfung nicht der Name angegeben, wie bei allen anderen, sondern

Zoombrowser.exe-0AAC2EBA1.pf

Angst!!!

Sagt euch das was?

Gruß erst mal.