about:blank
 

Hallo,
ich weiß, das Thema ist schon ziemlich alt, aber hätte einer von Euch Lust und Zeit mir bei der Beseitigung behilflich zu sein ? Ich habe zwar schon viel gelesen und auch einiges ausprobiert, aber ich habe immer wieder das Problem das das Problem immer wieder auftaucht.

Anbei der Scan-Report von HijackThis:

Logfile of HijackThis v1.97.7
Scan saved at 00:34:56, on 05.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\klivtb.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HOTSYNC.EXE
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
c:\programme\t-online\t-online_software_5\browser\browser.exe
C:\temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {6FF4337F-BC39-25CF-8202-16550CF67B18} - C:\WINDOWS\System32\oho.dll
O2 - BHO: (no name) - {8D2AB820-4792-EC0B-EEC6-7066F20405E7} - C:\WINDOWS\system32\atlsw.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [cehoxrnxed] C:\WINDOWS\System32\klivtb.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Programme\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O15 - Trusted Zone: *.ebay.de
O15 - Trusted Zone: www.web.de
O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/ps.../axscanner.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www5.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38E42F24-4D95-4E0C-83BA-64030CFF4C89}: NameServer = 217.237.150.225 217.237.150.141

Ich hoffe mir kann jemand helfen ...

Gruß
Sven

Hallo,

poste nochmal ein aktuelles Log-File mit der Version 1.98.2 .
http://www.chip.de/downloads/c_downloads_11353576.html

Hi,

anbei der neuste Scan mit der neuesten Version.

Gruß
urbsv01

Logfile of HijackThis v1.98.2
Scan saved at 23:11:54, on 05.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\klivtb.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HOTSYNC.EXE
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Gonzo\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {6FF4337F-BC39-25CF-8202-16550CF67B18} - C:\WINDOWS\System32\oho.dll
O2 - BHO: (no name) - {8D2AB820-4792-EC0B-EEC6-7066F20405E7} - C:\WINDOWS\system32\atlsw.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [cehoxrnxed] C:\WINDOWS\System32\klivtb.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Programme\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.ebay.de
O15 - Trusted Zone: www.web.de
O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/ps.../axscanner.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www5.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38E42F24-4D95-4E0C-83BA-64030CFF4C89}: NameServer = 217.237.150.225 217.237.150.141
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

@ urbsv01

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\System32\klivtb.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
C:\WINDOWS\System32\oho.dll
C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
C:\Programme\SideFind\sidefind.dll

teile uns das Ergebnis der Überprüfung mit.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h**p://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.134/index.php
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {8D2AB820-4792-EC0B-EEC6-7066F20405E7} - C:\WINDOWS\system32\atlsw.dll (file missing)
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!h**p://69.50.173.250/win32se.chm::/wintbl32.exe
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

bitte fixen, wenn Du diese Einträge nicht kennst/brauchst:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
O16 - DPF: ppctlcab - h**p://www.my-etrust.com/includes/pscanner/ppctlcab.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - h**p://www.my-etrust.com/includes/p...r/axscanner.cab

Boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte aus der "mwav.log" NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt?

--> bitte lesen: Entfernung von Schädlingen und Kompromittierung unvermeidbar?

Erstelle ein weiteres Hijack This Logfile und poste es.

SD

Hallo,

folgende Informationen für Dich:

Der jotti virusscan hat ergeben das folgende drei Files Viren sind
C:\WINDOWS\System32\klivtb.exe
C:\WINDOWS\System32\oho.dll
C:\Programme\SideFind\sidefind.dll


Der eScan ergab folgendes Ergebniss:
Mon Dec 06 10:52:51 2004 => ***** Checking for specific ITW Viruses *****
Mon Dec 06 10:52:51 2004 => Checking for Welchia Virus...
Mon Dec 06 10:52:51 2004 => Checking for LovGate Virus...
Mon Dec 06 10:52:51 2004 => Checking for CodeRed Virus...
Mon Dec 06 10:52:51 2004 => Checking for OpaServ Virus...
Mon Dec 06 10:52:51 2004 => Checking for Sobig.e Virus...
Mon Dec 06 10:52:51 2004 => Checking for Winupie Virus...
Mon Dec 06 10:52:51 2004 => Checking for Swen Virus...
Mon Dec 06 10:52:51 2004 => Checking for JS.Fortnight Virus...
Mon Dec 06 10:52:51 2004 => Checking for Novarg Virus...
Mon Dec 06 10:52:51 2004 => Checking for Pagabot Virus...
Mon Dec 06 10:52:51 2004 => Checking for Parite.b Virus...
Mon Dec 06 10:52:51 2004 => Checking for Parite.a Virus...

Mon Dec 06 10:52:51 2004 => ***** Scanning complete. *****

Mon Dec 06 10:52:51 2004 => Total Files Scanned: 3644
Mon Dec 06 10:52:51 2004 => Total Virus(es) Found: 15
Mon Dec 06 10:52:51 2004 => Total Disinfected Files: 0
Mon Dec 06 10:52:51 2004 => Total Files Renamed: 0
Mon Dec 06 10:52:51 2004 => Total Deleted Files: 0
Mon Dec 06 10:52:51 2004 => Total Errors: 2
Mon Dec 06 10:52:51 2004 => Time Elapsed: 00:03:08
Mon Dec 06 10:52:51 2004 => Virus Database Date: 2004/12/06
Mon Dec 06 10:52:51 2004 => Virus Database Count: 111596

Mon Dec 06 10:52:51 2004 => Scan Completed.

Hijack Logfile (im abgesicherter Modus):
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.328\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/ps.../axscanner.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www5.pc-sicherheit.web.de/ols/fscax.cab

@ urbsv01,

dass es Viren sind, war mir klar. Ich möchte aber bitte die Namen der Viren wissen. Sowohl die Namen der Viren, die Jotti festgestellt hat, als auch die Namen der Viren, die der eScan auf Deinem System gefunden hat: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Das Logfile auszuarbeiten, erspare ich mir vorläufig, da ich erst die Namen der Viren wissen möchte.

SD

Halb-Offtopic:

Warum in aller Welt empfiehlst Du immer erst einzelne Dateien bei jotti zu überprüfen und anschließend eScan?

Wenn -was ja richtig ist- eScan empfohlen wird, ist es imho viel sinnvoller dieses als 1. Schritt zu machen. Wenn nach eScan noch zweifelhafte Dateien 'über bleiben' ist eine Überprüfung bei jotti sicherlich nichts falsches, wobei ich (ICH) allerdings so meine Zweifel habe, dass die anderen dort eingebundenen Scanner wirklich mehr finden...

OT:

Recht haste Lutz und die Lösung die du meiner Tochter gepostet hast war effektiver, als die, die in der neuen Chip angeboten wird!
LG, Charlie
Ganz lieben Dank

um neue Malware feststellen und verschiedenen AV-Programm-Herstellern zum erstellen neuer Signaturen übergeben zu können, sollte die Malware auf den befallenen Systemen noch vorhanden sein. Es handelt sich bei vielen Malware-Einträgen um unbekannte Dateien, die sich dann u.a. als Würmer mit Backdoor-Funktionalität erweisen. Lassen wir diese Malware mit dem löschenden eScan vom System entfernen, wissen wir zwar, dass es sich bei den Einträgen um Malware gehandelt hat, die durch KAV/eScan erkannt wurde, aber von vielen anderen AV-Programmen vorläufig nicht erkannt werden kann. Somit halte ich es für effektiver, erst den Jotti-Scan durchführen zu lassen, dann diese Dateien der Forschung zu übergeben und sie erst dann von den Systemen zu entfernen. Es ist Mehrarbeit, dauert länger und hilft den Betroffenen nicht sofort, hat aber - meiner Ansicht - den Effekt, dass diese Dateien dann in Zukunft sofort als die Viren erkannt werden können, die sie sind.

Sollte mein Gedankengang falsch sein, lasse ich mich selbstverständlich eines Besseren belehren.

Shadowdance

Welche 'Forschung'?
Du meinst doch bestimmt nicht jottis private Sammlung?
Was der gute jotti -so es denn eine natürliche Person sein sollte- mit seiner Sammlung anstellt wissen wir nicht. Zumindest ich nicht. Somit könnte er seine Sammlung (zumindest theorethisch) für gute, aber auch für schlechte Zwecke verwenden, wobei beides zugegebenermaßen Spekulation ist...

Solltest Du mit Forschung meinen,
,
dann ist das (ganz allgemein) auch so eine Vorgehensweise, die mir seit langem eher negativ aufstößt. Forschungszwecke ist so ein großes Wort, aber wer bitte forscht denn an welcher Stelle wonach? Ist 123at456.78 jemand, der bei einem AV-Hersteller tätig ist, oder jemand, der bei einer 'unabhängigen Wohltätigkeitsorganisation' tätig ist oder jemand, der sich mit 'seinen privaten Sammlungen' bei diversen AV-Herstellern anbiedert -ähem anbietet. Ich weiß es nicht!

--> nein, ich meine nicht Jottis private Sammlung ;-)

Soweit ich informiert bin, werden die eingereichten Dateien überprüft und an verschiedene AV-Hersteller weitergereicht zum erstellen neuer Signaturen und Erkennen von neuer Malware. Eine freiwillige Aufgabe, der sich ein junger Idealist unterstellt hat, die viel Arbeit macht und vielen Usern nützt .... ich sehe darin nichts Negatives. Solltest Du mehr wissen wollen, steht es Dir frei, Dich bei dem Betreffenden zu erkundigen oder der Betreffende könnte sich mit Dir in Verbindung setzen .. ein Gespräch kann Fragen klären und Deutlichkeit verschaffen .. ;)

Warum etwas negativ sehen, wenn man es auch positiv sehen kann und es sich um eine idealistische Einstellung handelt .. die natürlich in gewisser Weise wohltäterisch ambitioniert ist .. aber sind wir hier nicht alle Idealisten, die sich in gewisser Weise zum Wohle anderer einzetzen? Oder kannst Du mir jemanden nennen, der sich freiwillig nach getaner Arbeit in Netz begibt und dort weiter arbeitet, wenn es sich nicht um einen Idealisten oder Wohltäter der Menschheit handelt? So gesehen sind wir alle Spinner, denen das Schicksal anderer nicht egal ist und die sich in ihrer rar bemessenen Freizeit um andere kümmern. Es gibt bestimmt ne ganze Menge Leute, die uns mitleidig belächeln ... mich begleiten die Lächler schon seit vielen Jahren .. hab mich an sie gewöhnt. Aber DAS ist nun wirklich offtopic hier.

Sprecht Euch aus .. ich halte das, was Du skeptisch beäugst für in Ordnung und für eine tolle, arbeitsreiche und mühevolle Aufgabe.

Shadowdance

http://www.microsoft.com/downloads/...45-9E368D3CDB5A

nicht winows update com
Zumindest soll jetzt die Systemwiederherstellung deaktiviert werden- dasmuß auch so.

"Forschung" ist vielleicht ein bißchen übertrieben, aber ebenso ein wenig übertrieben ist auch, finde ich, der "Verdacht" gegenüber denjenigen, die sich diese Viren schicken lassen. Sowohl hier (*Christian*) als auch bei Rokop sind es Leute, die aktiv bei Malwarebefall mithelfen, daher wäre es schon reichlich abwegig, unlautere Motive zu unterstellen. Ganz sicher kann man, wie fast überall, natürlich nicht sein, aber es ist schon etwas weit hergeholt.

Nun gut denn:

1.) Ich habe hier keine Namen genannt außer jotti, von dem ich immer noch nicht weiß, ob es sich um eine natürliche Person, eine fiktive Person, eine Fa., what ever handelt. Es interessiert mich auch nicht sonderlich. Das, was dort unter dem -sagen wir mal- Namen jotti angeboten wird, halte ich auch in Einzelfällen für eine sinnvolle Ergänzung bei der Überprüfung einzelner suspekter Dateien. Nicht weniger aber auch nicht mehr. Das dort freimütig zugegeben wird, dass die hochgeladene Malware 'zu privaten Zwecken' gesammelt wird, befremdet mich dagegen schon.

2.) Die Namen *Christian* und Rokop habe ich nicht ins Spiel gebracht. Und einen Verdacht in Bezug auf diese Personen habe ich auch nicht geäußert. Wenn jemand in meine Worte etwas interpretiert, was dort nicht steht, ist das nicht meine Schuld.

3.) Im Fall Rokop -wo schon einmal Namen gefallen sind- mache ich auch hin und wieder gebrauch davon (vermeintliche) Malware an Roman zu schicken, damit er -mit seinem von sich und seinem Team erarbeiteten Standing bei div. AV-Herstellern- diese zur Analyse weiterreichen kann. Wobei es mir wichtig ist, um dieses Standing zu wissen. Technisch wär es auch für mich kein Problem, eine Summe x an Malware an eine Summe y von AV-Herstellern weiterzureichen. ;)

4.) Warum mir dieses 'Schicke bitte Datei a an Person b' nicht gefällt:
Bitte sehr:
Ein neuer User kommt mit (s)einem speziellen Problem hier ins Board. Völlig unerfahren mit den Gegebenheiten, nichts und niemanden hier kennenend. Und innerhalb seines 1. Threads bekommt er die Aufforderung, (evtl.) infizierte Dateien 'zu Forschungszwecken' an eine ihm wildfremde Person zu schicken. Oftmals nicht einmal wissend, dass sich die Person hinter der Mailadresse nicht einmal mit der auffordernden Person deckt. Ich würde das in einem mir fremden Forum äußerst suspekt finden. Mal ganz abgesehen davon was dabei aus Unwissenheit/Unbedarftheit (auf seiten des Absenders!) schief gehen kann...

Für heute solls das aber von meiner Seite gewesen sein.
Gute Nacht, allerseits ;)

P.S. Nächste Woche arbeite ich wieder und dann habe ich für meine 'Nörgeleien' sowieso keine Zeit mehr...

Lt. raman haben AV-Hersteller Zugang zu seiner Datenbank bzw. lassen sich unerkannte Malware direkt zuschicken.
Nur Bitdefender und Panda holen sich nichts ab.

Auch hier ist Jotti bekannt: http://lists.clamav.net/lurker/list/...irusdb.en.html

Was mich betrifft ... natürlich forsche ich nichts nach ... ich checke lediglich, welcher AV-Hersteller die Malware nicht erkennt und überlasse anschl. diese.
Bis jetzt hat sich noch niemand bei mir beschwert.
Ich verstehe deshalb deine Reitzüberflutung nicht.
Sollte jemand ein Problem mit jemanden bzw. der Vorgehensweise haben, so kann man denjenigen per PM anschreiben.

Hab ich was verpasst?
Wurde schonmal ein User unter Folterung dazu gezwungen eine Datei irgendwo hinzuschicken.
Der User erwartet hier kostenlose Hilfe - keiner zwingt doch jemanden zu etwas. :lmaa:

Aber, eine Menge Wahres ist dran, was Lutz schreibt, oder?
Aber wir sind OT.
Ein wunderschönes Wochenende, wünscht euch,
Charlie
:heilig:

Hallo Ihrs,

ich verwende derzeit meistens die Virus-Mail-Adresse von *Christian*, außer seiner Virus-Mail-Adresse sind mir noch einige andere bekannt, auf die ich zurückgreifen könnte, darunter auch die der Rokop-Gruppe. Alle Viren-Mail-Adressen, die ich verwende, sind absolut in Ordnung und über jeden Verdacht erhaben.

Ich halte es für eine gute und wichtige Sache, infizierte Dateien möglichst vielen Herstellern von AV-Programmen zur Verfügung zu stellen und sehe nicht ein, was daran negativ sein soll.

Einige neue User glauben, dass es sich bei der angebenen Viren-mail-addi um meine Mail-addi handelt ... ich kläre es mit wenigen Worten auf - der Hinweis "zu Forschungszwecken" steht in meinem Text, da ich der Unsicherheit eben dieser neuen User, Viren an ihnen unbekannte Mailadressen zu versenden, vorbeugen möchte ... "Hinweis auf diesen Thread" warnt den Inhaber der Virus-Mail-adresse, die Mail mit grosser Vorsicht zu behandeln ... also was soll nun noch schief gehen? Wer Fragen hat, darf sie stellen ... wir beantworten fast alles ... man kann mit jedem reden sprich schreiben und Unklarheiten aller Art bereinigen.

Bei der riesigen Menge an Usern, die bei uns am TB um Hilfestellung bei der Lösung ihrer Rechnerprobleme sucht, würde ich es für angebracht halten, wenn wir als Supportteam weiterhin freundlich und kameradschaftlich miteinander umgingen und all jene mithelfen könnten, unseren Usern mit Rat und Tat zur Seite zu stehen, die sich dafür begeistern zu helfen und bereit sind, die Materie zu lernen.

So what?

*meint Shadowdance
... guckt von einem zum anderen und grüßt alle gleich herzlich*

Auf der einen Seite juckt es mir ja geradezu in den Fingern, meinen Standpunkt (noch) ausführlicher zu vertreten, andererseits hat mir mein Postfach in den letzten Stunden auch unmissverständlich gezeigt, dass ich mit meiner Meinung ziemlich alleine da stehe. Von daher erspare ich mir und vor allem Euch weiteres zu Sache.

Eines 'muss' ich allerdings -aus meiner Sicht abschließend- noch an die Adresse derjenigen loswerden, die da meinten mich per Mail beleidigen zu wollen:
Die (auch hier) viel strapazierte Meinungsfreiheit nehme ich mir auch in Zukunft mal heraus, wenn ich zu irgendetwas eine andere Meinung habe, als die breite Masse.
Mein ungeteilter Dank dagegen geht an die Adresse derjenigen, die ganz offensichtlich die Intention meiner Aussage verstanden haben, zumindest aber zu verstehen versucht haben!

So, und jetzt werde ich mich wieder den 'echten Problemen' zuwenden...

Ich habe Lutz' Standpunkt so interpretiert, dass es ihm ein Anliegen ist, unseren Usern schneller und effektiver zu helfen, was mit dem Einsatz des eScan - ohne den Umweg über Jotti - durchaus möglich ist. Bei Anwesenheit von Backdoors auf dem System kann es durchaus von Vorteil sein, wenn ein System sofort formatiert wird. Es ist ein Versuch, einen Schaden, der noch entstehen kann, einzugrenzen.

Ich finde es gut, dass Lutz seinen Standpunkt hier an Board laut vertreten hat und sehe weder einen Grund noch einen Sinn darin, ihn zu beleidigen. Was ist eine Meinungsfreiheit wert, wenn nur eine Meinung zählt und eine Mehrheit, die glaubt im Recht zu sein, eine andere Meinung verbietet ... ohne sie hinterfragt oder verstanden zu haben?

Ich gebe Lutz Recht - aus der Sicht auf den einzelnen User .. aus der Sicht, Dateien für alle User als Viren sicher stellen zu können, halte ich an meiner bisher praktizierten Handlungsweise fest, werde jedoch versuchen beide Seiten zu betrachten, wenn ich das nächste Mal ein Logfile auswerte.

Ging es Lutz überhaupt darum jemanden von uns in Misskredit zu bringen oder nicht viel eher darum, uns zum nachdenken zu bewegen, Usern schneller zu helfen und das Wohl der Allgemeinheit etwas mehr in den Hintergrund zu verlagern? Ersteres ist unsere eigentliche Aufgabe hier an Board: wir wollen unseren Usern helfen und tun es .. alle.

Leute, wer von Euch Lutz beleidigt, beleidigt uns alle, also hört damit auf! Meinungsfreiheit gilt entweder für jeden oder für niemanden!

Shadowdance

[QUOTE=Shadowdance............. Bei Anwesenheit von Backdoors auf dem System kann es durchaus von Vorteil sein, wenn ein System sofort formatiert wird. Es ist ein Versuch, einen Schaden, der noch entstehen kann, einzugrenzen.

Shadowdance[/QUOTE] Das ist der springende Punkt für mich- erst wird stundenlang an dem System herumrepariert, dann heißt es - wenn man hier bei TB die Threads liest mit gebetsmühlenhafter Wiederholung- so jetzt mach dein System mal platt, aber schicke doch diese oder jene Datei mal ein.

Zu den Angriffen, denen Lutz ausgesetzt war, fällt mir nichts mehr ein, wenn man über trojaner-info hierher kam, führte der Weg soweit ich mich erinnere überDiskussionen.

Mich würde dein Standpunkt brennend interessieren.
Gerne auch per E-Mail ... Adresse hast du ja. :blabla:

Welcher Meinung bist Du? Das Wort "Diskussionen" rot und gross geschrieben? Wir sind an dieser Stelle offtopic .. hier diskutieren wir nur in Ausnahmefällen, an dieser Stelle der Foren helfen wir Usern.

Zwei Meinungen .. beide Meinungen haben eine Berechtigung und sind nachdenkenswert, sollten in die Ausarbeitung der Logfiles einbezogen werden. Ganz am Rande, aber doch sehr wichtig ... vertrauen wir einander? Und wenn nicht, warum nicht? Eine Frage, die sich jeder für sich im Stillen beantworten sollte.

Ich begreife nicht, warum eine Diskussion Anlass bietet, jemanden zu beleidigen. Wer andere beleidigt, setzt sich selbst ins Unrecht und zeigt, dass die eigene Meinung überbewertet wird ... Gleichberechtigung basiert auf der Basis zweier gleich berechtigt nebeneinander stehenden Meinungen. Wer nicht versteht, sollte fragen, nicht anklagen.

SD

Zunächst gilt es, genügend Informationen über das infizierte System zu bekommen und davon ausgehend Hinweise zu geben, und zwar ENTWEDER Reparatur ODER Neuinstallation, eben abhängig von dem, was man an Informationen bekommt. Das Verwenden von HJT und E-Scan ist oder ähnlicher Dinge ist zwingend notwendig, um bestimmte Dinge herauszufinden und hat überhaupt nichts mit stundenlangem Reparieren zu tun. Da ein Rechner sowohl von bekannter als auch unbekannter Malware befallen sein kann, und letztere vom geübten Auge ja durchaus schon als solche identifizierbar ist, ist es ebenso nicht undenkbar, dass man aufgrund ersterer eine Neuinstallation empfiehlt und die anderen weiterleitet. Deine Beschreibung hat IMO mit der Praxis hier nicht viel zu tun.

Ich verstehe Lutz Kritik an manchen Stellen durchaus, weil es schon Fälle gab, in denen ich daran gezweifelt habe. warum bestimmte leute Malware geschickt haben wollten. Aber meistens handelt es sich, wie gesagt, um Personen, die aktiv mithelfen und denen ich auch vertraue. Deswegen ist eine grundsätzliche, pauschale Skepsis in meinen Augen nicht gerechtfertigt. Man sollte auch nicht aus den Augene verlieren, dass die User, wenn sie hier ihr Problem schildern, letztlich genauso Wildfremden (uns) und ihren Tips vertrauen müssen, das lässt sich auch schlecht ändern. Ich halte es nicht für falsch, neue Malware an Antiviren-Hersteller einzuschicken, bei vielen gibt es dazu ja auch direkte Adressen aber naturgemäß keine zentrale und das ist der springende Punkt, weil das nur jemand privat machen KANN. Es wäre illusionär, eine von allen Herstellern offiziell zur Verfügung gestellte Plattform zu fordern, denn schließlich stehen die Firmen untereinander in Konkurrenz.

Was an Lutz` Position Grund für Angriffe bieten sollte, erschließt sich mir ehrlich gesagt nicht, ich finde lediglich, dass sie der Differenzierung bedarf.

OT, aber da sind wir ja eh schon und wenn ich mir noch mal die „Fresse“ verbrenne;
Lutz hat recht, denn das kopieren und einfügen, was ja fast alle hier machen und das Zeug als Lösung anbieten, geht mir schon lange auf dem Keks, denn das ist wie eine Tretmühle!
Es gibt immer noch andere Möglichkeiten, die man individuell lösen kann!
Satire folgt.
LG, Charlie

Satire:Tutoral für Neueinsteiger

Gratulation, ja, nun habt Ihr endlich gefunden, was Ihr schon lange gesucht habt, die „Gelben Seiten", denn: „da werden Sie geholfen!"
Ihr werdet euch fragen, wie es nun weiter geht?
Eigentlich ganz einfach, denn Ihr werdet hier sicher von mehreren Personen dazu aufgefordert, einen HJT zu posten, anschließend den e’scan runterzuladen und durchzuführen, eventuell noch ein paar andere Sachen zu machen, das kann sich unter Umständen mehrere Tage hinziehen, also nicht verzweifeln, das ist vollkommen normal und führt auch meistens zu einem Ergebnis.
Wenn Ihr das dann alles gemacht habt, sowie zusätzlich fünf AV’s und die entsprechenden Hintergrundwächter aktiviert sind, dürfte dann in der Regel sowieso nichts mehr funktionieren, der Rechner kackt ab, Ihr habt endlich Eure Ruhe und könnt gemütlich fernsehen.
Aber, es wurde sich wirklich bemüht, Euch zu helfen, Erfolg kann eben keiner garantieren. Oder wurde Euch was übergeholfen? Satire Ende
LG, euer Charlie

Hallo Charlie1,

zwischen dem, was Du verstanden hast und dem, was Lutz zum Ausdruck bringen wollte, liegen Welten ;-)

Du hast Deine eigene Anschauung zu Hilfe und willst sie gerne praktizieren ... das darfst Du auch gerne tun, wenn Du einen Kunden hast, dessen Computer Du real unter Deinen Fingern hast und der User Dir vertraut. An unseren Foren bevorzuge ich die Methode, die wir verwenden, um den Usern zu helfen.

Wenn Du Dir das Ergebnis unserer Bemühungen anschaust, habe ich den Eindruck, dass wir ziemlich erfolgreich sind. Wenn Du Dich daran störst, dass u.a. ich Baustein-Texte verwende, in die ich jeweils computerbezogene Information hineinkopiere, verstehe ich das zwar, aber es ist eine Zeitfrage. Will ich einem User pro Abend helfen, kann ich jeden Text personenbezogen neu schreiben. Will ich versuchen möglichst vielen Usern zu helfen, werde ich meine Bausteintexte nehmen und die Information bezüglich der einzelnen Systeme hineinkopieren. Deswegen weiss ich trotzdem, dass ich mit Individuen zu tun habe und gehe auf jeden einzeln zu. Und ich glaube, das merken die Leute auch. Es gibt immer eine Sicht von aussen und eine Sicht von innen ... beide Sichten sind berechtigt, aber nicht immer zutreffend.

Wenn Du Dir die Zeit nehmen kannst und über Wissen und Können verfügst, den Rechner eines Users im Netz von Trojanern und Würmern mit Backdoorcharakter zu reinigen, dann tu es .. ich habe keine Glaskugel, die mir den Einblick in die Fähigkeiten eines Users verschafft. Ich bevorzuge die Methode, die Du bereits mehrfach angeprangert hast.

MfG
Shadowdance

@charlie1
Deine Beschreibung der Situation gefällt mir, ich stimme ihr zu.
@all Ich habe schon verstanden, dass das eine etwas überspitzte Darstellung ist
:teufel3:

Hi, Shadowdance, dass ist Satire, haben halt keinen Humor, die “Deutschen”!!!
LG, Der Tscheche Charlie

Hi @ Charlie1,

man kann eine Satire so schreiben, dass jeder sie als solche erkennen kann, dann muss man auch nicht anfügen, dass es sich um eine Satire handelt ... man kann aber auch so schreiben wie Du es tatst, und diesem Beitrag anfügen, dass es sich um eine Satire handle ... denn ohne diese Anfügung würde kaum jemand Deinen Beitrag als Satire lesen. Was Du vielleicht nicht weisst, ich bin bereits des öfteren scharf kritisiert worden, weil ich Textbausteine verwende und auch der bei uns parktizierte Einsatz von Hijack This und eScan findet nicht bei jedem User Zuspruch ... aber das ist an einem so großen Forum wohl auch nicht möglich. Wem unsere Methode nicht gefällt .. es gibt genug Hilfeangebote in den Weiten des Netzes, allerdings verwenden alle mir bekannten Foren Hijack This und eScan ....

Die Deutschen ... nein, wir haben keinen Humor ... er ist uns ausgegangen ... oder vielleicht doch nicht? :D :D :D

SD

Wie viele Anfragen sehen denn nicht ungefähr so aus:

Titel:
HILFEEEEEE!!!!


Inhalt:
Ich habe mir einen Virus eingefangen!!!! Wie werd ich das Ding wieder los???!!!


Und nun bin ich sehr gespannt, wie die "individuelle" Lösung aussieht, wohlgemerkt ohne Diagnosetools oder Logs zu verwenden. Vor allem, weil du dir auch ständig widersprichst, charlie1. Du möchtest nicht, dass man empfiehlt, ein System neu zu installieren und du möchtest nun ebenfalls nicht, dass man länger mit diversen Programmen daran herumrepariert. Was genau ist also dann dein Vorschlag, wie kann man effizienter und besser vorgehen?

Satire funktioniert nur dann, wenn sie den Kern des Kritisierten auch exakt trifft, das ist hier aber keineswegs der Fall. Die Realität ist, dass die Hilfesuchenden sich erstens zu einem nicht geringen Teil wenig mit dem Rechner auskennen und nicht wissen, was ein Helfender benötigt und sich zweitens leider auch nicht VOR ihrem Posting hier im Forum entsprechend informieren. Wenn sofort das, was man nun mal wissen MUSS (zumindest sehe ich das für mich so, andere können offenbar ohne Informationen perfekte Ferndiagnosen abgeben), also Betriebssystem/Patchstand, Namen der Schädlinge und der verwendeten Software usw. vorhanden wäre, müsste man das auch nicht jedesmal abfragen. Ebenso sind die möglichen Wege der Infektionen weitgehend bekannt, wie auch die Vorbeugungsmaßnahmen, es handelt sich also um immer wiederkehrende identische Sachverhalte, Fragen und Hinweise. Ob es sich bei den Hilfesuchenden um Männlein, Weiblein, Große, Kleine, Dicke, Dünne usw. handelt, ist einem an der LSASS-Lücke ansetzenden Schädling wurscht und mir daher auch, relevant ist allein, dass es sich hier nun mal um kein individuelles, sondern ein immer wiederkehrendes Problem handelt. Das sollten doch nun eigentlich gerade Informatiker verstehen können.

Ich sehe nicht ein, wieso ich dieselben Dinge bei jedem Thread eigenhändig neu schreiben sollte, es ist, wie gesagt, eine Frage der Effizienz. Wenn jemand damit inhaltlich ein Problem hat, kann man darüber ja gern diskutieren, im Gegensatz zu dem, was Lutz ursprünglich geschrieben hat, haben die weitergehenden Kritikpunkte aber herzlich wenig mit der Realität zu tun und ein stichhaltiges Argument habe ich auch noch nicht gesehen. Die Kritik an der Verwendung von Copy&Paste zähle ich zumindest nicht dazu. Ob das für jemanden, der das immer wieder lesen muss, eventuell ermüdend scheint, ist mir, ehrlich gesagt, völlig egal, für mich ist allein relevant, ob ich ein Problem lösen und dem, der um Hilfe fragt, diese geben konnte. Es ist ja keinem verwehrt, das anders und besser zu machen bzw. entsprechende Vorschläge zu unterbreiten.