|
DSL Modem sendet oder empfängt STÄNDIG Daten! Brauche DRIGEND Hilfe von den Profis hier! :( Seit gestern morgen sendet bzw. empfängt (auf jeden Fall blinkt die "Daten" Anzeige ununterbrochen!) mein DSL Modem ständig Daten sobald ich kurze Zeit online bin. Ich bin vollkommen ratlos, habe Virenscans mit AVG 7.5, AntiVir und AdAware gemacht, es wurden auch teilweise Trojaner gefunden, diese dann aber gelöscht. Als das Problem immernoch bestand, habe ich versucht ein Windows Update durchzuführen (benutze Windows XP SP2), bei einem dieser Updates wurde dann ein Sicherheitsscan durchgeführt und ein "Backdoor Win32" (in tcpip.sys) oder so gefunden. Alle folgenden Windows Updates konnte ich nichtmehr installieren, die Installation brach jedes mal ab :( Also, bitte bitte helft mir, hat hier jemand Zugriff auf meinen Rechner (Passwörter etc.)?? Hier mein HiJackThis logfile: Logfile of HijackThis v1.99.1 Scan saved at 14:23:13, on 30.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\WINDOWS\Explorer.EXE C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\system32\Prismsta.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\WDBtnMgr.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\twain_32\A4CIS600\WATCH.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Grisoft\AVG7\avgwb.dat C:\Programme\Internet Explorer\iexplore.exe C:\download\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.cfos.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos1\cFosDNT.exe O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\AOLMIcon.exe O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Programme\1&1 Programme\cFos1\setup.exe -tipoftheday 0 -type5 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O21 - SSODL: uMOlFo - {2496AFEE-8E3C-0544-2470-2D3C5BE15AC9} - C:\WINDOWS\system32\amw.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing) O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing) O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Ich bin für jede Hilfe absolut dankbar, nach dem einen Windows Sicherheitscan hat das DSL Modem für ca. 10 Minuten nichtmehr geblinkt (nachdek z.B. eine Seite komplett geladen wurde) , es ging dann aber wieder von vorne los :( Bitte helft mir :heulen: |
Bitte, irgendjemand muss mir doch helfen können :( |
Hallo Zitat:
Mach bitte alle versteckten Dateien und Ordner sichtbar und lass diese Dateien : C:\WINDOWS\system32\amw.dll C:\WINDOWS\system32\svchost.exe:exe.exe hier Virustotal hier virscan.org oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. MFG |
Hi, mir der C:\WINDOWS\system32\svchost.exe:exe.exe wird das nicht funktionieren, das ist ein ADS. Um den Scannen zu können, muss er erst in eine normale Datei extrahiert werden. Das geht unter anderem mit Catchme. Das Programm am besten nach C:\ schreiben, die benötigte Befehlszeile für die Eingabeaufforderung lautet dann: Code: C:\catchme.exe -c C:\WINDOWS\system32\svchost.exe:exe.exe C:\bad.fileVermutlich ein Sdbot, der auch eine gute Ursache für den Traffic wäre. Gruß, Karl |
Vielen, vielen Dank für eure Hilfe ... momentan funktioniert (für mich) keine der 3 Scan-Seiten, gibt es da noch andere? Diese "svchost.exe:exe.exe" Datei habe ich auch in Verdacht! Als ich wieder dieses Problem hatte, haber ich TcpView mitlaufen lassen, und da waren über 30 Prozesse die von dieser Datei ausgingen! Kann es etwas damit zu tun haben? |
Hallo und vielen Dank Karl für die Erklärung:daumenhoc @nameless91 versuch dann mal hier Virus.Org :: Malware Scanning Service die Dateien ünerprüfen zu lassen. MFG |
Vielen Dank nochmals für den Link, aber ich kann die Datei "amw.dll" einfach nicht hochladen! :( Jotti ist überlastet, und alle anderen Seiten brechen bei dieser Datei entweder ab oder laden sie einfach nicht hoch. "amw.dll" ist 32KB gross und "svchost.exe" 17KB, jedoch hat diese Datei heute morgen wieder angefangen wie wild zu senden, habe diesen Prozess dann mit TcpView beendet und da war erstmal Ruhe ... was kann ich denn nun bloss tun? :( |
Im Grunde solltest du deinen Rechner neu aufsetzen. Zur schnellen Hilfe, damit du Daten usw sichern kannst und vor allem dein Rechner nicht mehr Daten versendet, solltest du SDfix nehmen: HijackThis.de Support Board - Einzelnen Beitrag anzeigen - backdoor.ciadoor Nachtrag: Aus neugier. Hat die Malware dir Antivir gekillt? |
Vielen Dank nochmals für die Hilfe, habe soeben SDFix ausgeführt, hier das Ergebnis (Modem sendet momentan nicht, bleibt das so?): SDFix: Version 1.113 Run by **** on 31.10.2007 at 12:41 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: ICF ImagePath: C:\WINDOWS\system32\svchost.exe:exe.exe ICF - Deleted Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: Trojan Files Found: C:\Dokumente und Einstellungen\****\spooldr.ini - Deleted C:\WINDOWS\system32KBRunOnce2.tm_ - Deleted C:\WINDOWS\system32KBRunOnce2.t__ - Deleted C:\WINDOWS\system32\8_exception.nls - Deleted C:\WINDOWS\system32\KBRunOnce2.t__ - Deleted C:\WINDOWS\system32\kr_done1 - Deleted C:\WINDOWS\system32\svcp.csv - Deleted C:\WINDOWS\system32\winsub.xml - Deleted C:\WINDOWS\Temp\$_2341233.TMP - Deleted C:\WINDOWS\Temp\$_2341234.TMP - Deleted C:\WINDOWS\Temp\$b17a2e8.tmp - Deleted Removing Temp Files... ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe : ADS Found! svchost.exe: deleted 24064 bytes in 1 streams. Checking for remaining Streams C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2007-10-31 12:48:02 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ESENT] "EventMessageFile"=str(2):"c:\windows\system32\ESENT.dll" "CategoryMessageFile"=str(2):"c:\windows\system32\ESENT.dll" scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Valve\\Steam\\SteamApps\\****\\counter-strike source\\hl2.exe"="C:\\Programme\\Valve\\Steam\\SteamApps\\****\\counter-strike source\\hl2.exe:*:Enabled:hl2" "C:\\Programme\\Azureus\\Azureus.exe"="C:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus" "D:\\mule\\emule.exe"="D:\\mule\\emule.exe:*:Enabled:eMule" "C:\\Programme\\DC++\\DCPlusPlus.exe"="C:\\Programme\\DC++\\DCPlusPlus.exe:*:Enabled:DC++" "C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6" "C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire" "C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealOne Player" "C:\\Programme\\ReGetDx\\regetdx.exe"="C:\\Programme\\ReGetDx\\regetdx.exe:*:Enabled:ReGet 4.2" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" "C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:svchost" "C:\\Programme\\Valve\\Steam\\Steam.exe"="C:\\Programme\\Valve\\Steam\\Steam.exe:*:Enabled:Steam" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files: --------------- File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes: Tue 24 Jul 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Wed 31 Oct 2007 108 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys" Tue 30 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f318bade90cc090b31a507f2d14a9cc8\BIT25.tmp" Tue 24 Jul 2007 4,348 ...H. --- "C:\Dokumente und Einstellungen\****\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak" Tue 24 Jul 2007 20 A..H. --- "C:\Dokumente und Einstellungen\****\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak" Tue 24 Jul 2007 312 ...H. --- "C:\Dokumente und Einstellungen\****\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak" Tue 24 Jul 2007 1,536 A..H. --- "C:\Dokumente und Einstellungen\****\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2lic.bak" Finished! Kann mir jemand hierzu eine Auswertung geben? Und bedeutet "Rachner neu aufsetzen" = C: formatieren bzw. Neuinstallation? Würde gerne alles so lassen, natürlich nur falls das Problem nun behoben ist ... also, ich danke erstmal sehr für die Hilfe, was nun? :) edit: AntiVir habe ich wieder deinstalliert, das war nicht die Malware. |
Du hast noch das Problem mit der tcpip.sys, denke ich? Das Problem ist, das bei dir auch noch ein Zhelatin/Stormwurm aktiv (ist?) war. Ich wuerde deinem Rechner nicht mehr so viel anvertrauen, was Passworte und aehnlichem angeht. Aendern solltest du deine Passworte auf jeden fall, die du auf dem REchner genutzt und gespeichert hast. Mache das bitte nicht auf diesem Rechner, da dieser noch infiziert sein koennte. Neu aufsetzen bedeutet Forimatieren und co. Irgendwo gab es eine schoene Anleitung dazu. Ich glaube es war diese: http://www.trojaner-board.de/12154-a...sicherung.html Wie gesagt, diesen Schritt solltest du meiner Meinung nach machen. |
Die "tcpip.sys" wurde bereinigt, davon scheint nichts mehr übrig ... was ist ein "Zhelatin/Stormwurm" und ist dieser denn noch aktiv? Ist das irgendwie nachprüfbar? Besteht nun noch eine Gefahr? Meinem Modem geht es nun wunderbar und ich könnte ja noch ein Virenprogramm drüberlaufen lassen ... was ist mit onlinebanking bzw. Kreditkarteninformationen? Kann hier etwas geklaut worden sein? Für eine weitere Meinung wäre ich nochmals sehr dankbar! :) |
Gehe davon aus, das alle Passworte und Zugangsdaten, die auf dem Rechner gespeichert waren und die waerend der infektion benutzt wurden alle geklaut wurden! Wenn der Sturmwurm noch aktiv waere,k wuerde dein Rechner wieder Daten verschicken... Kontrollscans sind nie falsch! Escan und Hijackthis log auch nicht. Nochmal gesagt, plattmachen waere das beste... |
Wie sieht es mit dem onlinebanking, eBay Passwörtern usw. aus, ist die Wahrscheinlichkeit wirklich so gross, dass diese (gerade über eine verschlüsselte Verbindung!) Daten an Dritte weitergeleitet worden sind? |
Zitat:
|
OK, ich verstehe ... aber nach Änderrung aller meiner Passwörter wäre ein Zugriff doch nichtmehr möglich (vorrausgesetzt der Virus ist entfernt), oder? Was würde da eine komplette Neuinstallation des Systems bringen? |
Ob das System virenfrei ist, kann keiner sagen, insbesondere nach Backdoorinfektionen nicht. Es kann durchaus vorkommen, dass man bei einem bereinigten System keinerlei Schädlinge mehr findet, die Spyware/Keylogger-Komponente (oder was auch immer was der Cracker noch ins System injiziert hat...) aber dennoch aktiv ist. Dann bringt auch kein Ändern der Passwörter auf einem anderen System mehr was, wenn du dich auf dem immer noch vom verseuchten PC mit diesen Daten irgendwo einloggst. Denn Login und Passwort werden ja quasi live mitgeschnitten... Es ist sehr fragwürdig das System in diesem "könnte-vielleicht-Zustand" zu lassen (gerade bei Backdoorbefall!). Wenn du es neu aufsetzt (und das ist bei Backdoorbefall das gebotene Mittel!) hast du es wieder zu 100% vertrauenswürdig. Da gibt es dann kein "könnte-vielleicht" mehr ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board