hacktool.GEC AVG meldung
 

Hallo
so grad eben ist mein AVG angesprungen und hat mir angezeigt das ein potentielle gefährliches Programm aka hacktool.gec (grad eben 16:24 ist avg nochma angesprungen.. diesmal hieß es HACKTOOl.EEG) auf meinem pc im Verzeichnis C:\System Volume Information ist (wenn ich auf den ordner zugreifen will zeigt er mir an das ich kein zugriff habe)
anscheinend irgendwie in der svchost.exe versteckt

hijack Log
lg

Halli hallo Amsterdamer
Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
  Installiert bleiben dürfen nur Anti-Malware oder SuperAntispyware ohne Wächter.
  .
• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Installation des aktuellen ServicePacks:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  • Vista_ TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume mit cCleaner auf; Punkte 1&2.
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

Poste danach bitte ein frisches HJT logfile.

so hab alles gemacht außer das neue SP installiert.. da ich das nicht will
und das "Anwendungen und uns..." da ich dies nicht gefunden habe
Hier neuer HJT Log
lg

warum nicht?

Wenn du dein System nicht pacht ist das ungefähr so als würdest du mit 'nem Umhängeschild durch's WorldWideWeb marschieren wo drauf steht: " Hier stehen alle Tore offen! Immer rein spaziert!"
Und das ist jetzt kein blöder Scherz.
Wenn dein OS nicht aktuell ist brauchst du nichtmal was falsch machen um dich zu infizieren. Da braucht nur ein Wurm von außen auf Sicherheitslücken scannen, die ohne SP3 vorhanden sind, und kann sich bei dir einnisten.
Da kann niemand, auch kein AV-Prog was gegen tun.

Bis du das Service Pack 3 installiert hast stelle ich den Support ein; zu deinem Besten.

hfftl. kommen keine weiteren probleme auf :o:o

Wie meinst du das? Drück dich bitte etwas präziser aus sonst muss ich hier immer Rätsel raten..

Dann läuft bei dir immernoch AdAware. Da hatte ich doch geschrieben, dass du es bitte deinstallieren sollst.

So macht das keinen Spaß mit dir... :schmoll:

ich poste sowas nicht um sonst..

naja bei Freunden von mir ging dann zum Beispiel der sound nicht mehr und es traten Probleme auf.. das mein ich damit
Das mit dem AdWare tut mir leid das hatte ich übersehen ;)
Ich selber will doch auch das mein PC wieder clean wird daher wäre es doch unütz wenn ich deine anweisungen nicht befolge ;)
lg

P.S.
Hab jetzt cCleaner nochmal drüber laufen lassen

Gut, so sieht das ganze schon besser aus.

Dann fange wir an.

Du solltest den Rechner vom NEtz nehmen und alle Programme über einen sauberen Rechner downloaden, dann auf CD brennen und am Rechner einspielen. Mit den logs auf umgekehrten Wege das gleiche. USB Stick ist nicht zu empfehlen da du dir den Schädling verschleppen könntest.
Du muss davon ausgehen, dass der Angeifer VollZugriff auf dein System hat!
Ändere also von einem sauberen Rechner aus alle deine Passwörter und Zugangsaccounts!



Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  
• Starte den Rechner neu. Öffne abermals die AVZ.exe und gehe sicher, dass der AVZPM Driver installiert ist.
  
• Alle AntiViren Programme und Wächter sollten weiterhin deaktiviert sein!
  
• Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
  
• Unter File -> Database Update Start drücken.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Im Hauptfenster den Start Button drücken.
  
• Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Deaktiviere den AVZGuard!
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

C:\DOKUME~1\Dave\LOKALE~1\Temp\ZXPKGIYXQ.exe
C:\DOKUME~1\Dave\LOKALE~1\Temp\VJWFBZ.exe

die 2 Dateien sind nicht vorhanden
und du widersprichst dir selbst
oben schreibst du ich solle den PC vom Netz hängen
unten steht aber das ihr :D
Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.

hm^^

so hier..
http://rapidshare.de/files/41298413/...sinfo.zip.html
hoffe alles richtig so
srry 4 DP

Führe bitte folgendes Skript aus.

AVZ4 -> File -> Custom Skripts.

Ok hab ich gemacht

Überprüfe den Rechner mit dem AVP Tool.

Und Panda:


Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Im abgesicherten modus oder...?

lg

Da sind einige Cracks im log. Wenn du sowas auf deinem rechner ausführst kann dich nichts und niemand vor den Konsequenzen schützen. Die Dinger sind fast immer verseucht sodass dem Angreifer VollZugriff auf dein System gewährt wird.
Damit bringst du dich in große Gefahr!
Er kann dir Geld und Informationen stehen oder deinen Rechner zum Vertrieb von Kinderpornos und Spam missbrauchen.
Dafür bist du dann haftbar!
Wenn als eines Tages ganz unverhoft die Kripo bei dir klingelt weisst du woran's liegt.

Mach den rechner platt, verschwende nicht die Zeit von ehrenwerten Helfern und überdenke deine Surfgewohnheiten. Sonst kommst du beim nächsten Mal wohlmöglich nicht so glimpflich davon.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!


Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..

• Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: Avira AntiVir free, Kaspersky oder avast free.
  Mit einem Anti-Malware-Scanner ohne Wächter wie SuperAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
  .
• Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
  .
• Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
  .
• Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
  .
• Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
  .
• Das aktuelle ServicePack sollte installiert sein:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
  .
• Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
    Vista_Firewall punktgenau konfigurieren
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
    und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
  .
• Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
  .
  Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista



Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst.. ;)

Hätte jetzt noch ne Frage
also Daten hätte ich halt meine Bilder, Musik paar Sachen vom Desktop und halt FF/TB/Pidgin und halt paar Textdocs undso
Darf ich das jetzt einfach so auf ne externe Festplatte tun oder könnte ich da was mitziehn..?
Wenn ja könnt ich die daten doch mit so ner Linux Boot CD retten oder?

Wie du Daten sicherst steht auch in der Anleitung drinn ich dir gepostet habe.. ;)

Sie darf nicht ausführbar sein und sollte vor dem Wiedereinspielen auf Viren überprüft werden.