Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Nach Formatierung immer noch Viren (https://www.trojaner-board.de/95065-formatierung-immer-noch-viren.html)

hoTkey23 26.01.2011 02:12
Nach Formatierung immer noch Viren
 
Hallo,
ich habe aufgrund eines Trojaners meinen PC formatiert und neu aufgesetzt. Nachdem ich bei pandasecurity den Activescan laufen ließ, wurden mehrere infizierte Dateien entdeckt. Ich bin nun verunsichert. Deswegen habe ich mich entschlossen, hier im Forum um Hilfe zu bitten, da ich keine Ahnung von solchen Sachen habe.

Der Log von activescan:
Zitat:
;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2011-01-26 00:19:58
PROTECTIONS: 1
MALWARE: 4
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 10.0.1.56 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\dokumente und einstellungen\admin\cookies\admin@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\dokumente und einstellungen\admin\cookies\admin@atdmt[1].txt
00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No c:\dokumente und einstellungen\admin\cookies\admin@statse.webtrendslive[2].txt
00246583 Hacktool/Servicekiller.A HackTools No 0 Yes No d:\programme\win32sec.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
206981 HIGH MS09-007
;===================================================================================================================================================== ==============================
Habe danach den Quick-Scan von Anti-Malware laufen lassen.
Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5604

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.01.2011 23:23:52
mbam-log-2011-01-25 (23-23-52).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 125703
Laufzeit: 4 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Das ist der Log von Anti-Malware, der auch bei den Logdateien war:
Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5571

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.01.2011 17:46:17
mbam-log-2011-01-22 (17-46-17).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 123158
Laufzeit: 12 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Aus Platzgründen ist die OTL-Datei im Anhang.


Und die Extra- Datei:
OTL EXTRAS Logfile:
Code:
OTL Extras logfile created on: 25.01.2011 23:32:56 - Run 1
OTL by OldTimer - Version 3.2.20.5    Folder = D:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.015,00 Mb Total Physical Memory | 289,00 Mb Available Physical Memory | 28,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 72,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 14,65 Gb Total Space | 8,47 Gb Free Space | 57,80% Space Free | Partition Type: NTFS
Drive D: | 59,87 Gb Total Space | 56,69 Gb Free Space | 94,68% Space Free | Partition Type: NTFS
 
Computer Name: CUBE5 | User Name: admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "D:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "D:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{19F5658D-92E8-4A08-8657-D38ABB1574B2}" = Asus ACPI Driver
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216020F0}" = Java(TM) 6 Update 20
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java(TM) 6 Update 23
"{2987EE84-C4EE-4FF5-8160-32DE00D6ABC6}" = GTA2
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{6E4DAE31-7CF3-441A-B6E5-B014D63C80CD}" = Eee Instant Key
"{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X - Deutsch
"{DFFC0648-BC4B-47D1-93D2-6CA6B9457641}" = OpenOffice.org 3.2
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"ActiveScan 2.0" = Panda ActiveScan 2.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MiKTeX 2.9" = MiKTeX 2.9
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7)
"MP Navigator EX 2.0" = Canon MP Navigator EX 2.0
"Secunia PSI" = Secunia PSI (2.0.0.2001)
"TeXnicCenter_is1" = TeXnicCenter Version 1.0 Stable RC1
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 22.01.2011 10:24:02 | Computer Name = CUBE5 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 22.01.2011 10:24:02 | Computer Name = CUBE5 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 22.01.2011 10:24:02 | Computer Name = CUBE5 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 22.01.2011 10:24:02 | Computer Name = CUBE5 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 22.01.2011 10:33:30 | Computer Name = CUBE5 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 22.01.2011 12:23:56 | Computer Name = CUBE5 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung basic-miktex-2.9.3972.exe, Version 2.9.3972.0,
 fehlgeschlagenes Modul basic-miktex-2.9.3972.exe, Version 2.9.3972.0, Fehleradresse
 0x0001bdc0.
 
Error - 22.01.2011 12:31:52 | Computer Name = CUBE5 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 22.01.2011 17:22:08 | Computer Name = CUBE5 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 22.01.2011 18:58:36 | Computer Name = CUBE5 | Source = ESENT | ID = 490
Description = svchost (1176) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 24.01.2011 18:11:46 | Computer Name = CUBE5 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung gta2.exe, Version 9.6.0.0, fehlgeschlagenes
 Modul gta2.exe, Version 9.6.0.0, Fehleradresse 0x000b0d27.
 
[ System Events ]
Error - 22.01.2011 10:31:00 | Computer Name = CUBE5 | Source = SideBySide | ID = 16842784
Description = Abhängige Assemblierung "Microsoft.VC90.CRT" konnte nicht gefunden
 werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer
 installiert. 
 
Error - 22.01.2011 10:31:00 | Computer Name = CUBE5 | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC90.CRT fehlgeschlagen.
Referenzfehlermeldung:
 Die referenzierte Assemblierung ist nicht auf dem Computer installiert.  .
 
Error - 22.01.2011 10:31:00 | Computer Name = CUBE5 | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für C:\DOKUME~1\admin\LOKALE~1\Temp\RarSFX0\redist.dll
 fehlgeschlagen.  Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet.  .
 
Error - 22.01.2011 15:21:54 | Computer Name = CUBE5 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "BITS"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {4991D34B-80A1-4291-83B6-3328366B9097}
 
Error - 22.01.2011 15:21:54 | Computer Name = CUBE5 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "BITS"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {4991D34B-80A1-4291-83B6-3328366B9097}
 
Error - 22.01.2011 15:21:54 | Computer Name = CUBE5 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "BITS"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {4991D34B-80A1-4291-83B6-3328366B9097}
 
 
< End of report >
--- --- ---


Zu guter Letzt habe ich gmer laufen lassen:
GMER Logfile:
Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-26 01:36:30
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST980811AS rev.3.ALC
Running: ehcpv5wp.exe; Driver: C:\DOKUME~1\admin\LOKALE~1\Temp\pxtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT  F7CC1716                                ZwCreateKey
SSDT  F7CC170C                                ZwCreateThread
SSDT  F7CC171B                                ZwDeleteKey
SSDT  F7CC1725                                ZwDeleteValueKey
SSDT  F7CC172A                                ZwLoadKey
SSDT  F7CC16F8                                ZwOpenProcess
SSDT  F7CC16FD                                ZwOpenThread
SSDT  F7CC1734                                ZwReplaceKey
SSDT  F7CC172F                                ZwRestoreKey
SSDT  F7CC1720                                ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

?    C:\DOKUME~1\admin\LOKALE~1\Temp\mbr.sys  Das System kann die angegebene Datei nicht finden. !

---- EOF - GMER 1.0.15 ----
--- --- ---



Da mir die ganzen Logfiles nichts sagen, wäre ich für kompetente Hilfe sehr dankbar. Habe ich mir etwas eingefangen? Und wenn ja, woran kann man das in den logs erkennen? Ich bedanke mich im Voraus für Antworten.

cosinus 26.01.2011 09:30
Zitat:
00246583 Hacktool/Servicekiller.A HackTools No 0 Yes No d:\programme\win32sec.exe
Nur Laufwerk C: formatiert?

hoTkey23 26.01.2011 09:48
Vielen Dank für die schnelle Antwort.

Ich habe zuerst alle Partitionen gelöscht und dann neue aufgesetzt. 8 MB konnten aber keiner Partition zugeordet werden. D: wurde nach der Windows-Installation formatiert.

Zitat:
00246583 Hacktool/Servicekiller.A HackTools No 0 Yes No d:\programme\win32sec.exe
Bei dem Programm handelt es sich um h**p://www.dingens.org/. Ist mein PC infiziert???

cosinus 26.01.2011 10:02
Nein, die anderen Funde sind nur harmlose Cookies.

hoTkey23 26.01.2011 10:11
Und in den anderen Log-Files ist nichts zu erkennen???

Ich hätte da noch ein anderes Problem: Wichtige Dateien hatte ich vor der Formatierung auf USB-Sticks gespeichert. Wie und mit welchen Programmen kann ich überprüfen, ob die trojanerfrei sind? Ich habe schon autorun über gpedit.msc -- Computerkonfiguration -- Administrative Vorlagen -- System deaktiviert. Kann ich die Sticks unbesorgt überprüfen?

Was sollte ich noch ändern/einstellen, damit ich sicherer vor Trojanern etc. werde? Alle Passwörter ändern???

cosinus 26.01.2011 10:18
Zitat:
Und in den anderen Log-Files ist nichts zu erkennen???
Nein. Du hast ja auch formatiert. Wozu soll man das System nochmal umfangreich anaylsieren, wenn es per Definition nach einer Neuinstallation vertrauenswürdig ist?

Zitat:
Wichtige Dateien hatte ich vor der Formatierung auf USB-Sticks gespeichert. Wie und mit welchen Programmen kann ich überprüfen, ob die trojanerfrei sind?
Mit einem Virenscanner, Malwarebytes? Das gibt aber keine 100% Sicherheit. Am besten also nur reine Datendateien und keine ausführbaren (Setups) Dateien übernehmen.
Und unbedingt die automatische Wiedergabe deaktivieren, damit ein mit einem Autorunwurm verseuchter USB-Stick oder -Platte nicht automatisch einen Schädling ausführt nach dem Einstecken, AFAIK wirkt sich die Einstellung über gpedit.msc nicht auf Wechseldaträger wie Sticks und ext. Platten aus:

Autorun auf allen Laufwerken deaktivieren
Ich empfehle, den Autorun grundsätzlich zu deaktivieren. Falls Du einen verseuchten Stick dransteckst und der Virenscanner erkennt das nicht hast Du den Salat.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Zitat:
Was sollte ich noch ändern/einstellen, damit ich sicherer vor Trojanern etc. werde? Alle Passwörter ändern???
Passwörter ändenr ist eine gute Idee.
Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

hoTkey23 26.01.2011 23:33
Zitat:
Nein. Du hast ja auch formatiert. Wozu soll man das System nochmal umfangreich anaylsieren, wenn es per Definition nach einer Neuinstallation vertrauenswürdig ist?
Ich habe im Forum gelesen, dass selbst nach einer Formatierung Viren vorhanden sein können. GMER hat ja auch was gefunden, oder?


Hab die noautoplay ausgeführt. Vielen Dank für die Datei und ich möchte dir nochmal für die schnelle Hilfe danken. Ihr seid ein kompetentes Team und macht eine Super-Arbeit hier im Forum.

cosinus 27.01.2011 09:04
Nein, GMER hat nichts gefunden. Was da steht ist ein Log, was aber keine Hinweise auf Rootkits ergibt, Die mbr.sys ist ok.

hoTkey23 27.01.2011 17:46
OK. Und nochmal vielen Dank für deine Hilfe.:applaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19