Computer nach wiederaufsetzten sauber?
 

Hier nochmal mein Problem in Kurzfassung:

Ich hatte mir über eine ravmone.exe offenbar die Trojaner:

TR/Agent.Abt und TR/Agent.AEI.1 (und evtl. andere Konsorten gefangen). Die konnten - nach meinem laienhaften Augenschein zu urteilen - alle von Antivir beseitigt werden.

Trotzdem ging ich davon aus, das mein System korrumpiert war und wollte sicher sein. Leider hab ich hierauf keine Antworten bekommen, mich deswegen zur Radikallösung entschieden und mein System nach eurer Anleitung und bestem Wissen und Gewissen neu aufgesetzt (inkl. format c:\) und versucht es bestmöglich abzusichern.

Danach habe ich mir sofort die Freeware von Antivir heruntergeladen, aktualisiert und gescannt (da ich jetzt ja davon ausgehen kann, das der Virenscanner nicht mehr von Rootkits o.ä. verarscht werden konnte) - ohne Fund.

Leider hab ich außer dem, was ich in den letzten Wochen so gelesen hab, wenig Ahnung, eher gefährliches Halbwissen und deswegen bin ich nicht sicher, ob sich der Trojaner nun vielleicht noch auf meiner anderen Partition D: befindet, oder ob ich die dort gespeicherten Daten (keine Programme!) problem- und gefahrlos nutzen kann (ravmone.exe wurde seinerzeit von Antivir auf jeder Partition und auf jedem USB-Stick gefunden und gelöscht).

Also, reicht es, nur die Systempartition zu formatieren um sicher zu sein, oder könnte es mit den anderen Partitionen, auf denen sich nur Daten befinden noch Probleme geben (oder sogar mit den Daten selbst, was natürlich ein Super-GAU wäre)?

Habe nämlich noch meinen Arbeitsrechner, der noch nicht neu aufgesetzt ist und bei dem das gleiche Problem herrscht. (Nachzulesen auch sehr detailliert in diesem Forum - dort wird exakt mein Problem beschrieben, vor allem mit dem Zugriff auf Festplatten über den Arbeitsplatz).

Jetzt ab ich glatt "korrumpiert" geschrieben, meine natürlich "kompromittiert" - peinlich, aber irgendwie passts ja auch... Da sieht man mal, was für ein Anfänger ich noch bin. (BTW - wo ist hier der "Editier"-Button?)

Wäre wirklich sehr, sehr dankbar, wenn mir jemand helfen könnte. Was ist denn mit dieser HiJackThis-Logfile? Soll ich das mal machen?

Danke im Vorraus!

EDIT: Strange, jetzt finde ich hier den Edit-Button, im Beitrag davor taucht er nicht auf...

Wenn es ein Trojaner war, dann nein!

Grundsätzlich: :daumenhoc Aber auch hier kann man Fehler machen, die eine erneute Verseuchung zu Folge haben. Wie hast Du Dein System abgesichert? Wie bist Du nach format : C und der Neuinstallation und vor dem 1. Online-Gang vorgegangen? Hattest Du vorher das SP2 installiert, die Win-XP-Firewall aktiv?

Das ist nicht gleichbedeutend mit: Alles ok. Sei es, daß Du vor dem 1. Online-Gang einen Fehler gemacht hast, oder aus Versehen eine infizierte Datei mitgesichert hast. Außerdem, kein Scanner erkennt alle Schädlinge.

Durch AntiVir *gelöscht*? :confused:

Siehe meine Bemerkung weiter oben.....

Es kann reichen, wenn Du es richtig machst, und Deine Daten/Bilder etc. mittels einer Live-CD sicherst, aber nach Deiner Beschreibung habe ich meine Zweifel.....

Wenn Du zwischen beiden Rechnern Daten ausgetauscht hast, dann hast Du möglicherweise ein Problem.

Ja, die Anleitung ist in meiner Signatur verlinkt. Achte aber bitte darauf, das Log vor dem Posten nach GUAs Anweisung zu editieren, steht ebenfalls als 1. Link in meiner Signatur.

Vielen Dank schon mal für die Antwort!

Warum nicht? Also, nicht das ich dir nicht glaube, aber das macht mir ja schon Sorgen, wenn mich Antivir fragt: "löschen" und die Dateien dann aber gar nicht wirklich gelöscht werden...


Naja, ich habs so gemacht, wie's hier beschrieben wird. SP2 war vor 1. Internetgang drauf, Zonelabs Firewall an. Allerdings musste ich Antivir über das Adminkonto installieren. Mein DSL-Router hat dieses IP-Masquerading/NAT, deswegen musste ich laut einer Anweisung keine Dienste abschalten... Ich kenn mich halt leider Null aus und folge nur nach bestem Verständnis den schriftlichen (oft nicht so leicht zu interpretierenden) Anweisungen.

Live-CD???

Natürlich hab ich Daten ausgetauscht, deswegen hat mein anderer Rechner jetzt auch dieses Problem... der hängt nämlich nicht am I-net... Fuck, ich mach mir Sorgen!!!


Ok, ich mach mal eine HJT-Logfile und poste sie dann...

Hier also mal die HJT-Logfile(s). Als ich sie aus dem Userprofil, dass ich fürs surfen nutze machen wollte, kam während des Scans folgende Meldung:

"For some reasons your system denied write access to the Hosts file. If any hijacked domains are in this file, HijackThis may NOT be able to fix this.

If that happens, you need to edit the file yourself. To do this, click Start, Run and type:

notepad c:\WINDOWS\System32\drivers\etc\hosts

and press Enter. Find the line(s) HiajckThis reports and delete them. Save the file as 'hosts.' (with quotes), and reboot.

For Vista: simply, exit HijackThis, right click on the HijackThis icon, choose 'Run as administrator'."

Ich versteh nur Bahnhof, aber hier mal die Logfile aus dem eingeschränkten Internetkonto:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:29:45, on 11.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\****\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: kavsvc - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 1945 bytes


Ich hab mich dann noch mal im Adminkonto angemeldet und die hier gemacht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:20:52, on 11.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\atievxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: kavsvc - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 2394 bytes


Hoffe ihr findet nichts...

Nein, das eingeschränkte Konto nützt nichts zur Analyse, bitte Dein *normales* Konto posten!

Es geht nicht um glauben oder nicht glauben, sondern um Fakten. Wenn der Schädling aktiv war/ist, ist nicht nur Dein System kompromittiert, sondern auch darauf laufende Programme, insbes. *Schutz-Programme. Lies:

Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun? – Microsoft TechNet: Rubrik Sicherheitsverwaltung

Homepage von Malte J. Wetz

Router ist :daumenhoc, dann ist die Win-XP-Firewall entbehrlich. (ZA i. ü. auch)

Linux-Distribution wie Ubuntu etc., hierzu komme ich später.

Bewahre bitte zunächst mal Ruhe, mit der Live-CD können Daten gesichert werden, aber zunächst müssen wir feststellen, was auf Deinem System los ist.

Poste das neue Logfile!

Die Logfile ist schon im obrigen Posting... hatte da zwei Files gepostet... die untere ist die aus dem Adminkonto... Aber ich poste sie gerne noch mal, dann musst du nicht scrollen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:20:52, on 11.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\atievxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: kavsvc - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 2394 bytes


P.S. hab jetzt verstanden warum ich meinem Virenscanner nur bedingt trauen kann.. danke. Diese Trojaner sind ja Bastarde! Mir war bis vor zwei Wochen nicht bewusst wie krass die sind!

Sorry, habe überlesen, daß Du 2 Logs gepostet hattest.

Es sieht ok aus, kann nichts Schlimmes feststellen.

Aber grade AntiVir ist ja für Fehlalarme bekannt, hast Du schon mal die beiden fraglichen Dateien zu denen zwecks Überprüfung geschickt?

Hier ist die Adresse:

Danke für deine erst mal beruhigende Antwort!

Welche Dateien meinst du? Die Trojaner, die AntiVir gefunden hat? Die hab ich ja (leider) gelöscht und sie sind zum Glück nach Neuaufsetzen bisher nicht wieder aufgetaucht. Aber ich bin sicher, dass es sich nicht um Fehlalarme gehandelt hat, da ich ja vom Arbeitsplatz aus nicht mehr auf meine Festplatten zugreifen kann...

Heißt das denn jetzt soweit (gesetz des Falls, dass HJT die Wahrheit spricht und nichts schlimmes mehr vorhanden ist), dass ich nach einem Neuaufsetzen meines anderen Systems und diesem hier wieder gefahrlos mit meinen Dateien aus den anderen Partitionen und Platten arbeiten kann?

Wie gehe ich sicher, dass meine Fotos, Texte, Videos, Soundfiles, Homepage etc. nicht auch verseucht sind, obwohl das System wieder sauber ist?

Ich erinnere noch mal daran, dass der andere PC (mein ArbeitsPC) keinen Internetzugang hat.

Schade.....

Kann nur dann mit *JA* beantwortet werden, wenn Du seinerzeit nicht vom infizierten System aus Daten gesichert hast und diese auf Dein neu installiertes System unbemerkt übertragen (kopiert) hast. Auch bei Wechseldatenträgern ist größte Vorsicht geboten. Wurden sie zum Zeitpunkt des infizierten System angeschlossen und ohne format : C unter einer Live-CD wiederum am frisch aufgesetzten System verwendet, ist eine erneute Verseuchung ebenfalls wahrscheinlich.

Indem nicht das zutrifft, was ich oben schrieb!

Spielt für das o. g. Szenario keine Rolle.

Hast Du einen 2. schnellen Internetzugang (nicht verseucht!) und einen Brenner und eine CD? (w/Erstellung Live-CD)