|
Zitat:
Ja, nun was soll ich sagen, habe mir alle zugänglichen Trojaner, wie Sub7, Net-Divel, Optix, MoSucker, Assain, usw., besorgt, habe mich wissentlich damit infiziert und alle wieder weg bekommen, zu „fuß“! und das, ohne ein neues OS aufzusetzen. LG; Charlie Nachtrag; bei Beast, war es nicht so einfach. |
Wenn auf einem System einmal ein Schädling aktiv war, der einem Angreifer die Möglichkeit zur Manipulation desselben mit Administratorrechten gegeben hat, ist es unmöglich, mit Hilfe von noch so vielen Programmen eine definitive Säuberung des Systems zu gewährleisten (zumindest nicht für den normalen Anwender). Man kann sich natürlich über die Wahrscheinlichkeit streiten, mit der eine besonders schwer zu findende Veränderung stattgefunden hat, aber, wie gesagt, für die Wiedererlangung eines 100% schädlingsfreiens Rechners gibt es für den Normaluser nur die Neuinstallation. Es kann durchaus sein, dass ich den erkannten Trojaner mit dem Virenprogramm restlos beseitige, was er aber eventuell während seiner Tätigkeit nachgeladen hat, weiss ich erstens nicht und es kann auch gezielt versteckt sein. Diese Unsicherheit bleibt bestehen, wenn ich das System weiterverwende. Was Killver betrifft, wäre ich mir jetzt auch nicht so sicher, da ich keine genauen Infos über die Möglichkeiten von "Backdoor.Win32.Blarul.d" habe. Hast du die O10 - Hijacked Internet access by New.Net Einträge denn nun wegbekommen? Wie sieht das aktuelle Log aus? |
Zitat:
Wenn du selbst genau weisst, wonach du suchst, und was du gemacht hast, kann man das doch nicht mit der Situation eines fremden PC´s vergleichen. Wie willst du denn bitteschön über ein Forum den Rechner eines Nutzers soweit testen können, um das auszuschließen, vor allem wenn du, wie gesagt, eben NICHT weisst, was auf dem Rechner ist. Experten können sicher auch Rootkits aufspüren und entfernen, das ist für die Zusammenhänge, um die es hier geht, doch aber völlig illusionär, wo viele ja schon vor einer Neuinstallation Angst haben, die aber bei einer Kompromittierung eben der einfachste Weg ist. |
Ja, recht hast du, denn Rootkits, sind eine andere „Baustelle“, denn die von der Platte zu bekommen, ist nicht einfach, aber es geht, auch ohne, dass OS neu aufzusetzen. LG Charlie |
Das ist ja leider das Problem, man weiss ja dummerweise nicht, was eventuell durch den ursprünglichen Trojaner geladen wurde. :/ Richtige Rootkits werden sicher nicht die Regel sein und natürlich sage ich nicht, dass jemand hier einen infizierten Rechner auf KEINEN FALL mit 2 Virenscannern, Adaware und HJT faktisch sauber bekommen kann, auch nach Agobot oder Sd.bot und Konsorten, aber garantieren kann man das nicht, man weiss ja in den meisten Fällen nicht mal, wie lange der backdoor überhaupt da war. Aber zu dem Thema wirds immer unterschiedliche Meinungen geben, ich will meine da auch nicht zur absoluten Wahrheit erheben. :) Ich denke halt, bei einem aktiven Backdoor mir Remotezugriffsmöglichkeiten, sollte man lieber auf Nummer sicher gehen und ausgehend von einem frischen System dann auch eventuell nötige Änderungen in Surfverhalten und Konfiguration empfehlen. Sooooo kompliziert und langwierig ist die Neuinstallation bei XP ja nun eigentlich auch nicht mehr, wenn man die wichtigen eigenen Daten vorher sichern kann und für die meisten "Patienten" hier, denke ich, auch immer noch einfacher. |
Natürlich ist ein neues OS aufsetzen immer die radikalste und sauberste Lösung, aber mein Dozent vor Jahren, sagte immer, dass mache erst wenn gar nichts mehr geht, auch bei Kunden, damit meine ich „richtige“ Kunden, nicht das ein falscher Eindruck entsteht! Technisch und zeitlich gesehen, ist das Aufsetzen eines neuen OS ja wirklich kein Problem, geht schneller als eine ordentliche Prüfung, aber nicht jeder Kunde hat wirklich alle wichtigen BA’s. Und ich selbst mache es bei mir sehr ungern, denn irgendwas habe ich immer vergessen und wenn es die Favoriten sind. Liebe Grüße, Charlie |
aktueller hijack log: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe C:\WINDOWS\Mixer.exe C:\Programme\Karna\Razer\razertra.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Winamp\winampa.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\LckFldService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE D:\download\hijackthis1982\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [razertra] C:\Programme\Karna\Razer\razertra.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\snider\LOKALE~1\Temp\mwavscan.com" /s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Edit with X&ML Spy - C:\Programme\Altova\XMLSPY2004\spy.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11 O17 - HKLM\System\CS1\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11 |
Na wie siehts aus? |
Meine Güte, hier bekommt man ja einen Augeninfarkt, brauchst du das wirklich alles? Mal saubermachen wäre wirklich angesagt, ja! Gehe noch mal mit Stinger und Ewido drüber, aber ich habe beim kurzem Überfliegen nichts aktives mehr gesehen, aber wie gesagt „Augeninfarkt“ Liebe Grüße, Charlie |
hmh ja brauch ich ;) wo krieg ich stinger und ewido progs her? |
@killver Im Log seh ich eigentlich nix mehr. Stinger würde ich hier nicht nehmen. ewido ist ein freeware Malware-Scanner. Infos und Download: www.ewido.net Hast du denn immernoch dein Problem? |
Nun Ja, hast wie immer recht, Christian, denn Stinger macht erst mal die „neuen Dinger“ weg alte halt nicht, aber ein guter „Besen“ ist es doch besser als gar keiner, kann also nichts schaden, oder? Ewido, ist besser als der Ruf, denn es wurde von den „PC-Zeitschriften- Machern“ nur oberflächlich getestet. Ewido, extra noch mal drüber zu laufen lassen, kann bestimmt nichts schaden! Florian, der da mitgewirkt hat, kennt die Trojaner! :crazy: Liebe Grüße, Charlie |
Na, ich hab nicht immer Recht ... Stinger erkennt nur sehr wenige Malware im Gegensatz zu diversen Scannern ... |
Zitat:
Liebe Grüße, Charlie |
Naja, nur die neusten auch nicht gerade. Da sind schon einige ältere dabei: http://vil.nai.com/vil/stinger/ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board