|
Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Hallo, Ich mache gerade ein Praktikum in Russland und arbeite an den Rechnern meiner Gastfamilie (falls ihr euch wundert, dass einige Ausgaben in kyrillisch sind). Bevor ich jedoch diesen PC ordentlich bedienen konnte (und wollte) musste ich erst einige Dinge fixen: Es waren weder eine aktuelle Windows-Version noch ein aktuelles Antiviren-Programm auf dem Rechner installiert (der Norton-AV war vom 4. April!), sodass ein Schadbefall groesseren Ausmasses vorprogrammiert war. Ich bin nun folgendermassen vorgegangen: 1) Download des aktuellen Avira Antivir und Malwarebytes’ Anti-Malware 2) Internetverbindung getrennt 3) Mbam drueberlaufen lassen (Kurz- und Langfassung) -> 84 Schaedlinge entdeckt und nach Neustart entfernt (Logs poste ich hier jetzt mal nicht, da es sonst zuviel wird, aber ich kann sie auf Anfrage gerne posten) 4) Norton deinstalliert (ueber Systemsteuerung -> nicht restlos entfernt, da noch Eset-Ordner und –Dateien vorhanden, aber der On-Access-Guard ist weg, sodass ich Avira installieren konnte) 5) Avira installiert -> nach Gesamtcheck 278 Schadprogramme gefunden (Trojaner, Viren, Wuermer, Spyware, Adware, die ganze Palette), und diese in Quarantaene verschoben und spaeter entfernt. Log ist leider zu lang zum posten, bei Bedarf teile ich ihn in kleine Haechen auf und poste ihn Danach habe ich das Internet wieder angeschlossen, Mbam und Avira geupdatet und im abgesicherten Modus drueberlaufen lassen, keine Funde mehr J ; Log hier: Code: |
Teil 2 - Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? So weit, so gut. Aber dann, 5 Tage spaeter, meldet Avira wieder einige Funde, und nach einem weiteren Suchlauf meldet es wieder 85 Schaedlinge, welche sich alle in den „System Volume Information“ Ordnern der Laufwerke befinden (die gleichenSchaedlinge, die ich 5 Tage vorher schon in Quarantaene geschoben habe). Log hier: Code: |
Teil 3 - Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Hier der 2. Teil des Avira Logfiles (die Beschraenkung auf 25000 Zeichen zwingt mich leider zu dieser umstaendlichen Posting-Methode, ich hoffe, das ist ok): Code: Beginning disinfection: |
Teil 4 - Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Deshalb habe ich alle Schritte fuer’s posten (Ccleaner, Mbam meldet keine Funde und RSIT) erfuellt und hoffe nun auf eure Hilfe, da ich mit meinem „Rechner-von-Schadrogrammen-befreien“-Latein am Ende bin und mich mit HiJack This - Reporten nicht wirklich gut auskenne (m.E. sind einige merkwuerdige Prozesse im Log- bzw. Infofile, aber sicher bin ich mir nicht). Vielen Dank fuer eure Hilfe im Voraus! Wenn ihr noch irgendetwas braucht, dann meldet euch! Infofile RSIT/HiJack This: Code: info.txt logfile of random's system information tool 1.06 2009-09-01 15:14:27 |
letzter Teil - Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Logfile RSIT/HiJack This: Code: Logfile of random's system information tool 1.06 (written by random/random) |
Privet, hallo und guten Tag - Ich würde laut der Funde den PC neuaufsetzen, da ist auch noch viel mehr als nur das was Avira fand. Avira fand auch ne Menge an Malware, das System war Monate oder gar Jahre nicht richtig gepatcht. Dort sind einige Passwordstealer, einiges an Bots drauf und auch noch sehr wahrscheinlich ein Rootkit oder mehrere. Also ich würde das System plätten. Wie willst Du es handhaben (bzw. deine Gastfamilie)? Nach dem Neuaufsetzen würde ich sofort alle Pass- und Kennwörter abändern / abändern lassen, da Passwordstealer (Passwortstehler). |
Plattmachen... Oh, danke fuer die schnelle Antwort!! Hm, das Neuaufsetzen waere auch meine erste Wahl, allerdings sind die Leute hier nicht so begeistert davon... Das System war wie gesagt gut 4 Monate lang ohne aktuellen Virenschutz, geschweige denn Windows-Updates unterwegs (und natuerlich mit IE gesurft) :pfui: Es ist halt bloed, da ich hier auch meine Dokumente, Praesentationen und Tabellen draufhabe, fuer die Arbeit, die ich hier zu erledigen habe, und mich zur Datensicherung auch in Email einloggen muss bzw. meinen USB-Stick anschliessen muss. Und dieser PC ist der einzige Internetzugang und Arbeitsplatz, den ich im Moment habe. :headbang: Was mich ausserdem wundert, ist, dass das System sehr stabil und ressourcenschonend laueft (zumindest laut Taskmanager, der evtl. aber auch kompromittiert ist) und auch keine Fehlermeldungen etc. anzeigt. :confused: Meinst du, dass sich die ganzen Schaedlinge so tief ins System eingenistet haben, dass man auf der normalen Oberflaeche und auch im Safeboot nichts mehr davon mitbekommt? Wie sieht's aus mit speziellen Rootkit-Tools (Blacklight, Avenger, etc.), sollte ich die mal drueberlaufen lassen? Oder ComboFix? Und welche Eintraege findest du besonders auffaellig bzw. besorgniserregend? (vielleicht lerne ich dann irgendwann auch mal, HiJack This Files richtig zu interpretieren). ;-) Ich finde z.B. die beiden Prozesse smlogsvc.exe und mnmsrvc.exe merkwuerdig, da ich den Remote-Service von Windows abgeschaltet habe, und diese Prozesse m.E. hier nichts zu suchen haben. Nochmals vielen Dank fuer deine schnelle Antwort und fuer evtl. weitere Info! |
Zitat:
Naja, das ist deren Entscheidung, wenn sie ihr PC nicht neuaufsetzen wollen, wieso wollen sie ihr PC nicht neuaufsetzen, Gründe? Ich meine begeistert ist keiner von der Nachricht, aber wieso sind sie nicht begeistert? Die können Problemlos ihr Daten sichern wie Bilder, Lieder & Dokumente. Immens besorgniserregend finde ich die beiden Treiber/Dienste: S3 ojcbx;ojcbx; \??\C:\WINDOWS\system32\01.tmp [] S3 iztwg;iztwg; \??\C:\WINDOWS\system32\03.tmp [] google sagt zu beiden nichts. Sind unbekannt somit wohl schädlich. Ich finde zwar die Anzahl der Malware besorgniserregend, aber WAS gefunden wurde ist weitaus besorgniserregender. Zitat:
Zudem ist noch Adobe Reader 7.0 nicht gepatcht, aktuell is 9.1 Und die Google Toolbar for Internet Explorer ist nicht zu übersehen ;) Also meine Tendenz liegt immer noch beim neuaufsetzen. :) Poka :) |
komplizierte Angelegenheit Jaja, meine Gastgeberin hat ihren Rechner selbst als "Zoo fuer Viren" bezeichnet. Als ich ihr von den ueber 400 Tierchen erzaehlte (84 in Mbam + 278 in Avira + 85 beim 2. Suchlauf in Avira) und meinte, dass sie einen neuen Rekord aufgestellt hat (zumindest fuer alle bisher von mir bearbeiteten Rechner) entgegnete sie, dass es das letzte mal mehr als 720 (!!!) waren :eek: Diese beiden .tmp Dateien, die du genannt hast, sind mir erst gar nicht aufgefallen, aber mit Sicherheit was Boesartiges (wahrscheinlich nur die Spitze des Eisberges). Naja, hier zum Problem mit dem Neuaufsetzen: sie finden nicht alle CDs wieder, um die Programme (z.B. Nokia Handy, Office) und um Windows neu zu installieren :twak: Morgen werde ich erst mal eine externe Platte kaufen, sodass ich zumindest die Dateien sichern kann (die ueblichen Multimedien). Dann wuerde ich gerne versuchen, das Ding noch irgendwie zu retten, und sei es mit den radikalsten und verwegensten Mitteln (der Rettungsversuch an sich ist schon verwegen). Dann natuerlich die von dir genannten Programme fixen (Google Toolbar und Adobe Reader) und Windows updaten (Problem: Windows Genuine Advantage will normalerweise eine Registrierungsnummer, und die ist soweit ich weiss auf der Verpackung der Windows-CD, die nicht mehr auffindbar ist...) Ich weiss, dass ich hier zuwider des gesunden Menschenverstandes handele, aber ich wuerde wirklich gerne alles versuchen, um den PC wieder auf den richtigen Weg zu bringen ohne Neuinstallation (nach dem Motto "Trial and Error"). Wenn das nicht funktionieren sollte, kann ich als letztes Mittel immer noch neu installieren, wenn ich auch noch nicht genau weiss, wie das hier gehen soll. Ja, das ist so der aktuelle Stand. Ich danke dir nochmals fuer deinen guten Ratschlag, das System neu aufzusetzen, auch wenn ich ihn vorerst nicht befolgen werde. Koenntest du mir trotzdem vielleicht ein paar Hinweise liefern, welche Programme (Avenger, Blacklight, Combofix) ich am besten zur Reinigung einsetzen soll? Und was mir auch noch Kopfzerbrechen bereitet ist die gute Performanz und geringe Auslastung des total verseuchten Computers. Hast du da vielleicht eine Erklaerung? Spacibo, Sonja |
Hat der PC keine Recovery Console oder ähnliches? Vllt. hat sie ein Backup/Image? Ich kann dir nur anraten erstmal alle Daten zu sichern und dann versuchen den PC irgendwie platt zu machen. Da ist man froh, wenn man ein Image hat, dass man einfach zurückspielen müsste :) Avenger und Combofix sind beides sehr mächtige Tools, damit muss man vorsichtig umgehen. Poste dochmal das Malwarebytes Log, mich würde zudem noch interessieren, was MBAM fand. Zitat:
Aber ich denke da Avira + MBAM inner super Team arbeit bisher viel erledigten und fanden dürfte der Größte Mist weg sein. Lass doch nochmal Superantispyware laufen und deaktiviere die Systemwiederherstellung. Zitat:
|
Mbam-Logs - Teil 1 Privjet, hier sind alle Mbam-Logs (nur die infizierten natuerlich): Code: Malwarebytes' Anti-Malware 1.40Code: Malwarebytes' Anti-Malware 1.40 |
Das schockt mich um ehrlich zu sein sehr, wie deine Gastfamilie da noch so "locker & lässig" sein kann, die Funde sind schon ziemlich interessant und krass. Entferne alles gefundene von MBAM, danach geht es hier entlang zu Gmer, lasse Gmer durchlaufen, wie in der Anleitung beschrieben. Gmer Anleitung: http://www.trojaner-board.de/74908-a...t-scanner.html |
Mbam-Logs - Teil 2 Code: Malwarebytes' Anti-Malware 1.40Ich habe Mbam und Avira beide im SafeBoot ausgefuehrt, bis keines mehr Schadprogramme gefunden hat (im full scan natuerlich). Deinen Rat mit SuperAntiSyware und Gmer werde ich morgen umsetzen, da es hier schon fast 1 Uhr nacht ist und ich doch etwas muede bin (obwohl ich sehr gerne an diesem Rechner weiter rumwerkeln wuerde). Ein Image gibt es (ich bin versucht zu sagen: natuerlich) nicht, und die Systemwiederherstellung kann man vergessen, da diese ja genauso verseucht ist (habe gerade heute den neuen Wiederherstellungspunkt gesetzt, aber war offensichtlich eine relativ sinnlose Aktion). Das waere ja auch zu schoen gewesen. Ja, und diese von dir angesprochene Lockerheit war im Satz "der Rechner ist alt und ein bisschen langsam" enthalten, mit der mir der PC vorgestellt wurde, oder auch in "ach ja, ab und zu gehen ein paar komische Fenster auf".... Mir als Sicherheits-Freak stehen da alle Haare zu Berge!! Ich fuehle mich bei der Benutzung eines "unauffaelligen" Windows-Systems schon unwohl genug... Ich werde mich dann morgen mit neuen Logfiles und einem gesicherten System melden, sodass wir dann weitersehen koennen. Bis dahin erst mal viel Spass mit den Mbam-Logfiles! (wenn du noch mehr willst: ich kann auch gerne das Avira-File mit den 278 Schaedlingen posten ;-) Und wenn dir noch was einfaellt: immer her damit. Spacibo i spokoinoi notsch! Sonja P.S. Linux 4ever!! (for reasons please see above) :daumenhoc |
SuperSpyware-Log Guten Morgen, hier wie erwuenscht der Log von SuperSpyware (nach Anleitung konfiguriert): Code: SUPERAntiSpyware Scan LogInzwischen habe ich auch die Google Toolbar und den Adobe Reader entfernt (ersetzt durch Foxit Reader ohne Toolbars). Was mir noch aufgefallen ist: ich kann im Arbeitsplatz die Festplatte D nicht oeffnen - ich bekomme immer die Meldung, dass es nicht geoeffnet werden kann und ich mir aus der Liste ein Programm aussuchen soll, das ich dann zum oeffnen benutzen kann. Daraus werde ich nicht schlau, da ich das sonst nur von Dateien kenne. Ich kann allerdings auf Dateien von D zugreifen und Ordner ansteuern, halt nur nicht direkt vom Arbeitsplatz aus. Auch im Infolog von RSIT meldet er einen Fehler im Laufwerk D ("Ungültige Block auf dem Gerät" in der Google-Uebersetzung ;-) Irgendwelche Ideen dazu? Ich werde mich dann wieder melden, sobald ich die Daten gesichert und Gmer drueberlaufen gelassen habe. Bin mal gespannt, ob der zur Abwechslung mal was findet... :rolleyes: Bis dann! Sonja |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board