|
Vermutung auf Trojaner und Wurm Ein freundliches Hallo miteinander. Nachträglich noch ein frohes Fest. Wobei ich da gleich zum Thema komme: Mein Bekannter ist eher etwas "unbedarft" was PCs angeht und surft seit 2003 ohne Virenscanner. Gestern ging das Gerät aus und heute sprang er dann gar nicht mehr wirklich an (Laptop). Vorher hatte er von 1&1 eine Email bekommen, die einen Virus auf seinem Rechner vermeldete, der "die Mailserver kontaktierte". Nach einigem Hin und Her, einlegen der Windows-CD und Neustart kam er dann wieder auf die Windows-Oberfläche. Da sein latein schon lange nicht mehr ausreicht kontaktierte er mich und so habe ich mich mit Tante Google auseinanderesetzt. Das erste was wir taten als der Rechner wieder ansprang war ein Online-Scan durch bitdefender.com. Dort wurde eine Datei lediglich gemeldet und zwar Parents Friends. Nach seinen Aussagen hat er niemas von dem Programm gehört. Nach Befragen von Google kam heraus das das Kürzel BSI für das Bundesam für sicheres Internet steht und Parents Friends ein Programm ist, welches einen internen Keylogger hat. Da er es nicht installiert hat besteht die Vermutung eines Trojaners. Die angegebene Tastenkombi zum Aufrufen der Konsole blieb ereignislos und auch die Deinstallations-Routine winadmkill/uninst konnte nicht ausgeführt werden, da die Datei nicht auf dem Rechner vorhanden ist. Da er gestern bei Amazon etwas bestellen wollte, aber weder eine Bestätigung bekommen hat noch im Bestellverlauf etwas zu sehen ist bekam er heute Panik und hat den Rechner aus dem Internet genommen, nachdem wir erst mal Antivir installiert haben. Betreffende Passwörter habe ich für ihn geändert von meinem Rechner aus. Ein HiJackthis-Log liegt noch nicht vor, da er gar nicht weiss wie er es erstellen soll. Als ich dann wissen wollte ob die Datei wenigstens im Taskmanager unter Prozesse aufgeführt wird erklärte sich dann auch die Speicherauslastung von 100%: scvchost.exe ist 9 Mal vorhanden und einmal davon eine Auslastung von 99%... Er brach den Prozess ab und sofort kam NT-Autorität\System und der Rechner gab ihm 1 Minute zum sichern der Dateien. Das hatte er wohl heute morgen schon einmal, jedoch hatte er da einfach nur Fotos betrachtet. Ich weiss, das klingt alles sehr verwirrend, aber ich weiss nicht wie ich es sonst erklären soll (schließlich hatte ich bisher nicht die Möglichkeit direkt vor dem Gerät zu sitzen).. Ich befürchte eine Einschmugglung via Trojaner - nur leider konnte ich keinen Lösungsansatz finden die Datei zu löschen. Seine Angst ins Internet zu gehen kann ich nachvollziehen und deshalb frage ich nun stellvertretend für ihn, was wir nun noch tun können? Wie wird man dieses Programm wieder los? Woher kommt die Konsole des BSI (die man öffnen kann via Start.exe)? Und warum gibt es das NT-autoritäts-Problem? Ich würde ihm gern helfen bevor er zum ortsansässigen PC-Typen geht, der meiner Meinung nach nicht mehr Ahnung hat wie ich...(und vor allem älteren Damen einen PC für 800 Euro zusammenbaut und ein gecracktes Windows XP installiert)... Ist eine Ferndiagnose überhaupt möglich ohne Hijackthis oder andere Programme? (Ich vermute Nein). Für jeden gutgemeinten Rat oder jede Info wären wir sehr verbunden! Lieben Gruß, Rheanna |
Hallo und Herzlich Willkommen! :) 1. Zitat:
2. Zitat:
Auf die genaue Dateiname und Reihenfolge von Buchstaben achten! 3. Zitat:
Zusammenfassend seien folgende Maßnahmen empfohlen: Tipss & Hilfe: SETI@home-Sicherheit / Sicherheitskonzept Anleitung: Neuaufsetzen des Systems + Absicherung Was muss ich bei einer Neuinstallation beachten?/computerleben.net Windows XP neu installieren/computerleben.net Windows Vista neu installieren/computerleben.net Datensicherung: - NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können. - Bevor er/sie mit dem PC direkt ins Netz geht: Passworte und Zugangsdaten ändern! - von einem sauberen System aus Also alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (am besten von einem anderen, nicht-infizierten Rechner aus!) - Vor zurückspielen: Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung gruß Cf |
Hi Coverflow :) Vielen Dank für deine Antwort :) Das "Nein" war mir ja schon irgendwie klar, aber ich hoffe, ich bekomme ein wenig Unterstützung ;) Ich kenn mich auch zu wenig aus damit, aber zumindest mehr als er. Übrigens: Ein Suchlauf mit Antivir erbrachte zwar Warnungen ohne Ende - aber die ParentsFriends-Datei da, die wurde nicht gemeldet - obwohl auf der Website von dem Programmierer oft dieser Fehler (ist es ja nur indirekt) gemeldet wurde. Damit ich das Pferd nicht von hinten aufzäumen muss hier meine Fragen, die ich nun nach deiner Antwort habe :) Zu 2. Er nutzt XP (ich nutze Vista) - wie finde ich da heraus welcher svchost nun wo liegt? Anklicken per rechte Maustaste bringt ja nur die Abbruchmöglichkeiten und eine Erklärung gibt es ja bei XP nicht. Bei Vista wird einem ja wenigstens bei den meisten Sachen noch eine Beschreibung dahinter geliefert. Den betreffenden Text den du einfügtest hatte ich bereits ergooglet, ebenso wie zu anderen Dingen die mir nichts sagten (spoolsv und so weiter) um zu schauen wo das Programm noch läuft. Zu 3. Davor schreckt er zurück und ich denke das sollte die letzte Lösung sein, oder? Das Sichern der Dateien wird jetzt über das Wochenende sowieso unmöglich, da er nicht ausreichend Festplattenmaterial hat :) Saturn und Mediamarkt haben ja heute zu :) Zu 4. Danke für das Zusammentragen der Informationen - sollte ein Neuaufsetzen nötig sein werde ich nach diesen Anweisungen selbst bei ihm vor Ort das Neuaufsetzen ion die Hand nehmen :) Können hier Hijackthis-Logs oder andere Logs sinnvoll sein? Wenn ja bitte kurze Nennung welche Logs und ich versuche ihm das zu erklären. Im übrigen ist ihm heute aufgefallen, das betreffende svchost nur auf 99 % Auslastung springt sobald eine Verbindung mit dem Internet aufgebaut wird. Wie gesagt ein Prozess beenden führt zu Systemabschaltung. Google verwies mich auf einen Wurm (recht neu angeblich). Masseninfektion. Die Befürchtung, das nun die Kontonummer im Umlauf ist liegt nahe - bei Amazon kann man die ja auslesen und dann bei anderen Anbietern eintragen. Seitdem der Name nicht mehr abgeglichen wird hat man selbst ja später damit den Ärger. Mein Rat war mit der Bank Kontakt aufzunehmen und zu schauen, ob die vorab Meldung machen können bevor so eine Lastschrift durchgeführt wird. Ob die Bank sich drauf einlässt ist allerdings eher fragwürdig. Bevor ich ins Schwafeln gerate: Vielen Dank schon einmal für deine Zeit! Für weitere Hilfestellungen hab ich immer ein offenes Ohr! LG, Rheanna |
hi - da "Svchost.exe" eine wichtige Systemdatei ist, die löschung, Beschädigung, oder der Beendigung des Prozesses führt letztlich dazu, dass der Rechner zu streiken beginnt;) - wenn dir etwas komisch vorkommt, ein Dateiname oder sonstiges, mache darauf ein Rechtsklick mit der Maus und schon kannst Du die Herkunft unter "Eigenschaften" auslesen (Beschreibung usw) arbeite bitte die Punkte ab, dann sehen wir weiter (obwohl eine Neuinstallation von Windows XP dauert wesentlich kürzer "geht schneller" als ...normalerweise müsse das System auf solche Weise etwa alle 2 max. 3 Jahre gereinigt werden!) : - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. lade Dir HijackThis 2.0.2 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
Coverflow |
Hi Coverflow, ich habe meinem Nekannten zu einem Neuaufsetzen geraten. Ein weiterer Suchlauf von Hijackthis und einigen Virenscannern brachte 2 weitere Viren und ich erklärte ihm, das es verschwendete Zeit wäre darauf viel Zeit zu verwenden. Aber ich danke dir für deinen Rat. Und vor allem deine Zeit. Nach einigen holperigen Diskussionen ist sein Laptop nun zumindest sicherer als er je war :crazy: Allen einen guten Rutsch :) LG,. Ela |
hi danke für die Rückmeldung:) Folgendes bitte ihn weiter leiten: Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus Lesestoff:
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board