|
PC gekapert, wird als Mailversender mißbraucht, Arbeitsplan ableiten Hallo werte Community Ich bin neu hier und möchte euch um ein paar Tipps bitten. Ich bin auch nur einer von den Nasen, die ein Chaos von Halbwissen :rolleyes: haben, das ich ein bischen ordnen möchte, um daraus einen Arbeitsplan abzuleiten. Letzlicher Arbeitsplan: Meine Maschinen neu aufsetzen. Vieles habe ich dazu hier gefunden und werde es dankbar nutzen :daumenhoc Da hier Themen natürlich nicht zu allgemein werden sollen, splitte ich meine auftretenden Fragen in Teilbereiche und werde mich gewiß nochmal melden. Als erstes möchte ich meine Daten sichern und zu diesem Zweck ein paar USB-Platten anschaffen. Wenn ich dann zum kopieren komme, möchte ich natürlich verhindern, das sich Schadsoftware mit sichert. Und damit komme ich zum Punkt: Ich weiß, das einer meiner zwei Rechner gekapert wurde. Mein Provider hat mir berichtet ( die betreiben da etwas, was man wohl ein "Sinkhole" nennt ), das meine Maschine Massenmailversand betreibt. Angeblich wird dazu ein eigenes Versendertool verwendet, das unabhängig von meinem Email Account agieren soll. Ein ähnliches Thema habe ich hier bereits gefunden: http://www.trojaner-board.de/94377-m...versendet.html Ich gehe davon aus, das ich über die Phase des Trojaners hinaus bin, das sich da bei mir etwas installiert und auch getarnt hat, denn Malwarebytes hat nichts auffälliges gefunden. Welchen Weg schlage ich jetzt am Besten ein? Killen wir den Burschen, bevor ich anfange Daten zu sichern? Oder kann man anderweitig verhindern, das sich da etwas auf meine Sicherungsplatten spielt, sobald ich sie anschliesse? Ergänzend: Ich habe 2 XP Professional Lizenzen mit SP3. Beide gehen über einen Router ( WLAN deaktiviert ) ins Internet. Meinen Emailbomber habe ich sicherheitshalber abgekabelt. An dieser Stelle noch eine Laienfrage: Könnte evtl der Router selbst das Problem sein? Man hört da ja so Dinge, das Router auch gekapert werden können? Vielen Dank schon mal im voraus. Gruß keenux |
wieso gehst du davon aus, das malwarebytes eine 100 %ige erkennungsrate bietet? Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt bitte die textdateien packen, mit winrar oder zip. bei pc1 gib als dateiname pc1.rar oder zip an, bei pc2 das selbe, nur mit ner 2 :-) dann die archive hier anhängen. |
Hallo Danke für die schnelle Reaktion :) 1) Zitat: HTML-Code: wieso gehst du davon aus, das malwarebytes eine 100 %ige erkennungsrate bietet?2) Du schlägst direkt den Weg der Schädlingsbekämpfung ein? Dann los! Im Anhang findet sich ein Zip Ordner, für PC1 und PC2 je ein OTL + Extras. PC2 ist mit höchster Wahrscheinlichkeit der Bösling. Das heißt aber nicht, das Nummer 1 clean ist. 3) Die Frage zum Router bleibt also erstmal aussen vor? Gruß keenux |
ja, erst mal pcs. beide: bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix da ich auf den ersten blick nichts verdächtiges gesehen hab. wenn es dir natürlich lieber ist, können wir kurzen prozess machen, beide neu aufsetzen und nen router reset machen. dann musst du dort aber nutzerdaten neu eingeben. |
Hallo Ausgeführt. Im Anhang zwei combofix-logs für PC1 und PC2 (gezipped). Anmerkung: Das Programm hat bei PC2 einen Neustart durchgeführt, was es bei PC1 nicht getan hat. Mag möglicherweise etwas bedeuten. Kurzen Prozess nicht sofort, da ich ja erst noch Daten sichern muß ;) Gruß keenux |
na das ist schon klar :-) hmm ich sehe immernoch nichts. ComboFix-quarantined-files.txt das mal noch von beiden pcs posten. und dann mit der datensicherung anfangen. |
Hallo Meinst Du diese hier? PC1 2011-01-04 16:34:48 . 2011-01-04 16:34:48 141 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-REGSHAVE.reg.dat 2011-01-04 16:32:46 . 2011-01-04 16:32:46 5,981 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg 2011-01-04 16:28:23 . 2011-01-04 16:28:23 51 ----a-w- C:\Qoobox\Quarantine\catchme.log PC2 2011-01-04 16:09:05 . 2011-01-04 16:09:05 4,975 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg 2011-01-04 16:05:58 . 2011-01-04 16:05:58 51 ----a-w- C:\Qoobox\Quarantine\catchme.log Gruß keenux |
ja, zeigen beide nichts auffälliges. also bei beiden daten sichern und dann gebe ich dir ne anleitung für beide pcs. du solltest mal schauen, kaspersky 7 ist nicht mehr tau frisch, 2011 wäre ne überlegung wert. welche mcaffee version du nutzt konnte ich net rauslesen, aber falls upgrade nötig, sollte das ebenfalls gemacht werden, oder beide pcs auf kasperksky umstellen. |
Danke erst mal :daumenhoc , ich melde mich, sobald ich die Datensicherung habe. Kann ein bischen dauern, da ich morgen beruflich ausgelastet bin und heute bin ich fix. Ja, da sind bei mir einige Dinger veraltet. Eine Schiene bei mir ist, das ich mir eine weitere Maschine anschaffen möchte. Sobald ich die habe, werde ich mir eine Kaspersky Tripple Lizenz kaufen. Bis dahin halte ich mich mit Freeware über Wasser ;) Das sich nix findet ist interessant. Sollen wir mal die Probe aufs Exemple machen? Ich könnte ihn einfach noch mal ans Netz geben und abwarten. Sollte sich da erneut ein Versand aktivieren, müsste ich ja erneut eine abuse-mail von meinem Provider bekommen. Greets keenux |
naja, es könnten aber auch versteckte komponennten drauf sein. so ne "entrümpelungsaktion" ist ja auch nicht schlecht und wir können das system dann richtig absichern. |
Sodele Daten gesichert. Das einzige, was ich wohl mal versehentlich gekillt habe und nicht wiederfinde, ist ein Install-File für alte Video-Codecs. Aber sowas dürfte man im Netz wiederfinden können. Ich habe nochmal ein Abuse-Hinweis von meinem Provider bekommen, datiert auf den 3.1, Montag. Ich meine aber zu wissen, das mein Verdächtiger zu der Zeit abgekabelt war. Also entweder sinds beide, oder aber könnte das ein Hinweis darauf sein, das der Router verseucht ist? Entrümpeln ist immer gut. Macht die Dinger schneller :) Gruß keenux |
codeks sind misst, nutze lieber nen richtigen player. vlc zb. machst du gleich beide rechner neu? dann mache auch gleich nen router reset. du musst dir evtl. deine zugangsdaten aufschreiben. und dann im router menü ein passwort vergeben, standard pws sind blöd, die kennt halt jeder :-) nutzt du wlan? dann schau das die wpa2 verschlüsselung genutzt wird, nicht das da jemand in deinem netz rum surft. http://www.trojaner-board.de/96344-a...-rechners.html |
Wow! 1) Hört sich interessant an: Wo finde ich dieses vlc? 2) Aufsetzen: Ich würde sagen, einen nach dem anderen. Hat den Vorteil, das ich mit dem anderen Online bleiben und Fragen stellen kann ;) Es darf dann nur keine Seuche von dem noch nicht bearbeiteten Kasten auf den anderen zurückspringen. 3) Routerreset sollte selbsterklärend sein, oder? Mal sehn, was die Seite sagt: Ich schau mir das an. 4) PW geht klar. 5) WLAN ist deaktiviert, bin gekabelt. Fragen: 1) Verstehe ich das richtig: Kann ich die einzelnen Komponenten manuell herunter laden, dann zB per Stick an den zu bearbeitenden Rechner übertragen und somit alles offline installieren? So kann man den Wettlauf im Netz aussetzen, ob die neue Installation schneller ist als die erste Attacke? ;) 2) Opera kenne ich nur vom Namen her. Müsste man versuchen. 3) Avira 10 ist eine Virenschutz FreeWare? 4) Wie siehts mit einer Firewall und einem Resident aus? Ich mag zB den Teatimer vom Spybot, der schien mir bisher gut aufzupassen. Sei es drum: Ich plane ja Kaspersky und somit wäre das hier eh eine Übergangsphase. Dann schau ich mal, was ich davon abgearbeitet bekomme ;) Es werden sich bestimmt noch Fragen ergeben, aber dann melde ich mich :) Danke! Gruß keenux |
Hallo Zu dem folgenden Bereich habe ich eine Frage: Zitat:
Gruß keenux |
Hiho Nunmehr bin ich bei XP an einer Spaßbremse angekommen: Ich wollte den neu aufgesetzen Kasten nun ins Internet bringen, um die automatischen Updates zu ziehen. Dummerweise lässt sich keine Verbindung herstellen. Ich bin im Gerätemanager und dort habe ich festgestellt, das es keine aktive Ethernet-Controller Verbindung gibt. Das Gerät ist installiert und aktiv, allerdings offenbar ohne Treiber. Wie kriege ich da jetzt die Treiber rein? Gruß keenux |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board