|
PC gekapert, wird als Mailversender mißbraucht, Arbeitsplan ableiten Hallo werte Community Ich bin neu hier und möchte euch um ein paar Tipps bitten. Ich bin auch nur einer von den Nasen, die ein Chaos von Halbwissen :rolleyes: haben, das ich ein bischen ordnen möchte, um daraus einen Arbeitsplan abzuleiten. Letzlicher Arbeitsplan: Meine Maschinen neu aufsetzen. Vieles habe ich dazu hier gefunden und werde es dankbar nutzen :daumenhoc Da hier Themen natürlich nicht zu allgemein werden sollen, splitte ich meine auftretenden Fragen in Teilbereiche und werde mich gewiß nochmal melden. Als erstes möchte ich meine Daten sichern und zu diesem Zweck ein paar USB-Platten anschaffen. Wenn ich dann zum kopieren komme, möchte ich natürlich verhindern, das sich Schadsoftware mit sichert. Und damit komme ich zum Punkt: Ich weiß, das einer meiner zwei Rechner gekapert wurde. Mein Provider hat mir berichtet ( die betreiben da etwas, was man wohl ein "Sinkhole" nennt ), das meine Maschine Massenmailversand betreibt. Angeblich wird dazu ein eigenes Versendertool verwendet, das unabhängig von meinem Email Account agieren soll. Ein ähnliches Thema habe ich hier bereits gefunden: http://www.trojaner-board.de/94377-m...versendet.html Ich gehe davon aus, das ich über die Phase des Trojaners hinaus bin, das sich da bei mir etwas installiert und auch getarnt hat, denn Malwarebytes hat nichts auffälliges gefunden. Welchen Weg schlage ich jetzt am Besten ein? Killen wir den Burschen, bevor ich anfange Daten zu sichern? Oder kann man anderweitig verhindern, das sich da etwas auf meine Sicherungsplatten spielt, sobald ich sie anschliesse? Ergänzend: Ich habe 2 XP Professional Lizenzen mit SP3. Beide gehen über einen Router ( WLAN deaktiviert ) ins Internet. Meinen Emailbomber habe ich sicherheitshalber abgekabelt. An dieser Stelle noch eine Laienfrage: Könnte evtl der Router selbst das Problem sein? Man hört da ja so Dinge, das Router auch gekapert werden können? Vielen Dank schon mal im voraus. Gruß keenux |
wieso gehst du davon aus, das malwarebytes eine 100 %ige erkennungsrate bietet? Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt bitte die textdateien packen, mit winrar oder zip. bei pc1 gib als dateiname pc1.rar oder zip an, bei pc2 das selbe, nur mit ner 2 :-) dann die archive hier anhängen. |
Hallo Danke für die schnelle Reaktion :) 1) Zitat: HTML-Code: wieso gehst du davon aus, das malwarebytes eine 100 %ige erkennungsrate bietet?2) Du schlägst direkt den Weg der Schädlingsbekämpfung ein? Dann los! Im Anhang findet sich ein Zip Ordner, für PC1 und PC2 je ein OTL + Extras. PC2 ist mit höchster Wahrscheinlichkeit der Bösling. Das heißt aber nicht, das Nummer 1 clean ist. 3) Die Frage zum Router bleibt also erstmal aussen vor? Gruß keenux |
ja, erst mal pcs. beide: bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix da ich auf den ersten blick nichts verdächtiges gesehen hab. wenn es dir natürlich lieber ist, können wir kurzen prozess machen, beide neu aufsetzen und nen router reset machen. dann musst du dort aber nutzerdaten neu eingeben. |
Hallo Ausgeführt. Im Anhang zwei combofix-logs für PC1 und PC2 (gezipped). Anmerkung: Das Programm hat bei PC2 einen Neustart durchgeführt, was es bei PC1 nicht getan hat. Mag möglicherweise etwas bedeuten. Kurzen Prozess nicht sofort, da ich ja erst noch Daten sichern muß ;) Gruß keenux |
na das ist schon klar :-) hmm ich sehe immernoch nichts. ComboFix-quarantined-files.txt das mal noch von beiden pcs posten. und dann mit der datensicherung anfangen. |
Hallo Meinst Du diese hier? PC1 2011-01-04 16:34:48 . 2011-01-04 16:34:48 141 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-REGSHAVE.reg.dat 2011-01-04 16:32:46 . 2011-01-04 16:32:46 5,981 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg 2011-01-04 16:28:23 . 2011-01-04 16:28:23 51 ----a-w- C:\Qoobox\Quarantine\catchme.log PC2 2011-01-04 16:09:05 . 2011-01-04 16:09:05 4,975 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg 2011-01-04 16:05:58 . 2011-01-04 16:05:58 51 ----a-w- C:\Qoobox\Quarantine\catchme.log Gruß keenux |
ja, zeigen beide nichts auffälliges. also bei beiden daten sichern und dann gebe ich dir ne anleitung für beide pcs. du solltest mal schauen, kaspersky 7 ist nicht mehr tau frisch, 2011 wäre ne überlegung wert. welche mcaffee version du nutzt konnte ich net rauslesen, aber falls upgrade nötig, sollte das ebenfalls gemacht werden, oder beide pcs auf kasperksky umstellen. |
Danke erst mal :daumenhoc , ich melde mich, sobald ich die Datensicherung habe. Kann ein bischen dauern, da ich morgen beruflich ausgelastet bin und heute bin ich fix. Ja, da sind bei mir einige Dinger veraltet. Eine Schiene bei mir ist, das ich mir eine weitere Maschine anschaffen möchte. Sobald ich die habe, werde ich mir eine Kaspersky Tripple Lizenz kaufen. Bis dahin halte ich mich mit Freeware über Wasser ;) Das sich nix findet ist interessant. Sollen wir mal die Probe aufs Exemple machen? Ich könnte ihn einfach noch mal ans Netz geben und abwarten. Sollte sich da erneut ein Versand aktivieren, müsste ich ja erneut eine abuse-mail von meinem Provider bekommen. Greets keenux |
naja, es könnten aber auch versteckte komponennten drauf sein. so ne "entrümpelungsaktion" ist ja auch nicht schlecht und wir können das system dann richtig absichern. |
Sodele Daten gesichert. Das einzige, was ich wohl mal versehentlich gekillt habe und nicht wiederfinde, ist ein Install-File für alte Video-Codecs. Aber sowas dürfte man im Netz wiederfinden können. Ich habe nochmal ein Abuse-Hinweis von meinem Provider bekommen, datiert auf den 3.1, Montag. Ich meine aber zu wissen, das mein Verdächtiger zu der Zeit abgekabelt war. Also entweder sinds beide, oder aber könnte das ein Hinweis darauf sein, das der Router verseucht ist? Entrümpeln ist immer gut. Macht die Dinger schneller :) Gruß keenux |
codeks sind misst, nutze lieber nen richtigen player. vlc zb. machst du gleich beide rechner neu? dann mache auch gleich nen router reset. du musst dir evtl. deine zugangsdaten aufschreiben. und dann im router menü ein passwort vergeben, standard pws sind blöd, die kennt halt jeder :-) nutzt du wlan? dann schau das die wpa2 verschlüsselung genutzt wird, nicht das da jemand in deinem netz rum surft. http://www.trojaner-board.de/96344-a...-rechners.html |
Wow! 1) Hört sich interessant an: Wo finde ich dieses vlc? 2) Aufsetzen: Ich würde sagen, einen nach dem anderen. Hat den Vorteil, das ich mit dem anderen Online bleiben und Fragen stellen kann ;) Es darf dann nur keine Seuche von dem noch nicht bearbeiteten Kasten auf den anderen zurückspringen. 3) Routerreset sollte selbsterklärend sein, oder? Mal sehn, was die Seite sagt: Ich schau mir das an. 4) PW geht klar. 5) WLAN ist deaktiviert, bin gekabelt. Fragen: 1) Verstehe ich das richtig: Kann ich die einzelnen Komponenten manuell herunter laden, dann zB per Stick an den zu bearbeitenden Rechner übertragen und somit alles offline installieren? So kann man den Wettlauf im Netz aussetzen, ob die neue Installation schneller ist als die erste Attacke? ;) 2) Opera kenne ich nur vom Namen her. Müsste man versuchen. 3) Avira 10 ist eine Virenschutz FreeWare? 4) Wie siehts mit einer Firewall und einem Resident aus? Ich mag zB den Teatimer vom Spybot, der schien mir bisher gut aufzupassen. Sei es drum: Ich plane ja Kaspersky und somit wäre das hier eh eine Übergangsphase. Dann schau ich mal, was ich davon abgearbeitet bekomme ;) Es werden sich bestimmt noch Fragen ergeben, aber dann melde ich mich :) Danke! Gruß keenux |
Hallo Zu dem folgenden Bereich habe ich eine Frage: Zitat:
Gruß keenux |
Hiho Nunmehr bin ich bei XP an einer Spaßbremse angekommen: Ich wollte den neu aufgesetzen Kasten nun ins Internet bringen, um die automatischen Updates zu ziehen. Dummerweise lässt sich keine Verbindung herstellen. Ich bin im Gerätemanager und dort habe ich festgestellt, das es keine aktive Ethernet-Controller Verbindung gibt. Das Gerät ist installiert und aktiv, allerdings offenbar ohne Treiber. Wie kriege ich da jetzt die Treiber rein? Gruß keenux |
Hölle nochmal :stirn: Ich meine, daß ich meinen Aufsetzer soweit habe, das er rappelt, aber da wären nochmal einige Punkte zu überdenken. Ein paar Aspekte sind auch nicht ganz sauber.... Ich habe mir mal eine Liste von Fragen gemacht, die wir dann ggfs abarbeiten können. Allesdings erst Montag. Denn jezzzzzz geh ich erst mal schlafen und ab morgen ist Wochenende :zunge: Greets keenux |
ja stelle die fragen montag mal, dann beantworte ich auch alles weitere von oben :-) hast du ne cd mit treibern drauf? dann mal die instalieren. wenn du in nem netzwerk bist, nimm mal methode 2. man kann das ja auch rückgängig machen. |
Hallo Jetzt kann ich mich wieder ein bischen um die Angelegenheit kümmern... Es haben sich einige Fragen auf getan. 1) Ich bin mir nicht sicher, ob dieses Teil hxxp://ntsvcfg.de/svc2kxp.zip bei mir Sinn macht. Es weist zB darauf hin, das Protokolle, wie zB Netbios, deaktiviert werden sollten. Aber zB so ein IPX Protokoll würde ich gerne noch nutzen. Ältere LAN-Games brauchen noch so etwas. Kann man dieses Umfeld etwas klarer darstellen, damit ersichtlich wird, was ich da jetzt abstellen sollte /kann und was nicht? 2) Deaktivierung von autorun. Klingt vernünftig, aber wie kann ich die Disks dann noch lesen? Werden die dann noch normal erkannt? 3) Panda: Auch wieder einer von den Vereinen, die gleich wissen möchten, wer man ist. Also ich muss mich nicht jedem offenbaren. Wenn die auf eine Registrierung bestehen, auch wenn es Freeware ist, ist das für mich nicht akzeptabel. Gibts da Alternativen? Oder es muss eben ohne gehen? 4) Dann habe ich noch so ein paar unerwünschte Effekte. Nachdem ich FileHippo und Secunia installiert habe, haben die beiden auch ordentlich für Updates gesorgt. Aber die scheinen irgendwie alles einzufordern, auch Dinge, die ich nicht haben will. 4a) So poppt Zb mit jedem Boot das ach so tolle Windoof Live Manager auf. Dinge, die die Welt nicht braucht. Dat würde ich ja gerne wieder los werden. 4b) Auch werde ich aufgefordert, eine Browserwahl zu treffen. Nun, Opera ist installiert, also was soll das ;) 4c) Eine Sache aber ist interessant. Als ich versucht habe, meine Grafiktreiber zu installieren, Installation CD Nvidia GeForce, wollte die Treiberinstallation nicht klappen. Als ich Install Drivers anforderte, poppte eine Errormessage auf, das eine bestimmte Serie von Treibern nicht unterstützt würde, sondern nur andere. Interessanterweise tauchte aber in beiden Listen unter anderem der 9800 GT-Treiber auf. Will heißen: Wir unterstützen 9800 GT nicht, aber wir unterstützen 9800 GT :confused: Was immer das heißen mag. Eine Installation nach CD ging nicht. Später habe ich allerdings eine manuelle Installation hinbekommen. Ich fand eine Driver.Inf Datei und konnte so unterm Gerätemanager die Liste angebotener Treiber erweitern. Ich fand dort auch 9800 GT. Ich habe den einfach mal genommen, und es scheint zu klappen. Dennoch: Habe ich wirklich den richtigen Treiber drin? Habe ich was verwechselt? Ich habe in meinen beiden Rechnern eine GeForce drin, aber müssen jetzt nicht dieselbe Serie sein, nicht das ich die falsche Install CD erwischt hätte? Aber ich hab auch keine Andere... FileHippo versucht ständig, das Update der GeForce Installation von Nvidia zu ziehen, nur diese Installation klappt auch nicht, gibt stets ein Error. Somit bekomme ich den PC nicht auf einen aktuellen Stand. 5) Da wären noch Netzwerkfragen, aber die können wir später aufnehmen, wenn beide Kisten reinstalliert sind. Vor allem: Gegenseitige Sichtbarkeit im Netz. Alles in allem bin ich halb zufrieden. Ich würde gerne die Grafik Installation Nvidia richtig hinkriegen. Ich werde jetzt erst mal schauen, ob ich doch noch wo eine Install Disc versteckt habe... So weit erst mal Gruß keenux |
1. kannst du doch über start ausführen services.msc nachträglich dienste wieder einschalten falls benötigt. 2. disks werden erkannt, musst dann halt evtl. doppelklicken und dann gehts los. 3. gib falsche daten an. 4.1 systemsteuerung, software und deinstalieren. 4b start ausführen msconfig dort unter systemstart die browserwahl suchen und haken raus. 4c müsste man doch eigendlich sehen welche grafikkarte du hast, im geräte manager. und dann vllt direkt mal bei nvidia nach treibern suchen? oder im gerätemanager mal nach updates suchen lassen über rechtsklick. 5. beide pcs müssen in der selben arbeitsgruppe sein, achte darauf. |
Hmmm Machen wir erst mal das Grafik Thema. Das wurmt mich am meisten: Also die Zuordnung der Discs zu ihren Karten ist jetzt eindeutig. Die Karte ist die 9800 GT, wie ich das vermutete, der Treiber analog. Aber dann würde das bedeuten, das die Install CD einen Schlag zu haben scheint. Ich bekomme nach wie vor die Meldung No suitable driver for your current VGA chip Woran könnte das noch liegen? Das die Disc defekt sein kann, mag ja noch angehen, aber auch das Update aus dem Internet hat denselben Fehler gezeigt. Das erscheint mir inplausibel. Die Alternative wäre sicherlich einfach auf manuell umzusteigen, oder man versucht die Installation unter anderen Bedingungen neu. Wenn ich die Treiber mal rauswerfe. Bin ich dann blind oder steigt XP wieder auf einen primitiven VGA Treiber um, so das ich dann noch arbeitsfähig wäre? Dann könnte man einen neuen Versuch starten. Ich würde das Ganze gerne über seine Menupanels bequem steuern können. Greets keenux PS Edit Das System zeigt unter Software zur Zeit drei Komponenten von Nvidia an: Nvidia Drivers ( Diese ohne Angabe der Größe, hat das was zu bedeuten? Ist das evtl fehlerhaft?) Nvidia PhysX v8..8.01 Nvidia WDM Drivers ( was ist das überhaupt)? |
du kannst die treiber über den gerätemanager deinstaliern und dann von nvidia homepage zb direkt downloaden. nach der deinstalation neustarten. |
Moin Deine Hilfe ist super :) Mein Bericht zum Status Quo: 1) Treiber Grafik alles klar. 2) Autorum abgestellt. 3) Paragon Backup: Ich habe mir noch eine USB-Platte besorgt, die jetzt die Rolle des Systembackups übernehmen soll. Nicht für die Daten ( D:\ ) sondern die Systempartition C:\ Habe ich das richtig verstanden, das man das Ding irgendwie Bootfähig machen kann? Sonst kann das ja wohl schwerlich gehen. 4) Secunia+ FileHippo geben grünes Licht. Noch offen: 1) Panda 2) sandboxie 3) hxxp://ntsvcfg.de/svc2kxp.zip 4) Onlinebanking mit Kartenlesegerät. Werde auf jeden Fall zu meiner Bank dackeln. Melde mich voraussichtlich wieder am Montag. Greets keenux |
normalerweise spielst du das backup ja auf eine fuktionierende festplatte auf, da muss die platte nicht bootbar gemacht werden, da du mit paragon zugriff hast. http://download.paragon-software.com...me_evo_ger.pdf schau dir mal das handbuch an. das image hat ja nen bestimmtes format, dieses an sich ist allein nicht bootbar. kann aber von paragon eingelesen werden, bzw kannst du auch rettungs dvds erstellen, mit denen du das system zurücksetzen kannst |
Hallo zusammen Da bin ich wieder (nach einem etwas längerem Krankheitsausfall) Und ich bin etwas irritiert. Ich bekomme von meinem Provider noch Abuse Meldungen. Die Situation: Der neuere Rechner ist gemäß deinen Ratschlägen neu aufgesetzt, der alte noch nicht. Daher liegt der Verdacht nahe, das der alte da noch etwas rum spinnt. Fragen: 1)Können die schon wieder auf den neu aufgesetzten Kasten drauf gekommen sein? Oder genauer gesagt wie wahrscheinlich ist das? Sind die vieleicht über mein Netz gekommen? 2) Über den alten Rechner wurde der Router installiert. Wie übertragen wir das auf den neuen, damit der alte rechner neu aufgesetzt werden kann? 3) Eine abstruse Idee? Kann ein Mißbrauch irgendwie in temporärer Form stattfinden? Beispiel: Man geht auf eine verwanzte Seite, die lädt dann ihren Müll im temporären Bereich ab, scant den Rechner nach Emailadressen und verwendet sie direkt. Wenn später der Verlauf wieder gelöscht wird, verschwinden auch alle Spuren? Gibt es solche Wege? Was wäre jetzt der beste Weg weiter zu machen? Gruß keenux |
auf die router einstellungen solltest du von jedem pc aus zugriff haben. ob auf dem neuen pc schon was ist kann ich dir natürlich nicht sagen, wenn du dich aber umsichtig im netz bewegt hast, dann nicht. setze also erst mal den alten pc neu auf. du kannst ja sicherheitshalber die router einstellungen notieren. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board