| |
| |||||||
Log-Analyse und Auswertung: Jetzt hat es mich erwischt. Aber warum?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
29.12.2006, 16:39
| #1 | ||
  |  Jetzt hat es mich erwischt. Aber warum? Hallo, ich hatte hier bei Euch gelernt, wie man sich schützt, kontrolliert und bei "Bedarf" sich selbst hilft. Leider scheint das nicht wirklich funktioniert zu haben. Mein System: Win XP SP2 - aktuell Dienste (Dingens.org) abgeschaltet (Computer im Netzwerk) Surfen als eingeschränkter Benutzer Windows FW an Antivir Personal Edition Spybot S&D Ad-Aware und alles fast täglich aktuell. (Antivir täglich) Mein Surfverhalten: Ebay, Onlinebanking, bekannte Websites stöbern, Command & Conquer online spielen. Als ich meinem Bruder gestern seinen "neuen"-gebrauchten PC einrichten wollte, fand Antivir 4 "Viren" (Maleware), Spybot S&D tracking Cookies usw. Deshalb dachte ich, es kann ja nicht schaden, mal wieder E-Scan bei mir laufen zu lassen. Schreck: 2 Backdoor Trojaner, und einer sogar doppelt. Fakt ist ja nun, daß ich neuinstallieren muss, und das, wo ich doch gerade auf einer 2. Partition Win XP neuinstalliert habe. Ich weiß, daß diese Partition jetzt wohl auch nicht sicher ist.  Aber, warum zum Teufel, oder besser - wie sind die Backdoors in mein System gekommen? Ich weiß nicht ob es möglich ist, aber ich hatte vor einer Weile eine gefälschte Ebayrechnungs-Mail bekommen (sofort erkannt) und diese an Ebay gemeldet/geschickt - kann es sein, daß dadurch "was passiert ist" ? Im Anhang dieser Mail war ein Zip-File, welches die angebliche Rechnung sein sollte, welche ich aber NICHT geöffnet habe. Wie kann mir das nun passiert sein? Ich frage vorallem deswegen, weil ich nicht möchte, daß mir das noch einmal passiert, und ich das Vertrauen in Microsoft langsam verliere.  Ach ja - ich hatte vor kurzem dieses beworbene "~Second Life"-"Spiel" installiert - wäre ja vieleicht auch eine "Quelle" des Bösen (?). Aber dann hätten ja 100.000 oder mehr Menschen dieses Problem.  Hier nun das Ergebniss von E-Scan: Zitat:
Zitat:
Cotton Edit* Links entfernt* Geändert von cotton (29.12.2006 um 16:45 Uhr) |
|
29.12.2006, 17:05
| #2 |
  |  Jetzt hat es mich erwischt. Aber warum? Schau mal ob das Dingens überhaupt existiert.
__________________Es sollte die Datei <System>\ntsvc.ocx vorhanden sein und ebenso der Systemtreiberdienst "NTAuth" mit dem Anzeigenamen "NTAuth" und dem Starttyp "Automatisch". Nach folgenden Registrierungseinträgen suchen: HKLM\SYSTEM\CurrentControlSet\Services\NTAuth\ HKCR\CLSID\(E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C) HKCR\Interface\(E7BC34A1-BA86-11CF-84B1-CBC2DA68BF6C) HKCR\Interface\(E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C) HKCR\NTService.Control.1\ HKCR\TypeLib\(E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C) Quelle: http://www.sophos.ch/security/analyses/trojtaladraf.html Wie Du den Patienten auf den Rechner bekommen hast? Vermutlich im Adminaccount Schabernack installiert. |
|
29.12.2006, 19:46
| #3 |
| | Jetzt hat es mich erwischt. Aber warum? Also,
__________________soweit ich das prüfen kann, ist "NTAuth" unter HKEY_USERS\S-1-5-21-2000478354-1078145449-1957994488-1004\Software\Microsoft\Search Assistant\ACMru\5603 zu finden. Sozusagen nicht da, wo ich suchen sollte. Die Beschreibungen bei Sophos usw hab ich auch schon gelesen, daher kam ich ja darauf, daß ich diesen Backdoor habe. Wie genau ich jetzt feststellen kann, ob "er" wirklich "da" ist, weiß ich nicht. Da würde ich Euch gerne noch mal um Hilfe bitten. Was mich wundert - ich habe ab und zu HJT "laufen" lassen, und selbst geprüft, was da alles läuft, aber fand nie etwas auffälliges. Weiter hieß es ja bei Sophos, daß diese "ntsvc.ocx" und noch eine andere Datei "legitim" seien, was ich nicht verstehe. (war auch bei Sophos, aber ähnliche Beschreibung) Wie gesagt, helft mir bitte herauszufinden, ob er wirklich da ist. Nur, da ich ja diesen anderen Backdoor auch noch drauf hab, wird das wohl kein HappyEnd. |
|
30.12.2006, 12:57
| #4 |
| |  Jetzt hat es mich erwischt. Aber warum? Hallo, ich hab mir nochmal ein paar Gedanken gemacht - Die Backdoors wurden von AV, Spybot und Ad-Aware nicht gefunden - E-Scan fand diese in der Registrierung, nicht als Datei - Nach meinem Verständnis bin ich ja dann doch nicht befallen, oder? AV usw scannen ja nicht in der Reg., daher fanden die ja auch nichts. Kann es sein, daß sich die Schädlinge versucht haben zu installieren, es aber nicht geschafft haben? Das würde dann auch erklären, warum nichts auffälliges passiert ist. Ich meine, wenn die Dinger da wären, würden die ja auch was unternehmen, was sich ja dann bemerkbar machen würde, indem das System lahm oder instabil wird .Eines der beiden Backdoortroj. ist ja eine "Server.exe", welche meinen Pc gefügig machen soll - bin ich vieleicht zu uninteressant für "den Gegenüber"? (möchte jetzt nicht klugsch***, ich möchte es nur verstehen) PS: Die in Quarantäne steckenden, von AV gefundenen "Viren", sind Fehlalarme wie z.B. "Audacity", "PWFinder" (***< entfernen), die Ebayrechnung, und mit "Guardian of Data" verschlüsselte Dateien. |
|
30.12.2006, 14:08
| #5 | ||
| | Jetzt hat es mich erwischt. Aber warum?Zitat:
Es wurde einiges gemeldet, war mir klar. Nicht, weil mein PC infiziert ist, sondern weil ich die Programme installiert habe. Testweise habe ich dann noch mal 3 Server von bekannten "Trojanern" installiert, einer wurde gelöscht, 2 Server laufen ohne Probleme. Zitat:
beende mal alle Programme, die eine Verbindung zum Internet aufbauen und checke mal mit Wireshark ob da noch Traffic ist, mindestens 15 Minuten lang. Falls Du "befallen" bist, würde mit hoher Wahrscheinlichkeit während dieser Zeit eine Meldung an den Client Deines Servers gesendet werden, die dann wahrscheinlich im Log auftauchen würde.  Viele Grüße, Heike 
__________________ Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
|
05.01.2007, 12:13
| #6 |
| | Jetzt hat es mich erwischt. Aber warum? Hallo und ein schönes, gesundes neuses Jahr @Heike also mit Wireshark kam ich nicht klar, deshalb hab ich mir mit dem Taskmanager und E-scan (View Network Activity) weitergeholfen. Ergebniss: nichts. Kein zucken. Nun, da ich ja sowieso neuinstalliere, ist es ja eigentlich egal, ob was drauf ist, oder nicht. Nachher jedenfalls nicht. Und damit häte ich gleich wieder eine Frage: Ich fand aufWinfuture dieses Updatepack. Dadurch soll sich eine Neuinstallation schneller herrichten, ohne die "langsamen" downloads bei MS. Jetzt wollt ich euch mal fragen, ob es "vertrauenswürdig" ist. Mein problem ist - ich kenne diese Site nicht. Wenn mir jemand sagen könnte, ob da alles in ordnung ist, fänd ich gut  Danke, cotton |
|
05.01.2007, 13:36
| #7 |
| /// caddy ☀  | Jetzt hat es mich erwischt. Aber warum? Benutze ich auch und ja, es geht schneller. Gruß cad
__________________ Investiere keine Zeit in Jemand oder eine Sache, für die/den du oder die für dich nur eine Option unter Vielen ist Jede Hilfestellung erfolgt ohne Gewähr und Haftung |
|
05.01.2007, 15:57
| #8 | |
| | Jetzt hat es mich erwischt. Aber warum?Zitat:
|
|
15.01.2007, 20:41
| #9 |
| | Jetzt hat es mich erwischt. Aber warum? Hallo, nun hab ich XP neu installiert, alles funktioniert, und schon wieder ein problem. Ich habe ein Backup erstellt, von dem neu installiertem XP mit dem Programm Paragon DriveBackup. Nun wollte ich auf einem vor kurzem gekauften (gebrauchten) PC dieses Backup aufspielen, was auch nach 2 h erfolgreich und ohne Fehler funtionierte. Mein Problem: Windows startet nicht. PC fährt hoch, stopt aber mit der Auswahl "abgesicherter Modus" "Normal starten" usw. "Letzte funktionierende Konfiguration" funktioniert auch nicht. Google zeigt mir zwar einiges, aber ich kann damit nichts anfangen. Ich weiss zB was eine MBR ist, aber nicht, wie ich sowas repariere. Ich hatte ja schon mal diese Probleme, nur leider versteh ich es immernoch nicht. Wie soll das denn nun funktionieren, daß ich ein Backup zurückspiele? wenn das nämlich wieder nicht klappt, dann brauche ich in Zukunft auch kein Backup mehr machen  danke, cotton |
|
15.01.2007, 21:27
| #10 |
| Administrator > Competence Manager | Jetzt hat es mich erwischt. Aber warum? Moin  Ich weiß zwar nicht ob dir der folgende Link hilft, aber ein Versuch ist sicherlich wert.  Master Boot Record (MBR) reparieren und wiederherstellen Gruß Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
15.01.2007, 21:38
| #11 |
| | Jetzt hat es mich erwischt. Aber warum? hallo, fixmbr und danach fixboot hab ich versucht - funktioniert nicht. ist immernoch das selbe Problem. PC startet und sofort kommt wieder die Auswahl "normal starten", "abgesicherter Modus" ... habe mit f8 auch versucht den Neustart bei Fehlern auszuschalten - es kam die Meldung, ich soll chkdsk ausführen, was iuch auch getan habe. "es wurde mindestens ein Fehler gefunden", aber das Problem ist immer´noch das selbe. Es muss doch möglich sein, ein Backup zurückzuspielen. |
|
16.01.2007, 00:21
| #12 |
| | Jetzt hat es mich erwischt. Aber warum? Ich werd noch verrückt ... jetzt hab ich eine frühere Sicherung aufspielen wollen - Fehler: NTLDR fehlt oh mann ... Wer hat denn schon mal eine Sicherung zurückgespielt? Liegt das an Paragon? Oder an mir? Glaube ich aber nicht, denn ich hab nur den anweisungen des Programms folge geleistet. Es kann ja auch nicht Sinn der Sache sein, daß man hier schon wieder 6 Stunden rumsitzt und versucht mit irgentwelchen Fehlermeldungen klar zu kommen. Hardware schließe ich aus, denn das Gerät funktionierte gestern noch mit XP Pro, welchen vom Verkäufer aber nicht rechtens installiert wurde. Und nein, ich will nicht XP auf einem 2. Rechner illegal nutzen. Ursprünglich wollte ich nur den Rechner "testen", und dabei probieren, ob denn eine Sicherung wirklich so einfach zurückzuspielen ist. Mitlerweile muss ich ja feststellen - ein Glück, daß ich diesen Mist jetzt durchmache, und nicht wenns mal drauf ankommt. Meine Frage: Wie, mit was, ... stellt man eine Sicherheitskopie eines Win XP Home her, und spielt sie zurück, ohne daß man diese oder andere Probleme hat. |
|
16.01.2007, 01:23
| #13 | ||
| | Jetzt hat es mich erwischt. Aber warum?Zitat:
Zitat:
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
|
16.01.2007, 14:20
| #14 |
| | Jetzt hat es mich erwischt. Aber warum? hallo, die Meldung kam beim ersten Neustart, nach der Backup-rückspielaktion. Ja, Wertlos sind die Backups wohl. Weißt du, ich habs ja verstanden als mein brenner am Notebook (warscheinl) defekt ging, aber das ein Backup, das ich direkt auf eine exterme Festplatte schreiben lasse, das dann nicht funktioniert ... mies. Habe alles mögliche probiert - reparieren (fixmbr,fixboot ...), auch die windows verzeichnisse "neu schreiben lassen" (repariert) Letzteres brachte, daß ich bis zum windows Logo kam. leider musste ich feststellen, daß es bei der Aktion aus einem SP2 Backup ein SP1 Setup gemacht hat - somit hat sich die Geschichte für diese Installation erledigt. Zum NTLDR fehlt - Google überschüttet einen mit Lösungen ... man muss sich dann wohl die "richtige" raussuchen. Ich schätze dieses NTLDR-Problem kann mehr als genug Ursachen haben, nur wenn man nicht in der Materie "steckt", kann man nur rumtesten. geschafft hab ichs ja, daß die NTLDR-Meldung nicht mehr kam, nur kam dann wieder die Auswahl: "abgesicherter Modus", "normal starten" ..... Ach übrigens - wo testet Du Dein Backup? Wenn man nur einen PC hat, wäre ein (einziges zur Hand habendes) misslungenes Backup ein Drama.  |
|
16.01.2007, 14:32
| #15 | ||
| | Jetzt hat es mich erwischt. Aber warum?Zitat:
Zitat:
Reine Daten sicher ich nicht mit einem Backupprogramm.
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
|
| Themen zu Jetzt hat es mich erwischt. Aber warum? |
| .com, antivirus, avira, backdoor, backdoor trojaner, bho, computer, confused, desktop, ebanking, ebay, email, frage, heulen, hijack, hijackthis, langsam, log file, logfile, magix, maleware, nicht sicher, outlook express, registry, security, software, spyware, system, trojaner, viren, virus, warum |
Linear-Darstellung
