ps: immerhin ist das sys schon wieder soweit, daß diese lästigen pop-"ups" furz (pardon) seiten nicht mehr aufgehn....

falls nichts mehr nachkommt (eurerseits) lösch ich manuell.... allerdings sind im logfile daten dabei die keine übliche datei endung haben also .exe oder so...

wie zb:

File C:\_RESTORE\TEMP\DKDMOPRP.0

und diese da kann ich nicht löschen: windows meldung: windows verwendet die gerade oder so ähnlich:

File C:\WINDOWS\SYSTEM\WJ2IT.EXE


danke!
lg again!
_p_

@MountainKing

Zitat:

Die Grenze zwischen Hijacker im Sinne von geänderten Startseiten und Trojaner besteht IMO darin, dass letzere direkten Zugriff auf das System ermöglichen, Hiijacker ....ist zwar ärgerlich, aber nicht genauso gefährlich.

Das ist reine Frage der Benennung der Malware von Anti-Malware-Tool-Herstellern
So ein Hijacker, wie DyFuCa, z.B. heisst
Dial/DyFuCA-A bei Sofos (also Dialer?!),
TrojanDownloader.Win32.Dyfuca bei F-Secure, TrojanDownloader.Win32.Dyfuca.a bei Kaspersky.
Hier heißt es Internet Optimizer und wird als Browser-Parasite identifiziert.

Zitat:

Ich gehe auch nicht vom Best Case aus, wenn ich feststellen möchte, um welche Prozesse es sich handelt.

Ds Problem besteht genau daran, dass alle Tools im Sinne HJT, eScan und Konsorten, liefern keine zuverlässige Informationen, d.h. die identifizieren (bestenfalls) Malware-Befund - und das war's. Welche Dateien/Prozesse/Reg.Einträge sind davon betroffen ist völlig unklar.
Und noch ein Zitat:

Zitat:

You can’t clean a compromised system by using a virus scanner. To tell you the truth, a fully compromised system can’t be trusted. Even virus scanners must at some level rely on the system to not lie to them.
werden auch

Zitat:

Ziehst du die Grenze tatsächlich so eng, dass ein Startseitenhijacker bereits eine Neuinstallation nach sich zieht?

Wenn ich nie genau feststellen kann, womit ich zu tun habe, gibt es keinen Ausweg.
enn du auch dem Microsoft nicht vertraust, warum hast du noch überhaupt Windows an deinem PC?

Zitat:

Zitat von _princessa_

immerhin ist das sys schon wieder soweit, daß diese lästigen pop-"ups" furz (pardon) seiten nicht mehr aufgehn....

Wenn du schon sowieso online bist, warum liest du nicht, was ich für dich verlinkt habe?

Zitat:

falls nichts mehr nachkommt (eurerseits) lösch ich manuell....

das wird bestimmt nicht gehen, weil:

Zitat:

File C:\_RESTORE\TEMP\DKDMOPRP.0

liegt im Restore-Ordner. Vorgehensweise: http://www.bsi.bund.de/av/texte/wiederher_me.htm

Zitat:

File C:\WINDOWS\SYSTEM\WJ2IT.EXE

Das ist der Backdoor. Jemand benutzt bereits deinen Rechner, ohne dir Bescheid zu geben, und baut gearde daraus eine Virenschleuder.

Zitat:

Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.Quelle: The Ten Immutable... Link in meiner Signatur

Zitat:

Zitat von Rene-gad

Wenn du schon sowieso online bist, warum liest du nicht, was ich für dich verlinkt habe?

das wird bestimmt nicht gehen, weil:

liegt im Restore-Ordner. Vorgehensweise: http://www.bsi.bund.de/av/texte/wiederher_me.htm

Das ist der Backdoor. Jemand benutzt bereits deinen Rechner, ohne dir Bescheid zu geben, und baut gearde daraus eine Virenschleuder.

wenn ich schon online bin???? ja bin ich und ich les auch aber das was ich vn dir mitbekommen hab war SYSTEM NEU AUFSETZEN... rest war (für mich technisch zu hoch) debatte zw. dir und mountainking....

virenschleuder??? danke für das engl. zitat ... mir ist nicht wirklich nach lachen zumute...

File C:\WINDOWS\SYSTEM\WJ2IT.EXE kann ich das nicht löschen???

danke für deine info...tut leid aber ich denke du hast noch nicht begriffen das du mir eindeutig zu technisch hoch schreibst! ich denke du bist eher blitzgneisser gewohnt ...in dem fall hier aber unterhälst du dich mit dem klassischen DAU ...

lg
_p_

ps: de _restore `s sind ja bereits weg ....

@ Renegad

Ich entscheide NIE nach dem Namen eines Schädlings, sondern schaue mir immer, soweit möglich, die detaillierte Beschreibung seiner Schadensroutine an. Und ich finde schon, dass eine geklaute Startseite nicht denselben Gefährlichkeitsgrad hat wie ein aktiver Backdoor.

Und ein kleiner Denkfehler liegt auch in deinem Ansatz, den ich schon grundlegend nachvollziehen kann, aber wenn du das ganz konsequent bis zum Ende durchdenkst, kannst du überhaupt NIE wissen, ob das System nicht kompromittiert ist. Wenn jemand also saubere Logs und keine Ergebnisse von Scannern hat, rätst du ihm dann trotzdem, seinen Rechner zu formatieren? Irgendwo MUSST du ja einen Ansatzpunkt haben und woher nimmst du den, wenn nicht aus entsprechenden Tools?
Und die Microsoft-Seite empfiehlt zunächst den Einsatz eine Virenscanners.


Ich bin ja ebenfalls der Ansicht, dass man einem "fully compromised" System nicht mehr trauen kann, aber wonach entscheidest du, ob es "fully compromised" ist bzw, ist es durch einen Browser-Hijacker tatsächlich so kompromittiert?


Prinzipiell finde ich das schon verlockend und es hat auch etwas für sich, wenn man völlig strikt sagt, sobald der Anschein eines Schädlings gesichtet wurde, sollte neu installiert und das Sicherheitskonzept von Grund auf überprüft werden. Trotzdem wäre es auch ein wenig wie mit Kanonen auf Spatzen zu schießen und basiert ja auch ein Stück auf der Illusion, dass es völlige Sicherheit geben könnte.

@_princessa_
Übersetzung:

Zitat:

Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.

Gesetz 3: Wenn ein Sch...kerl hat den nicht zugelassenen physicalischen Zugriff zu deinem Compi, es ist keinerlei dein Compi mehr.

Zitat:

wenn ich schon online bin????

Weil das Erste, was man bei einem Malware-Befall tun muss - den Rechner vom Netz trennen, damit den anderen Usern nicht schaden.

danke soweit reicht mein englisch um den satz zu verstehn...

vom netz nehmen??? geht zur zeit leider nicht wegen daten transfer....

und abgesehn davon dachte ich im ersten moment sicherlich nicht an andere user sondern doch noch an mich selber... mag ziemlich dum und egoistisch klingen aber wenn die alarmanlage an meinem auto losheult denk ich auch nicht oh gottchen die armen lärmgeschädigten nachbarn sondern an mein auto das ev. in dem moment aufgebrochen wurde...

nix für ungut! wie gehts weiter? weiß noch wer was bevor ich neu aufsetz???

DANKE!!!
lgp

@MountainKing

Zitat:

Ich entscheide NIE nach dem Namen eines Schädlings, sondern schaue mir immer, soweit möglich, die detaillierte Beschreibung seiner Schadensroutine an.

detaillierte Beschreibung ist IMHO nur dann vertrauenswürdeig und aussagekräftig, wenn die von einem Profi geschrieben wurde.

Zitat:

kannst du überhaupt NIE wissen, ob das System nicht kompromittiert ist.

Doch. Nach einem Format c:\ und Allen SPs drauf bevor man ins Internet kommt ist das System absolut sauber. Und NUR in dem Fall

Zitat:

Wenn jemand also saubere Logs und keine Ergebnisse von Scannern hat, rätst du ihm dann trotzdem, seinen Rechner zu formatieren?

Das hast du einfach so gesagt. Ich kann mich nicht erinnern,wann und wem ich bei einem "sauberen Log" format c:\ empfohlen habe.

Zitat:

Ich bin ja ebenfalls der Ansicht, dass man einem "fully compromised" System nicht mehr trauen kann, aber wonach entscheidest du, ob es "fully compromised" ist bzw, ist es durch einen Browser-Hijacker tatsächlich so kompromittiert?

Generell zu "fully" oder "partly": Eine Frau kann nicht "ein bisschen schwanger" sein.
Ich entscheide nichts: Enscheiden muss der, der Malware am PC hat. Und ich als Apostel , versuche nur den Heiden das Wort Billi's zu tragen und die zu einzig richtiger Entscheidung zu bringen.

@ Rene-gad

"Das ist der Backdoor. Jemand benutzt bereits deinen Rechner, ohne dir Bescheid zu geben, und baut gearde daraus eine Virenschleuder."

Es ist ein Downloader, der automatisch von Webseiten oder FTP-Servern Files herunterladen kann. Er KÖNNTE also evtl. von da echte Backdoors herunterladen, ist aber selbst kein Dienst, der tatsächlich physikalischen Zugriff gestattet.



"detaillierte Beschreibung ist IMHO nur dann vertrauenswürdeig und aussagekräftig, wenn die von einem Profi geschrieben wurde."

Ich verwende die Angaben der Antivirenseiten, also durchaus von Profis.


"Doch. Nach einem Format c:\ und Allen SPs drauf bevor man ins Internet kommt ist das System absolut sauber. Und NUR in dem Fall"

Mit solchen Fällen haben wir hier aber nicht zu tun, siehe auch unten.


"Das hast du einfach so gesagt. Ich kann mich nicht erinnern,wann und wem ich bei einem "sauberen Log" format c:\ empfohlen habe."

Moment, du hast gesagt, dass man den Angaben dieser Tools nicht trauen kann, das heisst logischerweise ja, dass ein sauberes Log gar nichts beweist, speziell, sobald man mal im Netz war. Wenn du also bei einem sauberen Log kein Format empfiehlst, verlässt du dich doch darauf, dass diese Angabe stimmt, was du eigentlich ja nicht dürftest, da sie prinzipiell nicht vertrauenswürdig sein kann.


Wozu verwendet man denn den Begriff "fully", wenn es keine "niedrigere" Form der Infektion gibt? Wenn es da gar keine Unterschiede gäbe, würde ja "compromised" genügen. Für mich macht das eigentlich nur Sinn und so habe ich es bisher eigentlich auch immer verstanden, dass "fully" sich eben auf den Fall bezieht, in dem tatsächlich physikalischer Zugriff auf einen Rechner möglich war. Das ist aber nicht bei jedem Schädling so.

Ist hier vielleicht auch ein bißchen fehl am Platz, vielleicht wäre eine grundlegende Diskussion darüber in einem Nachbarforum sinnvoller. Ich verstehe deine Position auch durchaus aus dem Blickwinkel der höchstmöglichen Vorsicht und Sicherheit, aber ich würde da doch noch ein bißchen mehr differenzieren.

hallo nochmals:

File C:\WINDOWS\SYSTEM\WJ2IT.EXE infected by "Trojan-Downloader.Win32.Apropo.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\WJ2IT.EXE infected by "Trojan-Downloader.Win32.Apropo.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\WEBLGN32.EXE infected by "Trojan-Downloader.Win32.Agent.hc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\WEBLGN32.EXE infected by "Trojan-Downloader.Win32.Agent.hc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\WJ2IT.EXE infected by "Trojan-Downloader.Win32.Apropo.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\WEBLGN32.EXE infected by "Trojan-Downloader.Win32.Agent.hc" Virus. Action Taken: No Action Taken.


das ist der rest der noch gefunden wurde...
ich seh die dateien nur sind die nicht zu löschen...ich bekomm immer wieder die meldung wird verwendet...

kann ich die im abgesicherten modus rauslöschen??? blöde frage ich weiß aber das war alles doch ein bisserl viel info von euch! danke trotz!!!

lg und gutnacht!
_p_

hallo nochmals udn guten morgen,

also ich hab nun nach einer schalflosen vollmondnacht im abgesicherten modus noch mal das programm laufen gelassen und hab diese letzten beiden files:

_RESTORE\TEMP\A0000003.CPY und A0000014.CPY einfach mal gelöscht!

nun im normalen modus nochmals drüber laufen lassen und siehe report:

log file: no virus found

ich denke und hoffe, daß somit mein notebook halbwegs "sauber" ist...

an dieser stelle ein großes dickes fettes D A N K K E
an :

MASTERMOUNTAIN
RENE-GAD
CACATOA

!!!!

ad rene-gad ...big sry... aber wie du siehst ...diesmal hat es zumindest bis dato ohne Neuaufsetzen des systemprogramms funktioniert!...

ferner sei nochmals erwähnt, daß ich absolut überrascht war, wie schnell und unproblematisch einem DAU wie meinereinerunwichtigkeit geholfen wurde!!!

selten hab ich in foren soviel "anteilnahme", nämlich die von der konstruktiven sorte, erlebt!!!

EIN GROßES LOB nochmal!!!! ich werde mir dieses FORUM merken und gegebenenfall weiter empfehlen!!!

ganz ganz liebe grüße aus dem verschneiten wien!
b

Hallo _princessa_

Zitat:

log file: no virus found

Das heißt aber nicht: no virus is. Das heißt: Dieses Tool konnte keine Viren finden.

Zitat:

ferner sei nochmals erwähnt, daß ich absolut überrascht war, wie schnell und unproblematisch einem DAU wie meinereinerunwichtigkeit geholfen wurde!!!

Keine(r) kommt zu dieser Welt mit Vorkenntnissen, aber man kann Einiges erlernen.

Das Für und Wider zum Thema Systembereinigung oder formatieren bitte ggf. hier weiter diskutieren.
Danke!

@rene-gad freut mich das du weiterhin "besorgt" bist das mein rechner nach wie vor verunreinigt sein könnte...

fakt: tool fand keine viren mehr! nun was tun???
gibts noch ein programm, welches ich drüberlaufen lassen kann???
kann ich sonst noch irgendwas tun???

ich bin sicherlich gern bereit was zu tun um... andere vor meinem infiszierten teil zu schützen, nur wenn man nicht weiß was, ist das bekanntlich nicht so einfach!

also wenn du oder sonstwer hier was auf lager hat... pls her damit))


ganz liebe grüße an euch alle!!!

lg aus wien!
_p_

"und bald sind wir hier eingeschneit"