| |
| |||||||
Log-Analyse und Auswertung: Infiziertes System direkt nach NeuinstallationWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.08.2005, 13:07
| #7 |
| |  Infiziertes System direkt nach Neuinstallation Danke für die rasche Antwort! Ich habe hpfsched allerdings vorerst noch nicht gelöscht, denn nach meinen Recherchen hat hpfsched mit meinem Drucker zu tun: http://forums1.itrc.hp.com/service/f...threadId=95164 Trotzdem fixen? Ist irgendwie bekannt, dass sich da sonst was versteckt? Allerdings habe ich mittlerweile eine ganze Menge unternommen, um den/die laut Panda Active Scan Registry-Eintrag/äge zu finden und zu beseitigen, allerdings erfolglos. Ich habe also: 1. Das System bereinigt. - Über Start->Systemsteuerung->Internetoptionen/Java - Systemprogramme / Datenträgerbereinigung - Acronis Privacy Expert 2. Im abgesicherten Modus habe ich laufen lassen (in der Reihenfolge & alle Prg jeweils vorher geupdatet): - CWShredder - about:Buster - Ad-Aware - SpyBot S&D - eScan Die haben aber alle nix gefunden und nix entfernt. 3. Dann im abgesicherten Modus RegCleaner laufen gelassen. 4. Dann im abgesicherten Modus CleanUp. 5. Dann im abgesicherten Modus Acronis Privacy Expert. 6. Dann neu gebootet und die Online Scanner von F-Secure und eTrust laufen lassen. Beide nix gefunden oder beanstandet. 7. Heute morgen dann wieder im abgesicherten Modus (wieder in der Reihenfolge und geupdatet): - CWShredder - X-Cleaner - SpySweeper - RegCleaner - CleanUp - Spider - Acronis Privacy Expert. 8. Dann neu gebootet und den Panda Active Scan wieder laufen lassen, und der findet immer noch irgendwo in der Registry den Quatsch. Die Beanstandung scheint jedes Mal im Zusammenhang mit der user32.dll aufzutreten. Nachdem all die anderen Scans nix ergeben haben, war ich schon geneigt, bei dem Panda Ergebnis an einen Fehlalarm zu glauben. Nun scheint dieses Ding, wenn man es komplett entfernen will, allerdings sehr hartnäckig zu sein, wie man diversen Foren im Netz entnehmen kann, z.B.: http://www.computing.net/security/ww...rum/12346.html http://www.supportcave.com/Coolwebsearch.html http://www.silentrunners.org/sr_cwsremoval.html Daher dürfte Panda wohl Recht haben. Allerdings habe ich bisher keins der Symptome auf meinem Rechner gehabt, von denen andere User berichten. Ich surfe mittlerweile zwar meist mit Firefox, aber wenn ich den IE benutze (z.B. für die Online Scans wg. Active X), ist er mir bisher noch nie auf andere Seiten entführt worden, noch sind irgendwelche Popups aufgegangen. Das kann daran liegen, dass ich Java und Active X standardmäßig deaktiviert habe und beides nur auf den vertrauenswürdigen Seiten zulasse (die Liste dieser Seiten hab ich übrigens kontrolliert und dort eigentlich nix gefunden, was definitiv nicht von mir stammt). Das kann aber auch daran liegen (das wäre die für mich angenehmere Variante), dass der Dreck sich entweder nicht voll auf meinen Rechner geladen hat, oder dass er zumindest nicht aktiv ist. Wie schätzt ihr das ein? Eine Sache, die mir in diesem Zusammenhang nicht so richtig gefällt, ist die Tatsache, dass ich in der Version 1.4. von SpyBot den Rechner nicht mehr komplett immunisieren kann. Wenn ich Immunisieren durchführe, meldet er 2017 Produkte seien nun blockiert. Wenn ich dann "Check again" mache, meldet er 2014 Produkte seien blockiert, 3 sollten noch blockiert werden. Diese 3 lassen sich aber nicht blockieren (und ich hab keine Ahnung, wie ich rausfinden kann, um welche 3 es sich handelt). Ist das als Programmfehler bekannt, oder ist das in der Tat seltsam? Was ich außerdem sehr, sehr seltsam finde, ist dass mein Versuch scheiterte, den Rechner neu aufzusetzen: Ausschalten, C:\-Platte formatieren (format c  , Win98 von der Original CD neu aufspielen, Raid-Controller-Treiber, Grafikkartentreiber, Soundblaster-Treiber von den Originalmedien installieren, Modem installieren (Original CD), Internet-Zugang konfigurieren (Original CD), ZoneAlarm installieren (von der der Daten-Partition (E, die ich nicht mit formatiert habe). Danach Panda Online Scan, und das Ding war noch in der Registry wie zuvor. Deswegen als erstes Posting auch der Log von meinem System mit IE5 ohne jegliche Updates. Nach meiner bescheidenen Logik sollte die Installation von ZoneAlarm eigentlich die einzige Möglichkeit gewesen sein, dass das Ding überlebt, oder muss ich den Formatierungsvorgang mit speziellen Parametern durchführen, die bspw. auch den Bootsektor noch extra behandeln? Was muss ich beachten, wenn ich das System neu aufsetzen will und sicher sein will, dass da definitiv kein Dreck mehr irgendwo sich einnistet. Kann das Ding noch woanders sitzen? Man wird ja paranoid und fragt sich (als nur mittel erfahrener Computernutzer) nach dieser Erfahrung, ob sich das evtl. sogar irgendwo im BIOS verstecken kann (doch eigentlich nicht, oder?) Tschuldige für so blöde Fragen, aber die Erfahrung mit der gescheiterten Neuinstallation hat doch für Verunsicherung gesorgt.Was würdet ihr mir also raten: Auf sich beruhen lassen, weil ja keine Symptome da sind. Gibt es noch irgendwelche Möglichkeiten, den Dreck aus der Registry zu entfernen (auch manuell)? Das System neu aufsetzen? Wenn letzteres: Was soll ich dann tun, um sicher zu sein, dass alles weg ist? Vielen Dank schon jetzt für eure Antworten! |
| Themen zu Infiziertes System direkt nach Neuinstallation |
| adware, button, check, explorer, festplatte, frage, gelöscht, hijack, hijackthis, infizierte, internet, internet explorer, links, logfile, löschen, microsoft, neu, neu aufgesetzt, programme, registry, rundll, rundll32.exe, software, spyware, system, system neu, ungeschützt, windows |
Baum-Darstellung