Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Rechner kompromittiert?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.02.2006, 18:30   #1
hilli
 
Rechner kompromittiert? - Standard

Rechner kompromittiert?



Hallo,
seit vorgestern drehe ich am Rad ... Habe nach etwas längerer Zeit mal wieder einen Totalscan meines Rechners mit Antivir gemacht und prompt einen Virus an drei Stellen gefunden:

Worm/Robobot gefunden in:

C:\Aktuell\AP SSB\install.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\install.exe
C:\Netzwerk\install.exe


Die drei Dateien hatten übrigens das Datum 13.12.2005. Ich habe sie zunächst mit Antivir gelöscht und in Quarantäne verschoben. Dann etwas gegoogelt und bei Kaspersky folgendes gefunden:

Worm/Robobot

Aliases

Backdoor.Win32.Robobot.b (Kaspersky Lab)
auch bekannt als:
Trojan.Proxy.106 (Doctor Web),
Troj/ Bdoor-T (Sophos),
DDoS:Win32/Boxed.T (RAV),
Worm/Robobot (H+BEDV),
Backdoor.Robobot.B (SOFTWIN),
W32/Dedler.R.worm (Panda),
Win32/Webus.C (Eset)

Datum: Wann entdeckt? 15 Jan 2005
behavior: Backdoor
Für dieses Schadprogramm gibt es keine Beschreibung.


Beim Weitersuchen bin ich auf eure Site gelangt und habe dort stundenlang gelesen (nur leider nicht alles kapiert - halt typischer ONU).

Als erstes habe ich meinen PC aus dem Netz genommen (LAN-Verbindung daktiviert) und bei deaktivierter Systemwiederherstellung in den abgesicherten Modus gebracht. Ich schreibe im Moment vom Notebook aus (das möglicherweise auch verseucht ist, obwohl Antivir nichts gefunden hat, aber darum kümmere ich mich dann später ...).

Dann einen eScan durchgeführt (dauerte mehr als 6 Stunden - ist das normal?) Der hat den Robobot-Wurm zwar nicht mehr gefunden, dafür aber folgendes:

Virus Protokoll Information:

Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\$NtServicePackUninstall$\logonui.exe infiziert von "Trojan.Win32.Agent.on" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Alte HDD\Boot (C)\Dokumente und Einstellungen\Eva\Lokale Einstellungen\Temp\fna03464.txt infiziert von "Virus.MSWord.Marker.fq2" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Alte HDD\Boot (C)\WINDOWS\ServicePackFiles\i386\logonui.exe infiziert von "Trojan.Win32.Agent.on" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Alte HDD\Boot (C)\WINDOWS\system32\logonui.exe infiziert von "Trojan.Win32.Agent.on" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Backup Alt-PC\Laufwerk D\T-Online 3.0\EMAIL2\1WLEZ1PG.5CH\Ablage.dat infiziert von "Virus.MSWord.Marker.fq2" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Backup Alt-PC\Laufwerk D\T-Online 3.0\EMAIL2\BACKUP\Ablage.dat infiziert von "Virus.MSWord.Marker.fq2" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Ich kann auch gerne noch die relevanten Ausschnitte aus dem Logfile posten.
Insgesamt hat er 7 Viren (s.o.) und 14 Fehler (was ist das?) gefunden.

Den Marker habe ich schon lange im System und werde ihn nicht los, weil er in meinen alten Email-Backups hängt - von wo aus er hoffentlich keinen Schaden anrichten kann.

Über den Trojaner habe ich folgendes gefunden:

Trojan.Win32.Agent.on
Andere Version: .cp
Datum: Wann entdeckt? 04 Feb 2006
Behavior: Trojan
Für dieses Schadprogramm gibt es keine Beschreibung.


Heißt das, er ist am Tag seiner Entdeckung schon bei mir untergekrochen? Kreisch!

Danach habe ich auch noch den HJT Scan gemacht. Hier das Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 23:04:34, on 04.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\1\LOKALE~1\Temp\mexe.com
C:\DOKUME~1\1\LOKALE~1\Temp\kavss.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Works\MSWorks.exe
C:\WINDOWS\system32\notepad.exe
C:\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [routcnf] C:\Programme\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [WiseFTP] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\HP OfficeJet G85\AiO\hp officejet g series\Bin\hpoavn07.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {86B28C72-357E-4C1C-94C1-DB17F056C11A} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53BE4BDC-88AF-4149-BF7E-622395A2BD9B}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{6631B81C-758E-4047-991E-C9302C5B308B}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{53BE4BDC-88AF-4149-BF7E-622395A2BD9B}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{53BE4BDC-88AF-4149-BF7E-622395A2BD9B}: NameServer = 192.168.1.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Noch ein paar Infos, die evtl. interessant sind:
  • Als Browser benutze ich auf dem PC Opera (Version 7) und den IE nur, wenn eine Seite sich nicht mit Opera öffnen lässt.
  • Ich nutze keinerlei Outlook bzw. Outlook Express (wurde aber wohl zwangsweise installiert), sondern das Email-Programm von T-Online 4.0.
  • Bei einem Portscan habe ich vor einigen Tagen einen offenen Port in meinem DSL-Router (in meinem Netzwerk?) gefunden und geschlossen. Jetzt sind alle Ports zu.
  • Ich bin normalerweise supervorsichtig mit Emails und Downloads und aktualisiere fast täglich meinen Antivir.
  • Leider bin ich bisher immer als Administrator in Win XP unterwegs gewesen, das will ich auf jeden Fall ändern.
  • Datensicherung mache ich nur sehr sporadisch, z.T. aufs Notebook, z.T. auf eine 2. Festplatte, die ich in meinem PC habe.

Wer bis hierhin durchgehalten hat: Vielen Dank für die Geduld! Ich hoffe, ihr könnt mir weiterhelfen, wie ich jetzt am besten weiter vorgehe.

Liebe Grüße Hilli.

Alt 05.02.2006, 18:49   #2
Juli4n
 
Rechner kompromittiert? - Standard

Rechner kompromittiert?



grundregel:
wenn backdoor oder rootkit --> neuaufsetzen
bei vieler malware findet sich auf der klab seite nicht unbedingt eine beschreibung dazu. die malware ist über 1 jahr alt
__________________


Alt 06.02.2006, 17:04   #3
hilli
 
Rechner kompromittiert? - Standard

Rechner kompromittiert?



Hallo,

inzwischen habe ich mein Notebook ebenfalls mit escan gescannt - kein Virus gefunden, d.h. es scheint wirklich sauber zu sein.

Hier nochmal zur Sicherheit der HJT-Log des Notebooks, wäre toll, wenn da mal jemand drübergucken könnte:

Logfile of HijackThis v1.99.1
Scan saved at 03:29:00, on 06.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Company\Quick Start Button\QSB.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Office 97\Office\OSA.EXE
C:\DOKUME~1\***~1.NOT\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gericom.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [routcnf] C:\Programme\Eumex\routcnf.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online 5\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [QSB] C:\Programme\Company\Quick Start Button\QSB.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Office 97\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Office 97\Office\OSA.EXE
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Word 2002\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{79E201E3-20A6-4573-882E-379CB8632E8D}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FF756C4-1656-4E79-B6C7-367D246B0DCA}: NameServer = 192.168.1.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Das Plattmachen und Neuaufsetzen meines PCs schaffe ich nicht ohne Hilfe. Ich erinnere mich noch mit Grausen daran, wie lange es gedauert hat, bis mein Mini-Netzwerk aus PC, Notebook und DSL-Router damals halbwegs stand - und das auch nur mit Profihilfe.

Deshalb will ich jetzt erstmal nur noch mit dem Notebook ins Internet gehen. Meint ihr, das ist sicher? Muss ich dann den PC komplett aus dem Netz rauslassen oder kann ich noch sicher intern mit dem Notebook Daten austauschen? Ach Scheiße, das ist alles so kompliziert! Ich kann schon nachts nicht mehr richtig schlafen, seit dieser Mist läuft.

Falls jemand von euch im Umkreis von Wuppertal einen kennt, der Ahnung (und einen nicht zu extrem teuren Stundensatz) hat, oder eine Idee hat, an wen ich mich wenden kann, bitte melden!

Liebe Grüße
Hilli.
__________________

Alt 07.02.2006, 15:26   #4
hilli
 
Rechner kompromittiert? - Standard

Rechner kompromittiert?



Hallo,

da mein Thread schon so weit nach hinten gerutscht ist, melde ich mich einfach nochmal. Sorry falls das als unverschämt angesehen wird, kenne mich hier noch nicht so aus ...

Jedenfalls tappe ich immer noch völlig im Dunkeln bezüglich der Sicherheit meines Notebooks. Könnte sich evtl. jemand mal meinen Log anschauen? Oder weiß jemand ein anderes Forum, an das ich mich wenden kann?

Danke und viele Grüße
Hilli.

Alt 07.02.2006, 18:20   #5
irrlicht
 
Rechner kompromittiert? - Standard

Rechner kompromittiert?



Hallo hilli,
dein IE könnte ein Update vertragen,sollte man machen auch wenn man den IE nicht nutzt.
Ansonsten ist dein zweites Log in Ordnung.Ich nehme an es ist ein Firmenrechner ?
C:\Programme\Company\Quick Start Button\QSB.exe
Irrlicht


Alt 08.02.2006, 11:45   #6
hilli
 
Rechner kompromittiert? - Standard

Rechner kompromittiert?



Hallo,

vielen Dank fürs Drübergucken!

Nein, das ist kein Firmenrechner, sondern mein privates Notebook. Keine Ahnung, was das Company-Quickstart-Teil sein soll? Evtl. ein Direktlink zu Gericom oder so was? Die entsprechende Datei sieht vom Datum her jedenfalls so aus, als wäre sie schon vorinstalliert gewesen beim Kauf.

Übrigens erscheint seit ein paar Tagen jedesmal beim Start folgende Meldung:

SPRINGFLD_ADV_DAEMON: WksCal.exe - Einsprungpunkt nicht gefunden
Der Prozedureinsprungpunkt "GetTextExtentPointI" wurde in der DLL "MSDART.DLL" nicht gefunden.

Hat jemand eine Ahnung, was das bedeutet? Ich werde langsam etwas paranoid.

Dazu muss ich noch sagen, dass mein Notebook während des Scannens mit escan im abgesicherten Modus einen totalen Systemabsturz hatte. Der Rechner bootete danach nicht mal mehr. Nachdem ich mit der Recovery CD Windows neu installiert hatte, ging es wieder. Ich habe jetzt allerdings anscheinend zwei Versionen auf dem Notebook (eine unter C:\WINDOWS, die andere unter C:\WINDOWS.0). Am Anfang bekam ich dann beim Booten die Auswahl zwischen beiden Versionen, inzwischen kommt automatisch wieder meine neue. Die scheint durch die Neuinstallation wieder repariert zu sein, hoffe ich jedenfalls mal ....

Bin immer noch auf der Suche nach jemand, der mir beim Plattmachen und Neuaufsetzen meines PC helfen kann. Habe schon nach einem Computernotdienst in Wuppertal gegoogelt, aber wie kann ich feststellen, ob die Leute vertrauenswürdig sind und auch was draufhaben? Je mehr ich mich mit der Materie beschäftige, desto komplizierter erscheint mir das alles. Selbst die Fachleute scheinen sich ja uneins zu sein, ob man einen solchen Befall nicht auch ohne Neuaufsetzen eliminieren kann. Fragen über Fragen:
  • Gibt es eigentlich eine Möglichkeit, festzustellen, ob ein Backdoor-Wurm oder Trojaner auf dem Rechner aktiv war/ist? Oder muss das System schon als korrumpiert angesehen werden, sobald man so ein Viech entdeckt?
  • Ich dachte immer, durch meine Hardware-Firewall im DSL-Router bin ich sicher?
  • War das mit dem offenen Port, den der Portscan gefunden hat, ein Zeichen für eine Gefährdung bzw. eine Aktivität meines Backdoor-Wurms oder Trojaners?
  • Und wäre es nicht auch möglich gewesen, über die Systemwiederherstellung (die ich jetzt leider deaktiviert habe) den vorherigen sicheren Zustand wieder herzustellen?
  • Wie kann ich eigentlich sicherstellen, dass die Viecher sich nicht irgendwo in meinen vorher gesicherten Anwendungsdaten verstecken und nach dem Neuaufsetzen wiederkommen?

Hilli, ratlos.

Alt 08.02.2006, 12:26   #7
hilli
 
Rechner kompromittiert? - Standard

Rechner kompromittiert?



Ach nochwas,

habe gerade ein Update meines IE versucht, aber soweit ich das erkennen kann, habe ich schon die aktuellste Version?? Finde jedenfalls bei MS nichts aktuelleres.
Mein Opera ist auf dem Notebook allerdings noch Version 6. Sollte ich das aus Sicherheitsgründen mal updaten?

Hilli.

Alt 08.02.2006, 12:33   #8
BataAlexander
> MalwareDB
 
Rechner kompromittiert? - Standard

Rechner kompromittiert?



Hallo,

zu deinem Problem mit der "WksCal.exe" gibt es hier einen Patch.

Für Deine weiteren Fragen:

Zu dem Thema Neuaufsetzten bei Backdoor Befall gibt es tatsächlich mehrere Meinungen, hier wird allerdings meistens ein Neuaufsetzten des Systems empfohlen.

Wie viele Windows Installationen hast Du jetzt auf Deinem Laptop?

Edit: Opera aktualisieren!

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 08.02.2006, 13:04   #9
hilli
 
Rechner kompromittiert? - Standard

Rechner kompromittiert?



Hallo
und danke für die schnelle Reaktion. Das mit dem Patch ging schon mal in die Hose. Aus dem Logfile (dahotfix.log):

[12:52:50]: An error occurred while setup was trying to verify the version of Microsoft Data Access Components current installed on the machine.
Either the version currently installed does not match the version of this hotfix package, or setup was unable to determine the version currently installed.

Zu den Windows-Versionen auf meinem Laptop. Das scheinen jetzt 2 zu sein, eine unter C:\Windows, die andere unter C:\Windows.0

Komischerweise wurde ich auch beim Installieren nicht auf eine schon vorhandene Version hingewiesen. Anfänglich konnte/musste ich beim Hochfahren anklicken, welche Version ich öffnen will. Die neue habe ich am leeren Desktop und anderen Hintergrundbild erkannt. Nachdem ich dann 2 x die alte ausgewählt hatte, wird die jetzt wieder automatisch beim Starten genommen. Dafür kam dann diese DAEMONische Sache mit der WksCal.exe neu dazu.

Um den Opera-Update kümmere ich mich demnächst. Sollte ich gleich die Version 8 nehmen, oder bin ich mit 7 (was ich auch auf dem großen PC habe) auf der sicheren Seite?

Hilli, immer noch ziemlich ratlos ...

PS.
Muss jetzt leider weg, schaue aber heute nacht oder morgen früh wieder rein.

Alt 08.02.2006, 17:31   #10
irrlicht
 
Rechner kompromittiert? - Standard

Rechner kompromittiert?



Hallo Hilli,
hilft der Thread dir weiter ?
http://www.trojaner-board.de/showthread.php?t=12154
Irrlicht

Alt 09.02.2006, 12:54   #11
hilli
 
Rechner kompromittiert? - Standard

Rechner kompromittiert?



Hallo,

da hatte ich schon versucht, mich durchzukämpfen, bevor ich mich hier gemeldet habe. Aber vieles ist mir einfach noch unklar, vor allem was die Rettung meiner Anwendungsdaten und Einstellungen und die Wiedereinrichtung meines Netzwerks für den Online-Zugang betrifft. Ich denke ich lasse den PC jetzt erstmal "ruhen", bis ich jemanden gefunden habe, der mir hilft, das ganze systematisch anzugehen.

Kann ich eigentlich bei deaktivierter LAN-Verbindung bis dahin wieder im normalen, nicht abgesicherten Modus arbeiten oder kann der Backdoor-Wurm auch offline Schäden anrichten?

Nach wie vor frage ich mich auch, was mit dem 2. Teil (Trojan.Win32.Agent.on) ist, das nur von escan gefunden wurde. Bei F-secure habe ich folgenden Hinweis gefunden:

F-Secure Anti-virus had a false alarm with this name in several files on 3rd of February 2006, including LOGONUI.EXE. This false alarm was fixed with update 2006-02-03_04.

Technical Details: Mikko Hypponen, February 3, 2006


Bedeutet das, dass bei mir der Fund in der LOGONUI.EXE evtl. auch ein Fehlalarm war?

Falls jemand noch Ideen für mich hat, oder noch eine meiner weiteren Fragen beantworten kann, (z.B. Opera 7 oder 8, Ausmerzen der Viecher vor dem Plattmachen und Wiederaufsetzen), bitte melden.

Danke und liebe Grüße an alle, die sich hier die Mühe machen, den Leuten in der Not zu helfen!
Hilli.

Alt 09.02.2006, 22:57   #12
Markus1234
 
Rechner kompromittiert? - Standard

Rechner kompromittiert?



du solltest den rechner "nicht laptop" auf jeden fall formatieren ... hoffnungslos kompromitiert

Antwort

Themen zu Rechner kompromittiert?
abgesicherten modus, antivir, avgnt, avgnt.exe, bho, browser, dateisystem, einstellungen, email, fehler, festplatte, hijack, hijackthis, hängt, internet, internet explorer, kaspersky, lan-verbindung, logfile, maßnahme, netzwerk, officejet, outlook express, quara, rundll, software, t-online, trojaner, usb, vielen dank, viren, virus, windows, windows xp



Ähnliche Themen: Rechner kompromittiert?


  1. WIN 7: TR/ADH.PA hat mein System kompromittiert
    Plagegeister aller Art und deren Bekämpfung - 30.06.2015 (13)
  2. TR/Crypt.ZPACK.Gen8 und seine Kumpels - Rechner kompromittiert?
    Log-Analyse und Auswertung - 03.03.2013 (23)
  3. Über 300.000 GMX-Accounts kompromittiert
    Nachrichten - 12.07.2012 (0)
  4. Windows Update kompromittiert
    Nachrichten - 05.06.2012 (0)
  5. sptd.sys kompromittiert?
    Log-Analyse und Auswertung - 26.04.2012 (4)
  6. Papas Laptop ist kompromittiert :-°
    Plagegeister aller Art und deren Bekämpfung - 04.07.2011 (7)
  7. WoW Acc. kompromittiert, Verdacht auf Trojaner
    Log-Analyse und Auswertung - 21.12.2009 (5)
  8. System kompromittiert?
    Log-Analyse und Auswertung - 10.08.2009 (16)
  9. System kompromittiert?
    Log-Analyse und Auswertung - 15.10.2008 (1)
  10. RBot? System kompromittiert?
    Log-Analyse und Auswertung - 27.12.2006 (8)
  11. System kompromittiert??
    Log-Analyse und Auswertung - 05.02.2006 (3)
  12. Ist mein System kompromittiert?
    Plagegeister aller Art und deren Bekämpfung - 09.10.2005 (4)
  13. Rechner kompromittiert???
    Log-Analyse und Auswertung - 21.07.2005 (0)
  14. PC Kompromittiert!?!?
    Log-Analyse und Auswertung - 10.06.2005 (4)
  15. System kompromittiert
    Alles rund um Windows - 14.03.2005 (1)
  16. TR/Agent.KT kompromittiert?
    Plagegeister aller Art und deren Bekämpfung - 25.02.2005 (6)
  17. Kompromittiert, was nun
    Alles rund um Windows - 11.11.2004 (1)

Zum Thema Rechner kompromittiert? - Hallo, seit vorgestern drehe ich am Rad ... Habe nach etwas längerer Zeit mal wieder einen Totalscan meines Rechners mit Antivir gemacht und prompt einen Virus an drei Stellen gefunden: - Rechner kompromittiert?...
Archiv
Du betrachtest: Rechner kompromittiert? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.