Zitat:

Zitat von Mr. Orange

Zweitens:
Der Masterplan für den nationalen Notstand:
(Ich werds SO mal angehen, falls es von Eurer Seite aus keine erheblichen Bedenken darüber geben sollte.)

Ich werde Norton Internet Security wieder installieren, das ich vor nem ungefähren Monat mit großem Aufwand runtergeschmissen hab. Damit will ich sämtliche Dateien nochmal durchscannen lassen; insbesondere die Dateien, die ich auf Datenträger festhalten und für das neue System wieder einsetzen will. Also z. B. Treibersetup's, Updates und dergleichen.

Das ist ein Nogo!

(Ich mach hier mal wieder worstcasescenario , muss nicht so sein, aber beweisen, dass es nicht so ist kann auch keiner)

Bitte alle ausführbaren Dateien neuinstallieren, entweder von CDs aus oder nach dem Neuaufsetzen ausm Internet runterladen. Kein Antivirenprogramm findet alles und ein besserer Trojaner kann jedes Antivirenprogramm so manipulieren, dass er nicht gefunden wird, daher wäre es auch eher sinnvoll die Daten zu prüfen bevor du sie vom Stick auf den neugemachten Rechner spielst. Dann weißt du zumindest schonmal, dass keiner dein AVP manipuliert.
Also nur Dateien sichern, die nicht ausführbar sind (Musik, Photos, Dokumente etc).
SP2 unbedingt vorher auf nem sauberen Rechner runterladen und per CD/USB/wasauchimmer auf den neugemachten Rechner einspielen bevor (!) du ins Internet gehst. (Feldversuche ergeben sonst Infektionszeiten von 10 Sekunden-4 Minuten bis sich ein Wurm durch ein Schwachstelle in dein System gewunden hat)

Zitat:

Ebenso möchte ich alle Partitionen (außer der Systempartition) auf Malware checken lassen, und dann entscheiden, was formatiert werden soll/muss und was nicht.
Wenn ich alles nötige gemacht habe, ist C: dran.

Kannst du machen. Am sichersten ist natürlich immer alles platt zu machen. Bei dir liegt allerdings kein konkreter Verdacht auf Befall außerhalb der Systemplatte vor, daher ist es dir überlassen.

Zitat:

Aber noch ein paar Fragen zu Formatieren & IP-Adresse (bzw. Identität des PC's im Netz):
-Wenn ich das System neu aufgesetzt habe, ist dann auch wirklich gewährleistet, dass absolut & ausnahmslos ALLES, was irgendwie vorher meinen PC in welcher Weise auch immer betroffen hat, hinterher weg ist bzw. keinen Einfluss mehr nimmt?

Wenn du dich an die Anleitung (wurde die schon verlinkt? Ansonstne schau mal in die FAq-Abteilung des Forums) hälst, stehen deine Chancen sehr gut, dass du sauber bist. Alles was außerhalb deines Rechners an Infos über dich gesammelt wurde (seien es nun deine Onlinebankingdaten oder deine Akte bei der Internetpolizei) bleibt natürlich bestehen. Daher hat dir nochdigger auch empfohlen die Passwörter nachm Neuaufsetzen zu ändern.

Zitat:

-Ist es so, dass durch das löschen/entfernen der Dateien auch die Malware weg ist oder hinterlassen die vielleicht für genau solche "Endlösungen" wie das Formatieren irgendwelche Einträge, Signaturen oder sonst was, das eventuell hinterher wieder bewirkt, dass irgendwelche Backdoors geöffnet werden?
(Also das quasi rein garnichts mehr auf diesen PC mit dieser IP zurückverfolgbar ist)

Es gibt theoretische Modelle in denen es Trojaner gibt die ein Formatieren der Festplatte überleben. In freier Wildbahn gibt es die aber mE noch nicht.
Beim Formatieren wird die gesamte Platte (mehrfach) vollgeschrieben und dadurch alles was vorher drauf war überschrieben. Damit hast du auch die unbekannte Datei, in der dein Backdoor steckt erwischt.
(Das eigentliche Problem bei Backdoors ist nicht, dass man sie nicht entfernen kann, sondern dass man nicht weiß wo sie sich befinden. Sobald ein Mensch Zugang zu deinem Rechner hatte kann die Datei überall sein und einen beliebigen Namen tragen. Man kann also nicht mehr sagen "Der Trojaner erzeugt folgende Dateien und die muss man entfernen")

Zitat:

-Wird die IP durch ein Formatieren automatisch geändert oder muss ich das nach der Neuinstallation des Systems manuell konfigurieren?

Wenn du nicht sehr viel Geld zahlst, hast du eh eine dynamische IP, die regelmäßig wechselt. Welche IP von welchem Benutzer wann genutzt wurde weiß nur der Provider und gibt das auch nur auf richterliche Anordnung weiter.

Zitat:

-Und sonst, alles, was je mit meinem PC in Verbindung stand, ist das dann alles abgebrochen oder bestehen immer noch gewisse "Connections" zu diesem PC?

Die Verbindung kam ja Zustande weil jemand von deinem Rechner aus die Verbindung hergestellt hat. Setzt du neu auf, hast du das Programm, das die Verbindung hergestellt hat nicht mehr aufm Rechner und bist vorerst einmal fein raus.

lg myrtille, die nicht ganz sicher ist alle Fragen richtig verstanden zuhaben. Wenn dem so ist einfach nocmal melden.

Zitat:

Zitat von myrtille

SP2 unbedingt vorher auf nem sauberen Rechner runterladen

Das Service Pack 2 geht bei mir direkt über die WinXP CD mit der Installation drauf.

Zitat:

Zitat von myrtille

(Feldversuche ergeben sonst Infektionszeiten von 10 Sekunden-4 Minuten bis sich ein Wurm durch ein Schwachstelle in dein System gewunden hat)

Was sind Feldversuche? Und in welchem Zusammenhang steht das zu einer Installation?

Zitat:

Zitat von myrtille

Kannst du machen. Am sichersten ist natürlich immer alles platt zu machen. Bei dir liegt allerdings kein konkreter Verdacht auf Befall außerhalb der Systemplatte vor, daher ist es dir überlassen.

Ich mach alles platt.

Zitat:

Zitat von myrtille

Wenn du dich an die Anleitung (wurde die schon verlinkt?

Jap, ist bereits geschehen

Zitat:

Zitat von myrtille

Onlinebankingdaten

Hab ich nichts groß, außer Amazon & eBay

Zitat:

Zitat von myrtille

Akte bei der Internetpolizei

O gott...
Was geht da vor sich? Bzw. was machen die? Was muss passieren, das man von denen "erfasst" wird, in welcher Hinsicht auch immer?
Was muss passieren, damit die mal "aufn Bierchen" vorbeischauen?

Zitat:

Zitat von myrtille

dynamische IP

Wie kann man das einrichten?
Gibts das auch umsonst?

Zitat:

Zitat von myrtille

Die Verbindung kam ja Zustande weil jemand von deinem Rechner aus die Verbindung hergestellt hat.

Heisst das, dass ich (im klassischen Sinne) "gehackt" worden bin?

---
Madame hat übrigens alles richtig verstanden.

Besten Dank für Deine Ausführungen!

Ach ja, und, muss man unbedingt neu partitionieren?

Zitat:

Zitat von Mr. Orange

Was sind Feldversuche? Und in welchem Zusammenhang steht das zu einer Installation?

Das sind Leute die zuviel Zeit haben, sich also einfach mal Windows ohne Service Packs installiert haben und damit ins Netz gegangen sind. Ich glaub Sunny war mit von der Party und glamatus?
Nähreres gibts hier nachzulesen: 4 min

Zitat:

Hab ich nichts groß, außer Amazon & eBay

Auch dort lässt sich viel Geld machen, wenn die Jungs deine Tasteneingaben gespeichert haben.

Zitat:

Was geht da vor sich? Bzw. was machen die? Was muss passieren, das man von denen "erfasst" wird, in welcher Hinsicht auch immer?
Was muss passieren, damit die mal "aufn Bierchen" vorbeischauen?

Wie gesagt "worstcase", das bezieht sich mehr auf den Fall, dass du als Mitglied eines Botnetzes oder als Vertreiber von illegalen Daten bereits aufgefallen bist und Ermittlungen gegen dich im Gange sind. Ist sehr bis beliebig unwahrscheinlich.

Zitat:

Zitat von wegen dynamischer IP

Wie kann man das einrichten?
Gibts das auch umsonst?

Wie gesagt es kostet ne ganz Menge Geld, wenn du das nicht haben willst. Also ja, es ist eingerichtet und ja es ist sozusagen umsonst, bzw kommt mit deiner Internetverbindung mit.

Zitat:

Heisst das, dass ich (im klassischen Sinne) "gehackt" worden bin?

Das hängt davon ab, was du unter "gehackt" verstehst.

Im Endeffekt hast du das Programm installiert und somit auch gestartet (oder ein weiterer Benutzer deines Rechners), somit brauchtest du gar nicht mehr "gehackt" werden, es musste nur noch eine Möglichkeit gefunden werden unbemerkt rauszukommen. "Hacker" versuchen unbemerkt reinzukommen.

EDIT:
Hab ich mal wieder partitionieren geschrieben und formatieren gemeint, oder wieso fragst du?
Nein du musst nicht unbedingt neu partitionieren.

Hey

Die Neuaufsetzung des Systems ist weitgehend problemlos abgelaufen.
Ich hab mit dem AntiVir Premium allerdings auf C: im Logfile einige "warnungen" angezeigt bekommen. Also keine Detections, sondern Warnungen, unter denen Dateinamen verzeichnet waren, die vom Virenprogramm während des Scans nicht geöffnet werden konnten.

Ist das besorgniserregend?


Nochmals besten Dank für eure Administration.

Hi, was für Warnungen sind das denn genau?

Wenn es sich um pagefile.sys, hyberfil.sys etc handelt, dann sind das Windowsdateien.
Das sind mE Auslagerungsdateien (?), wobei die hyberfil.sys zb für die Speicherungen beim Ruhezustand zuständig ist.

Lg myrtille

Soweit ich mich erinnern kann, waren das Dateien aus dem Windows und dem system32 Ordner, in denen bestimmte Files nicht geöffnet werden konnten.
Wenn ich das DHCP-Problem an meinem obigen Rechner gelöst habe und wieder ins Netz kann, poste ich mal das Logfile hier rein.

so sieht z:B. das letzte LOG vom Scan aus:

Report file date: Freitag, 27. Juli 2007 16:36


Jobname: 'Manual Selection'

Scanning for 310422 virus strains and unwanted programs.

Licensed to: ************
Serialnumber: **********
Platform: Windows XP
Windowsversion: (Service Pack 2)
Username: ******
Computername: ******

Versioninformations:
AVSCAN.EXE : 7.0.0.21 528424 31.01.2006 09:54:48
AVSCAN.DLL : 7.0.0.21 42536 31.01.2006 09:54:48
LUKE.DLL : 7.0.0.21 114728 31.01.2006 09:54:48
LUKERES.DLL : 7.0.0.21 27688 31.01.2006 09:54:48
ANTIVIR0.VDF : 6.32.0.60 4323840 06.12.2005 09:47:34
ANTIVIR1.VDF : 6.33.0.207 1160192 09.02.2006 14:53:42
ANTIVIR2.VDF : 6.33.0.220 50688 09.02.2006 14:53:42
ANTIVIR3.VDF : 6.33.0.224 7168 09.02.2006 14:53:42
AVEWIN32.DLL : 6.33.0.34 1044992 02.02.2006 09:21:04
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 11:06:02
AVREP.DLL : 6.33.0.201 2363432 08.02.2006 08:19:50
AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 08:03:38
AVREG.DLL : 6.31.0.90 27688 28.07.2005 09:06:36
NETNT.DLL : 6.32.0.0 6696 27.09.2005 06:56:50
NETNW.DLL : 6.32.0.0 9768 27.09.2005 06:56:50


Start of the scan: Freitag, 27. Juli 2007 16:36


Start scanning boot sectors:

Boot sector 'C:'
[NOTE] No virus was found!

Starting to scan the registry.

The registry was scanned ( 70 files ).


Starting the file scan:

C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\Anwendungsdaten\ICQ\Application.mdb
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\Anwendungsdaten\ICQ\********\Messages.mdb
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\Anwendungsdaten\ICQ\********\Owner.mdb
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\xre9m8i6.default\parent.lock
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\JETD3AC.tmp
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\SoftwareDistribution\EventCache\{83D3D784-61C7-4E8D-B525-5B02221A84CB}.bin
[WARNING] The file could not be opened!
C:\WINDOWS\system32\CatRoot2\edb.log
[WARNING] The file could not be opened!
C:\WINDOWS\system32\CatRoot2\tmp.edb
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\default
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\default.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SAM
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SAM.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SECURITY
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\software
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\software.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\system
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\system.LOG
[WARNING] The file could not be opened!


End of the scan: Freitag, 27. Juli 2007 16:48
Used time: 11:59 min

The scan has been done completely.

4193 Scanning directories
134172 Files were scanned
0 viruses and/or unwanted programs was found
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1367 Archives were scanned
62 Warnings
1 Notes

irgendwas, was da nicht stehen sollte??