Bei der Beschreibung deiner Aktivitäten am Rechner (cracken, keygens usw.) würde ich den Rechner unter allen Umständen neuaufsetzen! Ändere danach deine Gewohnheiten oder lebe mit dem Gedanken evtl. jeden Tag unwissend bei kriminellen Aktivitäten mitzuwirken für die du haftbar bist.
Es ist nur sehr sehr schwer möglich einem aktiven Server auf die Schliche zu kommen wenn man so unkontrolliert ****** aus dem Netz installiert.
Wer weiss schon ob da nicht was ganz neues dabei ist was von keinem Scanner erkannt wird?!

Einzige Möglichkeit ist es mal über längere Zeit ohne sonstige Aktivitäten am PC Wireshark laufen zu lassen...
Aber wenn evtl. sogar ein RemoteAdmin am anderen Ende sitzt und sich wirklich Mühe gibt so wird er in dieser Zeit einfach die Finger von deinem Rechner lassen um danach munter mit seinen Aktivitäten fortzufahren..

Da du explizit um HIlfe bittest lege ich dir wirklich ans Herz den PC platt zu machen! Das verschafft dir ein sicheres Gefühl, Freude am Surfen und eine funktionierende, schnelle Maschine..

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Wenn du ganz sicher sein willst das du nicht im Botnetzt bist PC neu aufsetzten.

Zitat:

Zitat von undoreal

Einzige Möglichkeit ist es mal über längere Zeit ohne sonstige Aktivitäten am PC Wireshark laufen zu lassen...

geht meistens, aber nicht immer.

es ist möglich, dass Server "schlafen", sobald gewisse Programme gestartet werden.

Die Techniken mit denen man seinen Traffic vor einer installierten Firewall verbergen kann sollten sich (ev. leicht variiert) auch gegen Wireshark einsetzen lassen. Um da sicher vorgehen zu können braucht man schon etwas mehr Hardware: einen zweiten PC. Kann eine uralte Gurke sein, muss nur zwei Netzwerkkarten haben. Dort den Traffic durch kann man sich sicher sein alles zu sehen ohne dass der eventuelle Bot sehen kann, was man dort macht.

Vorrausgesetzt die Gurke ist sauber..

Da ein Bot aller Wahrscheinlichkeit nach verschlüsselt (SSH-Tunnel oder was auch immer) mit dem Master kommuniziert wird man leider nicht alles sehen, aber zumindest die Endpunktdaten, was aber i.d.R. auch schon reicht um im Fall der Fälle schon mal die Images raus zu suchen.

%ComSpec%

Hi Jungs:
Gute nachricht:
Mein PC läuft schneller als zuvor^^
Ich hab ne backupDVD gemacht mit allen musik & video und fotodateien, sowie Avira und sonst wichtiges.
Die festplatte is formatiert gewesen, und dann habe ich WinXP Pro SP2 darauf installiert. Allerdings hatte ich ein treiber-finde-problem, bei dem allerdings ein super freund aus ICQ geholfen hat. Jetzt sind die neuesten Updates drauf.

- Und er läuft einwandfrei -

Ich hoffe ich werde euch in nächster zeit nichtso oft besuchen müssen
Und eine riesig-fette-mischung-aus-lob-und-dank an undoreal!!

Bye. Der glückliche Mazogg

Hi

um mir den Aufwand der Datensicherung (ich müßte ca 90GB sichern, umbenennen, zu überprüfen...) zu ersparen würde ich gern wissen, ob man durch ein tool o.ä. genau erfahren kann, ob man Teil eines Botnetzes ist.

..und patchen.
du hast dir eine Patch geladen, für das Spiel was du Online spielen willst.
klar macht fast jeder..aber für das Shield bist du auch angreifbar und desswegen bringt sowas auf Dauer nichts.
würde auch Neu Aufsetzen.

Zitat:

Zitat von undoreal

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

wollte gerade mal mit dem tool den mbr checken, aber scheinbar funktioniert das ganze nicht mit einer ssd, ausserdem kann man nicht auswählen welche festplatte überprüft werden soll, ich habe neben der ssd noch 4 hdds als datenplatten und dort auch ne partition mit openSUSE..
gibts da noch ne andere möglichkeit?

mfg

hat dein PC schon (U)EFI?
Du magst auch mal auf das Datum des Threads sehen.

ok sorry is schon etwas verstaubt der thread.. :blush:
naja nein das board is so ein asus p6t se mit 1366 sockel und wohl noch eins mit so nem klassischen bios..
edit: achso und die ssd ist auch nicht am board angeschlossen, sondern an ner pci-e steckkarte von asus, weil das board nur 6 sata2 ports hat und die sind mit 4 hdds und 2 laufwerken vollgestopft.. das ding heißt u3s6.. is so ne pci-e x4 karte mit sata 3 ports und 2 usb 3.0 anschlüssen..

"is ... wohl"? Ist es oder ist es nicht?

ist es.. zu der zeit gab es glaub ich auch noch keine uefi boards, und auch noch keine festplatten < 2 tb..