Hallo,
mein Viren-Scanner (Avira Personal Free) hat heute beim Suchlauf folgende versteckte Objekte gefunden:

c:\windows\system32\twain32
c:\windows\system32\twain32\user.ds
c:\windows\system32\twain32\local.ds

Ich habe diese Objekte in die Quarantäne kopiert.

Da ich noch nie ein Problem mit versteckten Objekten hatte, habe ich mich im Netz umgeschaut, wie ich das beheben kann. Dabei bin ich auf Hijack This gestoßen. Damit habe ich mein System gescannt und das Logfile in einer Online-Auswertung auswerten lassen. Das hat mir zwar bei meinem o.g. Problem nicht weitergeholfen, hat aber dafür zumindest zwei neue aufgedeckt.
Hier das Logfile (Einträge, die die Auswertung als problematisch ansieht, sind fett):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:08:23, on 18.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\PROMon.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ixquick.com/deu/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206807220687
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://w*w.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206807937640
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - h**p://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1210505975
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game03.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - h**p://driveragent.com/files/driveragent.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Boonty Games - Unknown owner - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5341 bytes


Vorher hatte ich bereits mit Malwarebytes gescannt und die erkannten Probleme beseitigt.

Hier das Logfile:


Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1775
Windows 5.1.2600 Service Pack 3

18.02.2009 19:08:21
mbam-log-2009-02-18 (19-08-21).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 126482
Laufzeit: 2 hour(s), 7 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: c:\windows\system32\twex.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: system32\twex.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\twex.exe (Backdoor.Bot) -> Delete on reboot.


Ein weiterer Lauf von Malwarebytes hat nichts zutage gefördert.


Während der erste Malwarebytes-Scan lief, hat mir Avira weitere Malware-Meldungen gebracht:


In der Datei 'C:\System Volume Information\_restore{53DE5DAB-9533-4FC2-8E26-B8AAC64EDE5B}\RP318\A0060271.exe'
wurde ein Virus oder unerwünschtes Programm 'APPL/BoontyGames' [program] gefunden.

In der Datei 'C:\System Volume Information\_restore{53DE5DAB-9533-4FC2-8E26-B8AAC64EDE5B}\RP318\A0060236.exe'
wurde ein Virus oder unerwünschtes Programm 'GAME/Dldr.TryMedia.Gen' [game] gefunden.

In der Datei 'C:\System Volume Information\_restore{53DE5DAB-9533-4FC2-8E26-B8AAC64EDE5B}\RP318\A0060242.exe'
wurde ein Virus oder unerwünschtes Programm 'GAME/Dldr.TryMedia.Gen' [game] gefunden.

In der Datei 'C:\System Volume Information\_restore{53DE5DAB-9533-4FC2-8E26-B8AAC64EDE5B}\RP318\A0060240.exe'
wurde ein Virus oder unerwünschtes Programm 'GAME/Dldr.TryMedia.Gen' [game] gefunden.

In der Datei 'C:\System Volume Information\_restore{53DE5DAB-9533-4FC2-8E26-B8AAC64EDE5B}\RP318\A0060238.exe'
wurde ein Virus oder unerwünschtes Programm 'GAME/Dldr.TryMedia.Gen' [game] gefunden.


Ich habe alle diese Programme in die Quarantäne verschoben.

Da ich keine tieferen Kenntnisse der ganzen Materie besitze und mein PC bis gestern ohne Probleme lief, frage ich mich jetzt:

1. Hängen geschilderte Malware-Vorfälle zusammen oder sind sie getrennt zu betrachten ?

2. Kann sich jemand die Logfiles anschauen ?

3. Was braucht man noch zur Analyse bzw. Fehlerbehebung ?

Eine idiotensichere Schritt-für-Schritt-Anleitung wäre für mich das Beste.

Hoffe auf Rückmeldung ...

Gruß

P.S.: Da ich von einem Tool namens Combofix gelesen habe, habe ich mir dies schon einmal heruntergeladen. Avira hat beim Scannen jedoch mit folgender Meldung reagiert:

Die Datei 'C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a09738c.qua' verschoben!

Ist das normal ?

Hallo und

Du hast 2 Backdoorprogramme auf deinem Rechner.
Somit ist dein System nicht mehr sicher, da andere Personen Zugriff auf deinen Rechner haben.


Hier steht warum: Technische Kompromittierung - Definition und entspr. Handlung

Beachte vor allem den Abschnitt Für die Zukunft.

Anleitung: Neuaufsetzen des Systems + Absicherung

Viel Erfolg


gruß 4RobSen8

Erst einmal Vielen Dank.

Ich habe meine mir wichtigen Daten auf einen USB-Stick gezogen. Da ich keine Live-CD (Linux) besitze und auch nicht wüsste, ob ich damit zurechtkomme, habe ich dies direkt aus dem laufenden Betrieb des infizierten Systems getan. Kann das gutgehen ? Falls nicht, kann ich versuchen mir eine Ubuntu-Live-CD zu besorgen. Was ich jedoch damit anfangen sollte, ist mir ein böhmisches Dorf. Eventuell kann mir das jemand in leicht verständlichen Worten erklären.

Weiterhin habe ich mich dazu entschlossen, das System komplett neu aufzuspielen. Leider musste ich in der Anleitung dazu lesen, dass selbst beim normalen Formatieren nicht gewährleistet ist, dass alle Daten zuverlässig gelöscht werden. Was muß ich denn tun, damit meine Platte vor bzw. während der Installation wirklich jungfräulich ist bzw. wird ?

Mein Wuschzustand wäre eine unpartitionierte Fetsplatte, wie sie mal vom Band gelaufen ist. Wie gesagt: Datenverlust ist kein (primäres) Thema.

Gruß

Zitat:

Erst einmal Vielen Dank.

Bitte

Zitat:

Ich habe meine mir wichtigen Daten auf einen USB-Stick gezogen

Dann solltest du beim Rückspielen der Daten diese überprüfen, damit du dich nicht nochmal infizierst! Ich würde dir aber generell abraten diese Daten wieder auf deinen Rechner zu packen.

Zitat:

normalen Formatieren nicht gewährleistet ist, dass alle Daten zuverlässig gelöscht werden.

Das kann passieren bei ganz hartnäckigen Dingern, aber gehen wir davon mal nicht aus,-erstmal. Ausserdem gibt es keine 100% Sicherheit.

Wegen der Formatierung frage ich mal nach.

Hallo,
nur noch einmal, damit es mir klar wird:

Der Virus agiert nicht nur aus einer exe-Datei heraus, sondern kann auch meine Daten (Bilder, Open-Office-Dokumente, etc., die auf einer anderen Partition liegen) in der Weise infizieren, dass ich mir bei Zurückspielen der Daten den Dreck wieder auf den Rechner zeihe ?

Welchen Virenscanner würdest Du empfehlen, um den Stick zu überprüfen ?

Auf welche Art und Weise kann ich ein sicheres Backup dieser Daten machen ?

Wäre das über eine Live-CD ?
Ich habe mir gestern eine Ubuntu-Live-CD besorgt, um einmal zu sehen, was mich dabei erwartet. Die CD lief auch prima an, färbte den Bildschirm in diesem Ubuntu-Beige und lief und lief, stoppte und nichts passierte. Der Mauszeiger ließ sich nicht mehr bewegen (ging während die CD lief) und das Laufwerk ließ sich auch nicht mehr öffnen. Schade.
Kann es sein, dass die Hardware-Vorraussetzungen (die ich nicht kenne) für meinen Rechner (Intel Pentium IV, 2.4 MHz, 256 MB Ram) zu hoch sind ? Das Ubuntu war die Version 8.10 Alpha 3 (aus einer com!-Ausgabe) und ist laut begleitendem Bericht nicht für den produktiven Einsatz geeignet (was ich auch nicht vorhatte), ließe sich aber risikolos ausprobieren.

Hört sich alles nach schlechten Vorraussetzungen an (magerer Rechner, seltsames Ubuntu, User scheint keine Ahnung zu haben, verfällt in Aktionismus) ist aber nicht zu ändern.

Würde mich weiterhin über Empfehlungen freuen. Bis hierhin wieder Vielen Dank und Gruß.

So,
folgendes habe ich jetzt durchgeführt:

1. XP neu installiert, vorher gesamte Platte formatiert (NTFS, fabrikneu wie es heißt).
2. SP1-SP3, Avira und Firefox offline installiert
3. fehlende Updates nachgefahren

Theoretisch müsste bis hierhin alles sauber sein.

Hier noch aktuelle Logfiles:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1794
Windows 5.1.2600 Service Pack 3

22.02.2009 22:34:31
mbam-log-2009-02-22 (22-34-30).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 97137
Laufzeit: 17 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:50, on 22.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1235294796778
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1235294931341
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 3332 bytes


Leider habe noch keine Antwort auf die Frage, ob nach dem Formatieren während der Installation noch irgendwelche Rückstände auf der Platte sein können.

Falls jemand ein Tool kennt, mit dem man eine Platte richtig sauber bekommt, würde ich mich über einen Beitrag sehr freuen.

Abschließende Fragen:

1. An der Fritzbox, über die ich via LAN-Verbindung ins Netz gehe, hängt noch ein anderer PC. Es ist aber kein lokales Netzwerk eingerichtet. Ist es möglich, dass dieser PC auch betroffen ist ?

2. Gibt es empfehlenswerte Alternativen zur Windows-Firewall ? Die soll ja nicht so gut sein.

3. Gibt es empfehlenswerte Scanner, die auf Malware und Rootkits spezialisiert sind ?

Gruß

Hallo noch einmal,
kann mir jemand sagen, ob es ein sehr schlankes Live-Linux gibt, mit dem ich über einen Shell-Befehl die Platte löschen kann ? Was ist mit Knoppicillin.

Das Neuaufsetzen meines Systems sah bisher folgendermaßen aus:

1. Einlegen einer XP-Installations-CD (geliehen), um bestehende Partitionen zu löschen und die danach neu angelegte Partition zu formatieren. Das ist m.M. nach notwendig, da meine Installations-CD's nur so IBM-Recovery-CD's sind, die XP in die bestehende Systempartition installieren (und vorher mit FAT32 formatieren).
2. Abbruch des Installationsvorgangs bei Eingabe des Aktivierungsschlüssels.
3. Installieren von XP mittels o.a. Recovery-CD's.
4. Konvertieren von FAT32 in NTFS

Offline Einspielen von SP1-SP3.

Da ich mir immer noch nicht sicher bin, ob damit (für's Erste) alles erledigt ist, frage ich halt nach einem Linux, das ich auf meinem Rechner zum Laufen kriege. Bisherige Versuche mit verschieden Ubuntu-Versionen (7.10 und 8.10) schlugen fehl. Es muß auch kein Linux sein. Irgendetwas, was per CD-Start die Platte löscht.

Bei meinem wie o.a. aufgesetzten System bricht AntiVir den Rootkit-Suchlauf nach 77.1 Prozent ab und rät zu einem System-Scan. Ich bin mir sicher über dieses Problem auch hier im Forum schon etwas gelesen zu haben, finde es aber nicht mehr.

Ein kleiner Hinweis, was ich mit meinen Beiträgen falsch mache bzw. warum sie nicht beantwortet werden, wäre nett. Ich habe versucht mich an die Regeln zu halten, werde jedoch den Verdacht nicht los, dass hier der Nebensatz "kann und wird dir hier keiner helfen" zur Anwendung kommt.

Gruß

Hi,

wenn du ein sehr schlankes Linux als Live-CD benutzt willst,würd ich DamnSmallLinux empfehlen.

wenn du wirklich nur deine Platte formatieren willst, dann würd ich Darik's Boot and Nuke empfehlen.

Was sagt der SystemScan von Avira?

Hallo,
freue mich sehr über die schnelle Antwort.

Ich habe mein System gerade eben noch einmal gescannt, um aktuell zu sein. Hier der Report:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 25. Februar 2009 13:48

Es wird nach 1265297 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: IBM-UNHBJX6HZ43

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 24.02.2009 18:55:43
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 18:55:47
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:55:48
ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 18:55:48
ANTIVIR3.VDF : 7.1.2.78 104960 Bytes 25.02.2009 09:59:25
Engineversion : 8.2.0.88
AEVDF.DLL : 8.1.1.0 106868 Bytes 24.02.2009 18:55:51
AESCRIPT.DLL : 8.1.1.52 348538 Bytes 24.02.2009 18:55:51
AESCN.DLL : 8.1.1.7 127347 Bytes 24.02.2009 18:55:51
AERDL.DLL : 8.1.1.3 438645 Bytes 24.02.2009 18:55:51
AEPACK.DLL : 8.1.3.8 397684 Bytes 24.02.2009 18:55:50
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 24.02.2009 18:55:50
AEHEUR.DLL : 8.1.0.97 1610103 Bytes 24.02.2009 18:55:50
AEHELP.DLL : 8.1.2.0 119159 Bytes 24.02.2009 18:55:49
AEGEN.DLL : 8.1.1.21 336244 Bytes 24.02.2009 18:55:49
AEEMU.DLL : 8.1.0.9 393588 Bytes 24.02.2009 18:55:49
AECORE.DLL : 8.1.6.6 176501 Bytes 24.02.2009 18:55:49
AEBB.DLL : 8.1.0.3 53618 Bytes 24.02.2009 18:55:49
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 24.02.2009 18:55:49
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 25. Februar 2009 13:48

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '35923' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '23' Prozesse mit '23' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '45' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <IBM_PRELOAD>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 25. Februar 2009 14:10
Benötigte Zeit: 21:40 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

2473 Verzeichnisse wurden überprüft
141496 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
141494 Dateien ohne Befall
7268 Archive wurden durchsucht
2 Warnungen
0 Hinweise
35923 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Gruß

Deine beiden Links lesen sich sehr gut. Vielen Dank dafür. Ich denke, dass für mich DBAN besser geeignet sein dürfte, da ich bei Linux nur einmal den Befehl dd if /dev/zero of=/dev/hda aufgeschnappt habe, wo jedoch ausdrücklich dabei stand, man müsse wissen, was man da tut. Das eben wüsste ich nicht.

Hast Du Erfahrungen mit DBAN ? Löscht es auch tatsächlich alles, was mir Ärger bereiten könnte (laut Link, ja) ?

Es wäre auch klasse, wenn Du auf meine anderen Fragen, die noch offen sind, Antworten hättest.

Noch einmal Vielen Dank !

Hi,

ein kleiner Ausflug zu dd if /dev/zero of=/dev/hda und was daran ungut ist. (allerdings auf englisch)

Zitat:

35923 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Der Rootkitsuchlauf in Avira scheint ja durchgelaufen zu sein? Oder gab es da auch ne Fehlermeldung.
Zu deinen Fragen.

• Zitat:

  Hast Du Erfahrungen mit DBAN ? Löscht es auch tatsächlich alles, was mir Ärger bereiten könnte (laut Link, ja) ?
  

  DBAN hab ich auf meinem eigenen Rechner noch nicht angewendet (ich formatier so selten. ), habe es allerdings schon benutzt und es hält eigentlich was es verspricht.
  In der Regel wird durch eine Formatierung alles gelöscht, wobei alles eine Definitionsfrage ist. Eine Standardformatierung löscht den Content der Platte, aber nicht den MBR oder die Partitionierung. Vom Hersteller der jeweiligen Platten gibt es dann programme, die die gesamte Platte überschreiben. Im letzten Jahr gab es allerdings eine Infektion die den MBR befallen hat, und die dadurch eine "standard" formatierung überleben konnte. Mit diesem Tool kannst du testen ob das bei dir der Fall ist/war. Bei einer Neupartitionierung wird aber häufig auch der MBR neugeschrieben, sodass bei dir jetzt alles in Orndung sein sollte.
  
• Zitat:

  Welchen Virenscanner würdest Du empfehlen, um den Stick zu überprüfen ?
  
  Auf welche Art und Weise kann ich ein sicheres Backup dieser Daten machen ?

  Die Malware die du hast, ist nicht unbekannt, das Scannen kannst du einfach mit deinem neuen Antivirenscanner vornehmen, wichtig dabei ist nur, dass du das ganze von einem sauberen System aus scannst, damit man sichergehen kann, dass die Malware deinen Scanner nicht manipuliert hat.
  Eine Live-CD wäre insofern sinnvoll, als dass dein Befall sich dann nicht auf dem USB-Stick verewigen kann um andere Rechner zu infizieren. Aber auch hier gilt in den meisten Fällen: Wenn du den Stick vorm öffnen mit deinem Scanner überprüfst sollte der Befall gefunden werden.
  
  
• Zitat:

  1. An der Fritzbox, über die ich via LAN-Verbindung ins Netz gehe, hängt noch ein anderer PC. Es ist aber kein lokales Netzwerk eingerichtet. Ist es möglich, dass dieser PC auch betroffen ist ?

  Es könnte sein, dass der andere Rechner ebenfalls befallen ist. Du weißt, dass MBAM den Befall findet, insofern würd ich den Rechner einfach auch mal mit MBAM durchchecken, wenn dieses nichts findet, ist es wahrscheinlich, dass zumindest nicht derselbe Bösewicht auf dem Rechner sit.
• Zitat:

  2. Gibt es empfehlenswerte Alternativen zur Windows-Firewall ? Die soll ja nicht so gut sein.

  Die Windows Firewall ist an sich schon gut, sie lässt von außen nichts rein. Die Frage ist jedoch was man will: Die Windows Firewall bietet praktisch keine Kontrolle bei ausgehendem Verkehr, was von einem sicherheitsrelevanten Standpunkt aus, auch egal ist: Wenn der Rechner infiziert ist, findet er in der Regel auch ein weg rauszutelephonieren.
  Jede Firewall kann umgangen werden.
• Zitat:

  3. Gibt es empfehlenswerte Scanner, die auf Malware und Rootkits spezialisiert sind ?

  Ich finde Malwarebytes ist für diese Art von Aufgaben wie geschaffen Würde ich auch empfehlen. Allerdings gibt es in der freien Version keine real-time-protection und keine geplanten Suchläufe, da müsste man selber dran denken.

Wenn noch mehr fragen offen sind, bitte diese nochmal posten, damit ich sie sehe.
lg myrtille

Hallo,

vielen Dank für die ausführliche Hilfe.

Der Suchlauf meines Virenscanners war durchgelaufen, insofern scheint ja tatsächlich alles o.k. zu sein.

Der Exkurs zu dem Linux-Befehl war auch informativ und hat das enthüllt, was ich mir schon gedacht hatte: ICH sollte die Finger davon lassen. Obwohl das Schreiben von Nullen auf die ganze Platte schon dem entspricht, was ich mir unter "plattmachen" vorstelle.

Das Tool, das Du mir empfohlen hast, um zu überprüfen, ob mein MBR befallen ist, hat folgende Logdatei ausgeworfen:

Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://w*w.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Sieht gut aus, oder. Das mit dem MBR war auch meine größte Sorge, weil ansonsten trotz des umständlichen Weges mehrere Formatierungen und auch Partitionierungen stattgefunden haben. Vielleicht lasse ich aber zur Sicherheit noch einmal das DBAN laufen und installiere noch einmal neu.

Die Frage zu dem anderen PC an der FritzBox ist nicht aus gegebenem Verdacht oder Anlaß heraus gestellt, sondern nur ob es theoretisch möglich ist über diese Verbindung zu infizieren. Aber auch hier zu scannen ist grundsätzlich nicht dumm.

So, jetzt noch mal zum USB-Stick:

Die Daten auf dem Stick sind aus meinem damals noch infizierten System heraus gesichert worden. Das heißt doch, dass auch wenn ich aus einem Live-System heraus gesichert hätte, wären die Daten (evtl.) infiziert, oder ?

Du schreibst, ich sollte den Stick vor dem Öffnen scannen. Blöde Frage: Wann ist vor dem Öffnen ? Wenn ich einstecke oder bevor ich eine Datei öffne ? Gibt es da auch AutoPlay und wenn ja, was dann ?

Die Daten, die für mich auf dem Stick wichtig sind, sind OpenOffice-Write und -Calc Dokumente, eine Outlook-Sicherungsdatei und eine Outlook-Archivierungsdatei, sowie jede Menge Bilder.

Oder hat die Infizierung des Sticks (wenn er's denn ist) gar nichts mit Dateien und Dateitypen zu tun ?

Da ist mir noch einiges unklar.

Hi,
so, da war ich mir eigentlich sicher, dass mein System sauber sein müsste, da ich, wie bereits beschrieben mehrfach formatiert hatte.

Ich wollte dann gestern nur zur Sicherheit noch einmal Malwarebytes laufen lassen, welches ich noch nicht installiert hatte. Also bin ich über den Link aus den Anleitungen des Forums zur Download-Site gegangen, klicke auf <Download> und auf einmal schließen sich alle Browser-Fenster.

Ein zweiter Versuch war dann erfolgreich. Der Scan hat, nachdem der Update der Definitionsdateien gemacht wurde, nichts gefunden. Aber irgendetwas stimmt doch da nicht, oder ?

Wie tief kann sich die Malware, die ich mir eingefangen habe, denn eingenistet haben ?

Ist da vielleicht auch das BIOS betroffen ? Kann sein, dass diese Frage blödsinnig ist, ich weiß mir da eben nur keinen Reim drauf zu machen, da ich außer dem Trojaner-Board, Microsoft-Update, HiJack This und Malwarebytes keine Seiten besucht habe, was für mich heißt: Das Zeug ist noch auf der Platte und nicht neu drauf gekommen.

Ich mache jetzt einen Versuch mit DBAN.

Gruß

Hi,

ja der MBR sieht gut aus, war aber auch fast zu erwarten. Die meisten Antivirenscanner erkennen eine Veränderung des MBR mittlerweile, auch wenn sie es nicht reparieren können.

Zu dem anderen Rechner: Theoretisch ist das möglich ja.
Es gibt zb die Möglichkeit, dass ihr gemeinsam freigegebene Ordner nutzt, über die sich sowas verbreitet, oder das dein infizierter Rechner versucht hat über nichtgepatchte Sicherheitslücken in deinen Zweitrechner einzudringen. Manchmal überträgt man ja auch Dateien von einem Rechner zum anderen, eventuell hast du deinen Rechner ja sogar auf die gleiche Weise infiziert wie du deinen Laptop auch infiziert hast.
Deswegen wäre eine einfache Kontrolle gut.

Zu deinem USB-Stick:
Beides ist möglich, zum einen dass du infizierte Dateien übeträgst, zum anderen das der Stick infiziert wird.

Ersteres ist in deinem Fall wahrscheinlich kein Problem: Diese Warnung gilt generell eher für ausführbare Dateien wie etwa Dateiendungen wie exe, scr, com, etc...
Die Malware hängt an die ausführbaren Dateien ihren eigenen Code an. Wenn die Dateien einmal infiziert sind hilft natürlich auch keine Live-CD mehr, die Dateien auf dem USB-Stick sind infiziert.
Die Malware die auf deinem Rechner gefunden wurde, tut sowas allerdings eigentlich nicht. Das war mehr eine Sicherheitsvorkehrung falls ein Befall übersehen wurde.

Im zweiten Fall beobachtet die aktive Malware alle hinzugefügten Medien und versucht dort eine autorun.inf und weitere Dateien abzulegen, um damit weitere Rechner zu befallen.
Wenn die Malware nicht aktiv ist, kann sie auch nicht die externen Medien überwachen und sich auf ihnen einschreiben. Daher kann man sie durch eine Live-CD ausgehebelt werden.

Normalerweise werden derartige Dropper vom Guard deines Antivirenscanner beim Einstecken des Sticks erkannt und geblockt.

Wenn du verhindern willst, dass eine evtl vorhandene autorun.inf beim Einstecken ausgeführt wird, dann halte beim Einstecken des Sticks die Shift-Taste gedrückt halten. Dann im Arbeitsplatz per Rechtsklick "mit Antivir überprüfen" den USB-Stick scannen lassen bevor du dir den Inhalt des Sticks anzeigen lässt.
Wenn du ganz ganz ganz besonders sicher sein willst, dann boote von einer Linux-Live-CD und lösche die eventuell vorhandene autorun.inf.

lg myrtille

Das geht ja sehr schnell mit den Antworten. Prima.

Jetzt habe ich mal eine Frage zu DBAN:

Ich habe mir das Programm heruntergeladen. Jetzt muss ich noch schnell nach 'nem Brennprogramm suchen.

Was muß ich denn für Brennoptionen (oder einstellungen, wie auch immer) angeben, damit von der erstellten CD gebootet wird (hab' noch nie eine CD gebrannt) ?

Was sagst Du übrigens zu meinem letzten Post (Browserfenster schließt sich bei Download-Versuch) ? Ist schon merkwürdig, oder ?

Zum evtl. infizierten Zweitrechner noch einmal:
Wie gesagt, das einzige, was sie gemeinsam haben, ist, dass beide über eine FritzBox (einmal über LAN-Kabel, einmal über USB-Kabel) ins Internet gehen. Kein eingerichtetes Netzwerk.

LG

Oh man, da hab ich wohl vergessen den Beitrag abzuschicken. Also nochmal:
Deinen 2. Beitrag hatte ich noch gar nicht gesehen, als ich geantwortet hab.

Also auch ein normales Programm kann man abstürzen, es muss nicht unbedingt Malware dahinterstecken. Wenn du Malwarebytes installieren kannst ohne dass es probleme gab und der Browser auch nur einmal abgestürzt ist, würde ich mir da keine großen sorgen machen.


Wenn du DBAN als ISO-Datei geladen hast, dann sollte das Bild bootfähig sein. Dann musst du nur noch sicherstellen, dass du die ISO-Datei auch als solche brennst und nicht als Daten-CD hier sind einige Anleitungen, aber ich weiß nicht welche Programme du hast? Link

Was deinen 2. Rechner angeht: Die Möglichkeit eines Befalls kann nicht ausgeschlossen werden, aber sie erscheint recht unwahrscheinlich.
Wie ich vorher schonmal schrieb, könntest du dich zb über eine Email oder eine ausgeführte Datei infiziert haben, die du auf beiden Rechnern aufgerufen hast.

lg myrtille