Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Neu aufgesetzt, formatiert etc.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.08.2009, 18:22   #1
Oliver28
 
Neu aufgesetzt, formatiert etc. - Standard

Neu aufgesetzt, formatiert etc.



Halöle,

Heute früh hatte ich noch einen Backdoor Virus auf meinem PC :-(

Hab ihn heute neu aufgesetzt:

Alle Partitionen formatiert, Windows mit der Orginal CD neu aufgesetzt. Vor dem Online gehen, AVAST installiert. Dann SP3 gezogen..

So, nun möchte ich wissen, ob der Virus immernoch auf dem PC sein kann.

Anti maleware und AVAST haben nichts gefunden.

Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:22:09, on 23.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\SweetIM\Messenger\SweetIM.exe
C:\WINDOWS\system32\ctfmon.exe
D:\programme\steam\steam.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICCE.EXE
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus D120 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICCE.EXE /FU "C:\WINDOWS\TEMP\E_SE3.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5335 bytes
         
Es könnte eigentlich nicht mehr möglich sein, dass der Virus noch oben ist, oder?


Oliver

Alt 24.08.2009, 00:22   #2
undoreal
/// AVZ-Toolkit Guru
 
Neu aufgesetzt, formatiert etc. - Standard

Neu aufgesetzt, formatiert etc.



Ich sage dir das jetzt weil du explizit danach fragst:

Es könnte rein theoretisch sein, dass sich der Schädling im MBR eingeschrieben hat. Es ist aber relativ unwahrscheinlich das es dann auch noch einer von denen war die keine Datei auf der Festplatte benötigen um ihre Arbeit zu verrichten.

Wenn du ganz sicher gehen möchtest dann musst du so neuaufsetzen:

Bereinigung nach einer Kompromitierung


Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen!

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record reparieren:


XP:

Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn du dazu aufgefordert wirst, wähle die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil des Setups startet, wähle die Option zum Reparieren oder Wiederherstellen, indem du die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangst du zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gibst du 'exit' ein.


Einen Personal Computer neuaufsetzen:

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies über eine LiveCD und nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!


Danach ist der Rechner garantiert sauber.
__________________

__________________

Alt 24.08.2009, 09:15   #3
Oliver28
 
Neu aufgesetzt, formatiert etc. - Standard

Neu aufgesetzt, formatiert etc.



Zitat:
Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn du dazu aufgefordert wirst, wähle die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil des Setups startet, wähle die Option zum Reparieren oder Wiederherstellen, indem du die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangst du zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gibst du 'exit' ein.
Ok, muss ich dazu nochmal neu installieren oder kann ich das jetzt so machen, ohne dass Daten verloren gehen?

Und ja, die PW's hab ich alle geändert.
__________________

Alt 24.08.2009, 09:31   #4
undoreal
/// AVZ-Toolkit Guru
 
Neu aufgesetzt, formatiert etc. - Standard

Neu aufgesetzt, formatiert etc.



Dafür müsstest du neuinstallieren.

Da die Wahrscheinlichkeit sehr gering ist kannst du dir überlegen ob du das tun willst oder alles so lässt wie es jetzt ist...

Ich gebe hir nochmal ein paar Sachen an die Hand damit der Rechner sauber bleibt:
  • Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda AV, a-squared oder avast free. Tipp: Häufig gibt es die Programme billiger als auf der Hersteller-Homepage. Zum Beispiel bei Amazon.de.
    Internet Security Suiten oder gar TotalCare Produkte haben keinerlei Mehrwert!
    Sehr empfehlen kann ich PrevX!
    Mit einem kostenlosen Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
    .
  • Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
    .
  • Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
    .
  • Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
    .
  • Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
    .
  • Das aktuelle ServicePack sollte installiert sein:.
  • Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
    .
  • Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
    .
  • Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Der Windows Autorun sollte unbedingt deaktiviert werden!
    .
  • Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodo o.ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Weitere Infos
    .
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
    • Sicherheit: -> höchste Stufe
      Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
      und Installation von Desktopobj. -> "Bestätigen".
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
    .
  • Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Cracks, Keygens und gecrackte Software sind fast immer verseucht! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
    .
    Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

http://www.trojaner-board.de/71631-p...samer-tun.html

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 24.08.2009, 09:35   #5
Oliver28
 
Neu aufgesetzt, formatiert etc. - Standard

Neu aufgesetzt, formatiert etc.



Ok, danke. Kann man irgendwie feststellen ob der Virus im MBR ist? Was sind die Anzeichen?

Kann man das jetzt schon feststellen oder muss ich noch abwarten, ach, ich kann den Namen des Virus mitteilen.

C:/Programme/Windows/system32/win321/bre4k.exe

Da war er vorher drauf, da hat ihn Avast gemeldet.


Alt 24.08.2009, 09:57   #6
undoreal
/// AVZ-Toolkit Guru
 
Neu aufgesetzt, formatiert etc. - Standard

Neu aufgesetzt, formatiert etc.



Zu dem Dateinamen finde ich nichts.

Du kannst hier mit suchen:

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!
__________________
--> Neu aufgesetzt, formatiert etc.

Alt 24.08.2009, 10:27   #7
Oliver28
 
Neu aufgesetzt, formatiert etc. - Standard

Neu aufgesetzt, formatiert etc.



Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Bei mir steht nicht: "Root Kit Detectet"

Alt 24.08.2009, 12:07   #8
undoreal
/// AVZ-Toolkit Guru
 
Neu aufgesetzt, formatiert etc. - Standard

Neu aufgesetzt, formatiert etc.



Gut, dann ist der MBR sauber.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 24.08.2009, 12:36   #9
Oliver28
 
Neu aufgesetzt, formatiert etc. - Standard

Neu aufgesetzt, formatiert etc.



Also kein Virus, alles blitzeblank? Der Virus kann sich nicht mehr von selbst irgendwie herstellen oder so?

Danke dir vielmals!!!

Alt 24.08.2009, 15:18   #10
undoreal
/// AVZ-Toolkit Guru
 
Neu aufgesetzt, formatiert etc. - Standard

Neu aufgesetzt, formatiert etc.



Jo, alles roger.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 25.08.2009, 17:09   #11
Oliver28
 
Neu aufgesetzt, formatiert etc. - Standard

Neu aufgesetzt, formatiert etc.



Nichts. Können sie vergessen falsch gepostet

Geändert von Oliver28 (25.08.2009 um 17:22 Uhr)

Antwort

Themen zu Neu aufgesetzt, formatiert etc.
antivirus, avast, avast!, backdoor, bho, c:\windows\temp, dll, explorer, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, maleware, microsoft, neu, neu aufgesetzt, programme, rundll, software, sweetim, system, teamspeak, temp, tuneup.defrag, virus, windows, windows xp, windows\temp, wlan



Ähnliche Themen: Neu aufgesetzt, formatiert etc.


  1. Festplatte Formatiert, plötzlich nur 875GB
    Netzwerk und Hardware - 12.09.2015 (8)
  2. 3 Mal Formatiert immernoch Delta-Search im Chrome...
    Plagegeister aller Art und deren Bekämpfung - 27.03.2013 (16)
  3. USB-Stick kann nicht formatiert werden
    Netzwerk und Hardware - 21.11.2011 (11)
  4. System nach Malwarebericht formatiert, aber was nun..?
    Plagegeister aller Art und deren Bekämpfung - 06.11.2011 (63)
  5. Festplatte formatiert.. wird nicht mehr erkannt!
    Netzwerk und Hardware - 12.03.2011 (11)
  6. Festplattenpartition nicht formatiert
    Alles rund um Windows - 01.10.2010 (2)
  7. PC formatiert - log file bitte anschauen
    Log-Analyse und Auswertung - 04.10.2009 (12)
  8. Festplatte kann nicht formatiert werden
    Netzwerk und Hardware - 12.09.2009 (10)
  9. Pc formatiert+einige Viren noch da und viele Probleme
    Plagegeister aller Art und deren Bekämpfung - 28.06.2009 (14)
  10. Virus obwohl formatiert?
    Log-Analyse und Auswertung - 19.11.2008 (2)
  11. Partition gelöscht und formatiert - reicht das?
    Plagegeister aller Art und deren Bekämpfung - 31.08.2008 (2)
  12. Problem -->bereits formatiert
    Mülltonne - 12.07.2008 (1)
  13. Festplatte soll formatiert werden HILFE!
    Alles rund um Windows - 22.11.2007 (1)
  14. Pc formatiert, alle Dateien gelöscht! Bitte um Hilfe
    Alles rund um Windows - 24.10.2007 (4)
  15. Trojaner, formatiert und jetzt?
    Plagegeister aller Art und deren Bekämpfung - 22.02.2007 (16)
  16. habe neu aufgesetzt und habe neu aufgesetzt und komme nicht mehr ins netz
    Log-Analyse und Auswertung - 09.02.2006 (2)
  17. DVD-RW > InCD falsch formatiert?!
    Alles rund um Windows - 31.10.2005 (5)

Zum Thema Neu aufgesetzt, formatiert etc. - Halöle, Heute früh hatte ich noch einen Backdoor Virus auf meinem PC :-( Hab ihn heute neu aufgesetzt: Alle Partitionen formatiert, Windows mit der Orginal CD neu aufgesetzt. Vor dem - Neu aufgesetzt, formatiert etc....
Archiv
Du betrachtest: Neu aufgesetzt, formatiert etc. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.