Trojaner-Board - Habe Probleme

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Habe Probleme (https://www.trojaner-board.de/10126-habe-probleme.html)

FORTSETZUNG

File C:\Programme\Antivirusprogramme\Norton Antivirus 2005\Quarantine\40C31E78.tmp infected by "I-Worm.NetSky.q" Virus. Action Taken: File Deleted.

File C:\Programme\Antivirusprogramme\Norton Antivirus 2005\Quarantine\49C46644.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: File Deleted.

File C:\Programme\Antivirusprogramme\Norton Antivirus 2005\Quarantine\4D100E19.exe infected by "TrojanDownloader.Win32.Small.hs" Virus. Action Taken: File Deleted.

File C:\Programme\Antivirusprogramme\Norton Antivirus 2005\Quarantine\4D176212.exe infected by "TrojanDownloader.Win32.Small.hs" Virus. Action Taken: File Deleted.

File C:\Programme\Antivirusprogramme\Norton Antivirus 2005\Quarantine\4D1A0C0E.q_8 infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{21CBAA73-072A-4A26-9BDB-EF9CDD05F829}\RP107\A0026328.exe infected by "Trojan.Win32.StartPage.ey" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{21CBAA73-072A-4A26-9BDB-EF9CDD05F829}\RP107\A0026329.exe infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{21CBAA73-072A-4A26-9BDB-EF9CDD05F829}\RP107\A0026417.dll infected by "TrojanClicker.Win32.Libie.c" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{21CBAA73-072A-4A26-9BDB-EF9CDD05F829}\RP107\A0026469.exe infected by "TrojanClicker.Win32.Libie.c" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{21CBAA73-072A-4A26-9BDB-EF9CDD05F829}\RP107\A0026470.exe infected by "TrojanClicker.Win32.Libie.c" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{21CBAA73-072A-4A26-9BDB-EF9CDD05F829}\RP107\A0026471.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{21CBAA73-072A-4A26-9BDB-EF9CDD05F829}\RP107\A0026472.exe infected by "TrojanDownloader.Win32.Small.hs" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{21CBAA73-072A-4A26-9BDB-EF9CDD05F829}\RP107\A0026473.exe infected by "TrojanDownloader.Win32.Small.hs" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{21CBAA73-072A-4A26-9BDB-EF9CDD05F829}\RP92\A0023292.exe infected by "TrojanDownloader.Win32.Small.hs" Virus. Action Taken: File Deleted.

und dan gehts weiter mit den temporary internet files...

Na, clausihi,
die temp.InternetFiles sollte man ab und zu löschen!
Dazu: clearprog 1.4.0 final runterladen, alle Häkchen bei Windows und Internet Explorer setzen, und auf löschen drücken, danach beenden. dies nach jeder INetSitzung durchführen und du sparst Dir schon den halben Ärger.
Die anderen hat eScan gekillt.
Dann: leere doch den Quarantäne-Ordner bei Norton; was willst du mit dem alten schrott? Doch nicht etwa wiederherstellen?
Wenn du alles erledigt hast, dann noch mal eScan durchführen und neues Log psoten; müßte jetzt alles o.k. sein.
Wobei man nicht vergessen darf, daß Du nicht weißt, was "Backdoor.RBot.J", siehe auch hier schon bei Dir angestellt hat. da wäre ich vorsichtig.
cacatoa

Gut gut werd ich machen aber wie kann ich mich vor den Viren und Trojaner jetzt gut schützen?

Dazu folgendes:
Surfverhalten überdenken, nicht gedankenlos überall "draufspringen".
Nicht mit dem IE surfen, sondern "sichere" Browser verwenden, wie z.B. Mozilla, firefox oder opera.
Einen guten Virenwächter installieren (Norton ist da nicht gerade erste Wahl), nicht zwei Wächter laufen haben, da gibt es oft Kollisionen, durch die der Rechner sehr sehr langsam wird. Spybot hast Du ja drauf. Die Surfspuren nach der Sitzung löschen (clearprog) oder "Internetspuren löschen" bei opera, AdAware SE runterladen (incl. Sprachdateien) und immer wieder mal laufen lassen, vielleicht auch noch SpywareBlaster.
Regelmäßig die Quarantäne-Ordner der Wächter leeren.
Aber das wichtigste überhaupt ist: Brain 1.0 einschalten. ;)
Und wenn ich noch was vergessen habe, dann kommen von Kollegen bestimmt noch Hinweise.
cacatoa

Sun Nov 28 11:28:44 2004 => Total Number of Files Scanned: 84312
Sun Nov 28 11:28:44 2004 => Total Number of Virus(es) Found: 0
Sun Nov 28 11:28:44 2004 => Total Number of Disinfected Files: 0
Sun Nov 28 11:28:44 2004 => Total Number of Files Renamed: 0
Sun Nov 28 11:28:44 2004 => Total Number of Deleted Files: 0
Sun Nov 28 11:28:44 2004 => Total Number of Errors: 3
Sun Nov 28 11:28:44 2004 => Time Elapsed: 00:41:05
Sun Nov 28 11:28:44 2004 => Virus Database Date: 2004/11/27
Sun Nov 28 11:28:44 2004 => Virus Database Count: 110755

Zitat:

Und wenn ich noch was vergessen habe, dann kommen von Kollegen bestimmt noch Hinweise.

hast ja schon fast alles gesagt, aber hier nochmal zum nachlesen:
http://www.mathematik.uni-marburg.de...ompromise.html
http://www.trojaner-board.de/showpos...28&postcount=2

@ haui
thx a lot!

@ clausihi
ich will Dich hier nur noch zum Mitarbeiten sehen, nicht mehr mit gruseligen Problemen ;)

Hallo Clausihi, hallo Kollegen,

ich sehe gerade, dass Ihr Clausihi mitgeteilt habt, dass er nicht formatieren müsse. Ich erhebe Einspruch! Ich empfehle Clausihi sein System zuerst zu formatieren ... und sich dann bei uns zurück zu melden, mit einem sauberen System, ohne Rbots, ohne Netskys und andere Viren.

Zitat:

Zitat von Clausihi

File C:\WINDOWS\system32\TFTP1108 infected by "Backdoor.Rbot.j" Virus. Action Taken: File Renamed

Seit wann ist es ausreichend, wenn ein Backdoor gelöscht wird? Ich halte es da mehr mit Entfernung von Schädlingen und Kompromittierung unvermeidbar?.

Ich halte Dein System für kompromittiert @ Clausihi und empfehle Dir es zu formatieren und Lutz Rat zur Datensicherung und Cidre's Rat zu befolgen. Das dürfte sicherer sein als mit einem System weiter zu machen, auf dem sich ein gelöschter und umbenannter Spross der Familie W32/Rbot- tummelt.

Shadowdance

@ SD

Zitat cacatoa:

Zitat:

Wobei man nicht vergessen darf, daß Du nicht weißt, was "Backdoor.RBot.J", siehe auch hier schon bei Dir angestellt hat. da wäre ich vorsichtig.

Du kannst keinen zu seinem Glück zwingen.

Zitat:

Zitat von cacatoa

Du kannst keinen zu seinem Glück zwingen.

Wir sollten aber noch einmal nachdrücklich darauf hinweisen, das der Rechner auch nach der scheinbaren Entfernung aller Schädlinge nicht mehr vertrauenswürdig ist:

"Einen solchen Rechner nennt man in der Szene einen "Zombie" und er wird üblicherweise von dem ihn kontrollierenden Angreifer für all die Dinge genutzt, die er mit seinem eigenen System nicht machen würde (Versenden von Spam, als Ablageplatz für illegale Daten, etc.)" (aus http://www.mathematik.uni-marburg.de...c-removal.html )

Deswegen auch von mir noch mal die dringende Bitte an Clausihi, seinen Rechner komplett neu aufzusetzen!

Gruß :daumenhoc
Yopie

Dankeschön @ Yopie,

ich hatte mich verlesen, was Euch beide betrifft @ cacatoa und Haui45. Da ich von Euch keine ausdrückliche Empfehlung sah, dass Clausihi besser daran täte, sein System zu formatieren, glaubte ich daraus zu entnehmen, dass vielleicht die Meinung bestünde, dass ein umbenannter Rbot ungefährlich sei .. was absolut nicht der Fall ist, dazu sind diese Backdoor-Würmer einfach zu gefährlich wie man auch der Sophos-Virusinformation entnehmen kann.

Wer will denn mit einem System arbeiten, vielleicht vertrauliche Dinge abwickeln, wenn dieses System in einer Weise kompromittiert ist, dass man nicht sicher sen kann, dass alles was man tut, Dritten bekannt werden kann?

Nun gut, der Irrtum hat sich aufgelöst. Wir müssen unsere User einfach sehr nachdrücklich darauf hinweisen, wie gefährlich Würmer mit Backdoor-Charakter sind, dass es nicht reicht, wenn sie gelöscht oder umbenannt werden. Unsere User wissen nichts oder nicht viel von der Materie, wir schon, schließlich sind wir keine Neulinge mehr auf diesem Gebiet.

Euch allen sehr herzliche Grüße und Dir, lieber Clausihi wünsche ich die Einsicht, uns zu verstehen und Dich mit einem sicheren System zurück zu melden. Befolge die Tips und alles wird gut.

Shadowdance

Verdammt, hab ich überlesen, sorry! Schließe mich an er sollte formatieren
(werde auch den Post 21 editieren) *ingrundundbodenschäm* :headbang: :(
@SD thx

ok das werde ich mir überdenken! Falls ihr mir eins noch verratet: Was mach ich alles um von anfang an sehr sicher zu gehen keine solche viren mehr zu bekommen? Bin nämlich schon beim 3. mal formatieren in kurzer zeit. Habe langsam keine Lust mehr! Welche Programme und Maßnahmen brauche ich bzw muss ich tuen? Dann bereit ich alles vor und formatiere in 1-2 Wochen und meld mich zurück. Formatieren ist ja nicht gerade das große Problem abder die Datensicherung bereitet mir immer wieder Probleme! Habt ihr auch dafür Tipps?

Shadwodance hat in diesem Thread unter http://www.trojaner-board.com/showpo...3&postcount=23 eigentlich schon alle Links dazu gepostet. Insbesondere "Komprimittierung unvermeidbar" halte ich für Pflichtlektüre, um eine zukünftige Infektion zu vermeiden. Achte besonders auf sichere Browser und Mailprogramme.

Unter http://www.trojaner-board.de/showthread.php?t=9546 gibts auch noch ein schönes PDF von Cobra über das sichere Einrichten von Windows.

Welche speziellen Probleme bereitet Dir die Datensicherung?

Gruß :daumenhoc
Yopie

Na mir bereitet das Probleme weil ich so viel Datenmenge zu sichern hab. Und das immer wieder von neuem
Hab mal ne Frage: Ich hab mein Betriebssystem auf C:.
Games und Userdaten sind auf D:. Wenn ich nun C formatiere bleibt doch ales auf D erhalten aber Windows erkennt doch nicht mehr die installierten Spiele etc, oder? Die ganzen Registryeinträge fehlen doch. Täusch ich mich oder kann ich Proeblems nur C: formatieren das wäre perfekt dann wärs überhaupt gar kein Problem!