noch ein unwissender....
 

grüß gott,

bin leider auch in der misslichen lage nicht zu wissen ob mein compi 'clean' ist.
habe erst vor ein paar tagen firewall geladen... ich dachte um windows 98 würde sich keiner mehr scheren... also hier mein hijackthis protokoll, wäre nett wenn ihr mal reinschaut und bescheid gebt ob noch hoffnung besteht...

Logfile of HijackThis v1.99.0
Scan saved at 19:08:59, on 21.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER SCAN SERVER\BDSS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER COMMUNICATOR\XCOMMSVR.EXE
C:\WINDOWS\SYSTEM\PTUDFAPP.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PDESK.EXE
C:\PROGRAMME\NASDAK\OMNIMAUS SOFTWARE\2.0\LWBWHEEL.EXE
C:\PROGRAMME\NETRATINGS\PREMETER\PRMT.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\DIT.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPLORER 8.0 SE\MONITOR.EXE
C:\WINDOWS\SHICOME.EXE
C:\WINDOWS\TPPALDR.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\BDMCON.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\BDNAGENT.EXE
C:\WINDOWS\DITEXP.EXE
C:\WINDOWS\SYSTEM\AJVBSK.EXE
C:\WINDOWS\TSCASH.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\CREATIX ONLINE\MONITOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACRORD32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\A-DOWNLOAD\HIJACK THIS\HIJACKTHIS.EXE

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.start-seite.com"); (C:\Programme\Netscape\Users\Mephisto13\prefs.js)
O2 - BHO: CSBHO - {D14D6793-9B65-11D3-80B6-00500487BDBA} - C:\WINDOWS\SYSTEM\COMET\BIN\CSBHO.DLL (file missing)
O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD1.DLL
O2 - BHO: (no name) - {D14641FA-445B-448E-9994-209F7AF15641} - (no file)
O2 - BHO: IPInsigtObj Class - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\IPINSIGT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\TWAINTEC.DLL
O3 - Toolbar: Comet Cursor Companion - {FE6BC4EF-5676-484B-88AE-883323913256} - C:\WINDOWS\SYSTEM\COMET\BIN\CSIETB.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\NASDAK\OmniMaus Software\2.0\lwbwheel.exe
O4 - HKLM\..\Run: [CC2KUI] C:\WINDOWS\SYSTEM\Comet\Bin\comet.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Premeter] C:\PROGRA~1\NETRAT~1\PREMETER\PRMT.EXE
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE\Monitor.exe
O4 - HKLM\..\Run: [shicome] C:\WINDOWS\shicome.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [OWCCardbusTray] ocbtray.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [atljagvhe] C:\WINDOWS\SYSTEM\AJVBSK.EXE
O4 - HKLM\..\Run: [SpyHunter] C:\PROGRAMME\ENIGMA SOFTWARE GROUP\SPYHUNTER\SPYHUNTER.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [BitDefender Scan Server] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\\bdss.exe
O4 - HKLM\..\RunServices: [BitDefender Communicator] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\\xcommsvr.exe
O4 - HKLM\..\RunServices: [BitDefender Live! Init] C:\Programme\Softwin\BitDefender Free Edition\\bdinit.exe
O4 - HKCU\..\Run: [TSCash] C:\WINDOWS\tscash.exe -tray -plugin
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Online Fast Key.lnk = C:\Programme\Creatix Online\MONITOR.EXE
O4 - Startup: RealDownload.lnk = C:\Programme\Real\RealDownload\REALDOWNLOAD.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab

Hallo arte_miss,

In deinem Log sind einige Probleme zu sehen:
Spyware. Deinstallieren.
Das ist mir unbekannt. Das Einzige, was absolut klar ist - dei Anwendung enthält eine Schädlingsroutine.
Dialer. http://www.bwk.net/kundeninformation/
Spyware von Comet.
Malware (Art ist mir unbekannt)
No file - No registry: Müll
Quelle: http://www.pestpatrol.com/pest_info/de/i/ipinsight.asp
Riesengroße und äußerst gefährliche Müllsamlung.
Der einzige Rat: Festplatte formatieren, System neu aufspielen, Alle Passwörter wechseln.
Infos heir lesen:http://faq.underflow.de/

@ Rene-gad:
erst mal servus, aber ist shicome.exe nicht ein Treiber für einen Card-Reader?
Ändert natürlich nichts am Rest des Logs, aber wissensmäßig interessant.
cacatoa

@rene-gad

danke erst mal für die schnelle antwort, obwohl langsamer und hoffnungsvoller wäre mir lieber gewesen...

muss erst mal den schrecken verdauen...

:heulen: könnt, ich grad

gibts wirklich kein, 'ich hau alles raus was bös is'-programm?

Hallo arte_miss
Hätte auch eine solche Antwort gerne gepostet...
Warum "Schrecken"?
Folge bitte meinem Link. Dort steht alles klar und deutlich geschrieben.
@cacatoa
Servus.
Schon möglich. Ich tendiere aber mehr zu dem Posting von Nils1 09.01.2005, 21:09: http://board.protecus.de/showtopic.php?threadid=14528 und hier: http://computercops.biz/postt84894.html

@ Rene-gad
Da haben wir doch schon schlimmere Logfiles gehabt; Ich würde mal die
C:\WINDOWS\SYSTEM\AJVBSK.EXE
bei Jotti online scannen und wenn es nix tragisches ist, den Rest einfach wie gewohnt entfernen; was meinst Du?

Ich komme immer noch nicht weiter mit meinem Problem (about blank)
 

Wer kann nach meinem windows update meinen logfile entziffern ?

Logfile of HijackThis v1.99.0
Scan saved at 20:42:49, on 21.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\csrss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\LEXBCES.EXE
D:\WINNT\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINNT\system32\LEXPPS.EXE
D:\Programme\Norton Internet Security\NISUM.EXE
D:\Programme\Norton Internet Security\ccPxySvc.exe
D:\WINNT\System32\svchost.exe
D:\PROGRA~1\Iomega\System32\AppServices.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
D:\WINNT\TBPanel.exe
D:\WINNT\mHotkey.exe
D:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
D:\Programme\Iomega\DriveIcons\ImgIcon.exe
D:\Programme\Logitech\ImageStudio\LogiTray.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
D:\Programme\Lexmark X1100 Series\lxbkbmon.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
D:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
D:\WINNT\system32\cdplayer.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Programme\Digital Image\Monitor.exe
D:\PROGRA~1\WinZip\winzip32.exe
D:\DOKUME~1\ak\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - D:\WINNT\system32\iecust.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LWBMOUSE] D:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [Gainward] D:\WINNT\TBPanel.exe /A
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [LVCOMS] D:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [Iomega Drive Icons] D:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] D:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [LogitechGalleryRepair] D:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] D:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] D:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [DeluxeCD] D:\WINNT\system32\cdplayer.exe -tray
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Digital Image Monitor.lnk = D:\Programme\Digital Image\Monitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB733721-657F-4821-B54F-3DFE2CD20CC6}: NameServer = 69.50.188.180,195.225.176.31
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - D:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - D:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - D:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega App Services - Iomega Corporation - D:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - D:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - D:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

@newgucci
mache bitte einen neuen thread auf, es wird sonst unübersichtlich
chaosman

@ newgucci:
hatten wir das Thema nicht gestern schon mal?
Mach Deinen thread neu auf oder nutze wenigstens den von gestern...
cacatoa

Hallo cacatoa
ich persönlich - nicht ; ?
Wer ist Jotti? Herrens Bruder? Warum muss man dem und seinen Tools überhaupt vertrauen?
Na dann - gute Nacht! Was heißt "entfernen"? Für mich es wäre "Format c:\", denn danach bin ich sicher, dass die ganze Malware weg ist.
"Entfernen wie gewohnt" im Sinne "Häckhen" im HJT zum fixen einzusetzen ist ein Kinderspiel, dass selten zum sauberen Rechner führt, sondern nur zur unbegründeten Selbstberuhigung. Weiter zum Thema "Tools und Virenscanner" The Ten Immutable Laws of Security in meiner Signatur The Law #8

@ Rene-gad:
Dann könnte man das hier doch ganz lassen und anstelle der Unterforen nur noch hinschreiben:
"Wenn Ihr ein Problem mit Euerem Rechner habt, dann setzt ihn erst mal neu auf, dann könnt Ihr wieder kommen und ein sauberes Logfile posten."

Und sollte es Dir sauer aufstoßen, daß ich geschrieben habe, "wir" hätten da schon ganz andere Logfiles gehabt, dann muß ich dazu bemerken, daß das ohne Ansehen der Person gemeint war. Solltest Du der Ansicht sein, daß es hier kein "wir" gibt, dann akzeptiere ich es.

Muß man nicht. Kann man aber. Ist jedem selbst überlassen. Ich persönlich finde es gut, wenn man eine Datei von mehreren scannern checken lassen kann.

Aber vielleicht darf ich das alles gar nicht schreiben, weil ich noch zu "jung" am board bin...
Grüße
cacatoa

Wenn du originell erscheinen möchtest, bist du ein bisschen zu spät dran: Das Gleiche (inhaltlich mindestens) steht geschrieben an der Microsoft-Seite. http://www.microsoft.com/technet/com...mt/sm0504.mspx
Need I translate it for your oder kommst du selbst zurecht?

ok. wenn man danach gehen würde, müsste man nach jedem trojan-downloader oder dialer sofort neuinstallieren. dies ist aber nicht immer notwendig.
du musst auch verstehen, dass ein von 1 download-trojaner befallenes system nicht als kompromittiert zu verstehen ist, sondern nur als adwarebefall. (von meiner sicht jedenfalls)
sicher, ein neu installiertes system ist am sichersten, und ich selbst würde wenn ich einen trojaner gehabt hätte neuinstallieren, aber glaubst du dass jeder von denen die hier posten neuinstallieren wollen? ich denke eben nicht.
ich denke auch, das von trojan-downloadern oder adware keine allzugroße gefahr ausgeht (außer sie lädt backdoor trojaner runter, dann ist das was anderes)

@ Rene-gad:
Das soll kein Streit werden!
Ich stell´ nur die Frage, ob du gemäß Deiner Aussagen jedesmal empfiehlst, das System neu aufzusetzen oder was anderes.

Die beiden Sachen sind allerdings etwas zynisch:
Ich brauche nicht so zu erscheinen, ich bin´s.
Korrekt wäre: "Do I need to translate it for you..."

Damit Zynismus zurück und damit soll´s auch gut sein. ;)

Woher willst du genau wissen, was für eine Malware-Art den Rechner befallen hat? Von HJT -Log oder von Log deines AV-Programms? Es ist sehr subjektiv und auf diese Daten gibt es kein Verlass

Zitat:

You can’t trust the event logs on a compromised system. Upon gaining full access to a system, it is simple for an attacker to modify the event logs on that system to cover any tracks. If you rely on the event logs to tell you what has been done to your system, you may just be reading what the attacker wants you to read.

Man kann nie eine genaue Grenze zwischen Ad-Ware und Backdoor ziehen: im Grunde genommen - beide liefern die Informationen nach Außen, vom Benutzer verdeckt. Die Frage ist nur - wem liefern.
Du bekomst keinen Trojaner, weil du dich vernünftig benimmst.
Wollen oder nicht wollen - ist mir eher Wurscht: ich will nicht, dass ein DAU in seinem PC eine offene Scheune einrichtet, die danach als Wurmschleuder von Hacker verwendet werden kann.
In wie weit diese oder jene Malware gefährlich ist kann man nur mit der genauen Analyse der hexadezimalen Coden feststellen, was für jede Windows- Datei am PC zu machen einen gewissen Arbeitsaufwand darstellt.
Die einzige sichere Methode beim Verdacht auf Korruption ist das Neuaufsetzen des Systems.
So wird auch von BS-Hersteller Microsoft empfohlen.
Für weitere Fragen steht dir Bill Gates gerne zu Verfügung.

Ich ruf ihn gleich mal an und danach könnt ihr "weiterdiskutieren" :p

*edit*
für alle die ihm lieber eine Mail schicken wollen: billg@microsoft.com

Es ist kein Streit: Es ist nur eine Diskussion, die schon seit einer geräumigen Zeit hier führe.
Nein. Manchmal finde ich in der Problembeschreibung keine Anzeichen von Malware-Befall (was aber nicht heißt, dass kein Befall vorhanden ist oder war). In dem Fall versuche ich den Benutzer zu den Foren umzuleiten, in denen die Hardware-Probleme breite und tiefe besprochen werden.
Findest du? I'm sorry, ich wollte dich nicht beleidigen :).

@ Rene-gad: http://www.mainzelahr.de/smile/medien/shakehands.gif

@rene-gad tja nach einem escan wird sich das leicht feststellen lassen, keiner spricht hier alleine von hijackthis (es kann nur einträge enfernen mehr nicht)

Da magst du recht haben, nur ist adware nicht = backdoor sondern adware, da adware wie der name schon sagt nur dazu da ist, werbung anzuzeigen. wäre es nicht so, wäre es ein backdoor und unter einer anderne kategorie (adware wird auch als solche erkannt und adware-backdoor würde auch als backdoortrojaner erkannt werden)
ist also eine reine definierungsfrage.

Das weiß ich. ich gänge nur von einem fall aus, wo ein trojaner drauf ist.

das will ich doch auch nicht, aber wie schon gesagt adware nicht = backdoor.

Ich will keinen streit mit dir anfangen, sondern lediglich hier das geschriebene berichtigen, du kannst mich korrigieren wenn ich falsch liege, aber beweise mir bitte dann das adware mit backdoor gleichzusetzen ist. also sollten wir uns auch nicht so aufregen, wegen einer definierung.
Ich gebe zu, ich kanns nicht beweisen, das es nicht so ist. wir sollten die diskussion hier abbrechen und so weitermachen wie bisher. das ganze würde dann nur ewig gehen. vergessen wir das ganze http://www.mainzelahr.de/smile/medien/shakehands.gif

Also hier muss ich dir ganz erheblich widersprechen!

Auch der escan findet nach einem Update nur die ihm bekannte Malware!

Wie kannst du dir sicher sein,dass ein Backdoor oder ein Download Trojaner nicht noch ganz andere Sachen runter zieht!

Verstehst Du was ich sagen will?!


Gruss

ach ihr habt ja recht. ein trojan-downloader kann sowas runterladen und escan kann nur das erkennen was es kennt. ich habs ja bereits geschrieben, ich würde anders handeln. aber jetzt kommt die frage; was ist nun richtig?
wäre es richtig bei jedem trojan-downloader zur neuinstallation zu raten oder zu reparieren?
bisher kenns ich nur so, das es richtig ist es zu reparieren. offenbar hab ich mich wohl geirrt :o

naja fehler meinerseits^^

Oft ist es sicherlich nötig zu formatieren und der Satz "The only way to clean a compromised system is to flatten and rebuild." mag auch durchaus seine Richtigkeit haben. Wenn wir nun aber jedem empfehlen wegen einem "Hijacker" sein System neu aufzuspielen können wir hier gleich einpacken. Natürlich weiß man nicht, was alles auf dem System los ist/war, denn 100%ige Sicherheit gibt es nie. Das gilt aber auch für alle, die meinen ihr System perfekt im Griff zu haben!

@haui45 da fangen ja die probleme für mich an. wenn ich sehe das da ein trojan-downloader drauf is, müsste ich dann wirklich sofort formatieren?

da gehen häufig die meinungen auseinander.

@Chris14
Das bleibt jedem selbst überlassen, mir stellt sich diese Frage jedoch nicht!

ich meine es natürlich im theoretischen sinne^^ im praktischen würde ich wegen mir neuinstallieren.
aber was empfiehlt man da anderen, wenn die sowas haben?
es kann doch nicht sein, dass es gleich "formatieren" heißt oder?

Wenn wir jedem raten zu formatieren, können die "Sicherheitsforen" dicht gemacht werden......
Ich hoffe das reicht dir als Antwort. Ich mache jedenfalls so weiter wie bisher.

Was oft auch übersehen wird, ist der Zeitfaktor mit dem man ein infiziertes System "säubert".
Ein Rechner mit XP neu aufzustzen dauert +- 1 stunde, dann noch einrichten absichern üsw. Das dürfte je nach Ansprüche mehrere Stunde gehen, aber man hat danach einen sauberen Rechner.
Fixen, mir escan scannen, manuell löschen, wieder neu mit HJT scannen, Avscan üsw, dürfte auch einige Stunden in Ansprüch nehmen.
Mit ein Unterschied, man ist danach nicht sicher ob man wirklich alles vom System wegbekommen hat.
Die meiste User wollen jedoch nicht neu aufsetzen(weil sie Angst haben etwas falsch zu machen). Alsob man beim säuberen ja keine Fehler machen kann.
Ichselber würde bei Befall, wie wahrscheinlich die Meiste hier, neu aufsetzen.
LG ihr Boardies :daumenhoc
chaosman

ok.. Danke für die Antworten^^
Ich denke ich habe das thema nun endlich verstanden. Dann werde ich weitermachen wie bisher.

Full Ack.
Dies alles geschiet nach Abwägung bzw. persönlicher Einschätzung!

Ebenso auch für die andere Seite die verseuchte Systeme gerne bereinigen anstatt sinnvollerweise ein Neuaufsetzen zu empfehlen. Diese bräuchten nur alle auf den Markt befindlichen AV Anwendungen und Removal Tools verlinken und in einen Thread zu posten.

Meine Hemmschwelle dürfte ja dementsprechend bekannt sein;).

Solange ich nicht solche widersprüchlichen Aussagen lese... http://www.mainzelahr.de/smile/geschockt/22_yikes.gif http://www.trojaner-board.de/showpos...5&postcount=10

my two cents

@ Rene-gad


Nur zur Info aus deinem ersten Posting dieses Threads:

Diese Malware ist hchstwarscheinlich von WurldMedia ;)

http://castlecops.com/bho-m.html