|
PC mit viren verseucht Guten Tag erstmals, Ich Idiot dachte, dass mein Virus Programm locker ein paar Viren aushält, daher bin ich auf die seite w*w.messblack.com/v2 oder so ähnlich draufgegangen und mein PC wurde von dort aus mit Viren "bombadiert". Nach ungefähr 5 Sekunden meldete mir mein nod32 das es ausgeschaltet wurde und explorer.exe etc. nicht mehr funktionieren würden (hängen geblieben). Sofort habe ich den Netzwerkkabel gezogen, und nachdem ich dann den PC im "Sicheren Modus" hochgefahren habe ( im normalen Modus ging es nicht, blieb vor dem Windows Vista Zeichen hängen und blieb schwarz), habe ich natürlich sofort in der msconfig mehrere "Vermutungen auf Viren" deaktiviert. Da es spät war, und ich am nächsten Tag zur Schule musste, habe ich den Netzwerkkabel wieder gezogen, den PC Ausgeschaltet ( sodass er kein Strom mehr nimmt, also hinter dem PC) und Sicherheitsweise den Stromkabel gezogen. Am nächsten Tag, also heute, habe ich dann zuerst eine Systemwiederherstellung angewendet, und dann komplett mit einem neuinstallierten Avira Programm durchlaufen lassen ( das alte Programm nod32 habe ich deinstalliert, weil der Verdacht da war, dass ein Virus sich da infiziert hat). Avira hat auch recht viele gefunden. Anschließend Windows Defender, was wahrscheinlich nicht ernennenswert ist. Daraufhin habe ich CCleaner durchlaufen lassen und alles gereinigt. Danach Malwarebytes (Bericht siehe unten). Und zum Schluss noch HijackThis. Photo von Task-Manager und Systemstart: http://img17.imageshack.us/img17/882...emstart.th.jpg Firefox hat oft bis zu 150.000 K http://img17.imageshack.us/img17/4607/taskman.th.jpg Btw. Dafür, dass mein PC recht gut ist, dauert es doch relativ lange, z.B. Firefox zu öffnen, und ist es normal, dass Firefox so viel Speicher verbraucht? Malwarebyte Bericht: BEMERKUNG: ProRat war von mir selbst. Code: Malwarebytes' Anti-Malware 1.34Code: Logfile of Trend Micro HijackThis v2.0.2//EDIT: Mein System: Windows Vista SP 1 Quad 2,5 intel Prozessor, 2x 2gb RAM, nV GeFore 9600 PC Auslastung: http://img11.imageshack.us/img11/4659/auslastung.th.jpg |
*Bump* . |
*Hust* ist denn keiner da, der mein hjack bericht überfliegen kann? :( |
Hi, wenn wir dir helfen sollen, solltest du a) dein Sicherheitskonzept überdenken und b) brauchen wir die Liste der Malware die Antivir und WindowsDefender entfernt haben. Am besten wär außerdem noch, die Liste der Sachen die NOD gefunden hatte. Ein AVP ist dafür da, dass es evtl gemachte Fehler abfängt, nicht damit man sich unfehlbar glaubt und beim Surfen das Hirn abschaltet. Wie hast du NOD deinstalliert? lg myrtille |
nod32 habe ich unter softwares deinstalliert. die logs habe ich leider nicht gespeichert. Daran hatte ich in diesem moment garnicht dran gedacht. Aber vielleicht sind sie ja doch irgendwo vorhanden. Komischerweise ist meine externe Festplatte auch teilweise kaputt / fehlende dateien. Windows will immer eine Datenüberprüfung machen, die jedoch nicht beendet werden kann, weil nicht genügend Speicher vorhanden ist. Ich weiß nicht wirklich ob das zusammenhängd, da ich die Platte nicht an dem Zeitpunkt an meinem Rechner hatte, und sie erst angeschlossen hatte, nachdem ich den ganzen virenkram wieder entfernt hatte. Meist ladet mein Rechner (vista) dann nicht mehr und der explorer stürzt ab, was bei 4gb Ram und 4x 2.5ghz ungewöhnlich ist. Auch mein Laptop (XP) hat öfters explorer.exe abstürtze. Leider weiß ich NICHT genau, ob es was damit zu tun hat, dass ich die Externe Platte daran angeschlossen habe, meine Schwester mit ihm irgendnen scheiß angestellt hatte, oder er einfach nur zu heiß war, was auch dazu führt, dass er ein bisschen rumhängt. Windows Defender selbst hat nichts geloescht, nur meinem AV geholfen, d.H. ich hatte beide an, und die Dateien die AV nicht gefunden hat, hat Def dann gefunden und wurden dann von AV in quarantäne geschoben und gelöscht. Langsam bin ich am verzweifeln, ob das jetzt alles ein Virus ist oder ich nur wegen dem Virenvorfall alles strenger sehe. Daher bin ich mir auch nicht sicher, ob mein PC jetzt etwas länger braucht um hochzufahren und die Programme zu starten, oder es schon immer war. Vielleicht dauert es auch länger und es liegt einfach daran, dass AV gestartet wird... Wenn irgendwer noch ein paar Ideen hat, o.ä. [(wie zb. Tricks um nachzugucken um was es sich handelt (z.b. um Vire oder Festplatte putt)] kann ja gerne noch etwas dazu schreiben. Vielleicht ist es ernennenswert, dass ich meine Festplatte (intern) in ungefähr 5 Partitionen partitioniert habe. Falls ich formatiere, formatiere ich auch immer nur C. Jedoch ist mein PC dann trotzdem nicht so schnell, als ich ihn damals kaufte :D BTW. Mein Windows Live meldet sich in letzter Zeit öfters ab und wenn ich ein Spiel spiele, dass dann nach mehreren Stunden abstürzt ist auf meinem Desktop plötzlich ein herrangesoomtes, ausgeschnittenes Taskmanager mit dem Tab Prozess. Finde es irgendwie komisch. Ops, sry. Hab wohl vergessen den Post hier abzuschicken. Naja glücklicherweise musste ich es nicht neuschreiben und sorry für die Verspätung. |
Hi, bevor ich hier groß Anfang etwas zu suchen, würd ich halt gerne wissen was auf dem Rechner gewesen ist. Deine Platte könnte sehr wohl infiziert sein, woher weißt du so genau, dass all die Befälle nur von dem Besuch der Seite stammen? Du hättest auch schon früher dir etwas einfangen können, was NOD eben nicht gesehen hat, sondern nur Antivir. Ich benutze die beiden Programme derzeit nicht, aber bei Antivir sollte man die Logs unter "Berichte" im Programm selbst einsehen können. NOD wird die Berichte, falls noch vorhanden wahrscheinlich im Ordner C:\Programme\Eset oder NOD abgespeichert haben oder im Ordner C:\Users\benutzername\AppData\Roaming\NOD oder Eset finden. Die sicherste Variante wird immer das korrekte formatieren und neuaufsetzen aber solange man nicht weiß was auf dem Rechner war, lässt sich schlecht sagen wie sicher das Bereinigen ist oder war. lg myrtille |
schlechte karten, beides ist nicht mehr vorhanden. Btw. auf meine externe festplatte kann ich auch nur noch mit Vista zugreifen. Hab irgendwo gelesen, dass es sein könnte, dass sich eine vire in denn bootsektor der platte eingenistet hat, kann das sein? Und wenn ja, vlt. ist diese ja auch noch auf meinem Rechner vorhanden... ;) Und gibt es keine Programme zum kontrollieren? vielleicht ist ja auch alles sauber :( |
Hi, es wäre halt sehr viel einfacher zu überprüfen was auf deinem Rechner abgeht, wenn man zumindest mal wüsste, was mal drauf war. MBAM zeigt reste von ProRat an, das heißt jemand hatte komplett Zugriff auf deinen Rehcner und kann da an sich alles verändert haben wie er lustig ist. Wenn die Logs nicht mehr da sind, dann kann man nicht überprüfen ob das Tool komplett installiert war oder nicht und da würd ich auf jedenfall für Neuaufsetzen plädieren. Wir können ne allgemeine Analyse machen, aber ne Garantie das danach alles sauber ist, gibts nicht. @Bootsektor Solange du nicht von der Platte bootest ist es eigentlich nicht iwrklich wichtig was in dem Bootsektor steht. Desweiteren ist es möglich, den MBR zu überschreiben mit Windowsmitteln. Die allermeisten Antivirenprogramme (darunter auch Antivir) erkennen veränderte Bootsektoren und überprüfen die Sektoren auch ebi einem kompletten Systemcheck, wenn diese nichts medlet, biste wahrscheinlich nicht davon betroffen.
Blacklight scannen lassen * Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link. * Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen. * Klick "I accept the agreement", "next", "Scan". * Wenn der Scan fertig ist beende Blacklight mit "Close". * Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern. Sophos scannen lassen * Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe. * Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht. * Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme. * Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse. * Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten. Gmer scannen lassen Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
Registry Search Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen. Hier das Programm herunterladen -> RegSearch by Bobbi Flekman Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten. Danach in die weißen Felder (Search String) Folgendes eingeben: Code: a75aed00-d7bf-11d1-9947-00c0cf98bbc9Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen. lg myrtille |
Hi danke, ich werde morgen mal alle prog's durchlaufen lassen und fixxen etc. Aber wie ich schon sagte, das ProRat war von mir :D Hab das mal zu testzwecken geused und dann halt ne exe davon gemacht und die probiert. |
Ja, dann ist wohl neuaufsetzen angesagt. :headbang: Die Clients sind häufig genauso verseucht wie die Server, sodass man sich beim Ausprobieren und andere Leute ausspionieren selbst unwissentlich auch infiziert. Platt machen wär die sinnvollste Lösung. |
Naja aufsetzen... Das ist so ne Sache. Im vergangenen Jahr hab ich mein pc so ungehärt 4-6 mal neu aufgesetzt, wenn nicht mehr. So lange wird das meine Festplatte nicht mehr mitmachen :D Und btw. muss ich dann komplett alles formatieren? Oder nur C ? |
Wenn unter den zahlreichen Meldungen die du in letzter bekommen hast, keine war die Virut beinhaltete, dann sollte C: reichen. Wichtig ist eigentlich vor allem, dass alle ausführbaren Dateien gelöscht werden und das Windows system formatiert wird. Nicht sichern solltest du Dateien wie exe, com, scr, zip, rar, html und php... (um ganz sicher zu gehen) Alles andere entweder auf eine nicht zu formatierende Platte oder CDs schreiben und neuaufsetzen. lg myrtille |
mh btw. ich hab das mal mit den scans allen gemacht, jedoch eines ist nicht vista kompatibel, dass ich dann mit dem vista-intregrierten "Ausführen mit Windows xp service pack 2" ausgeführt habe, was dazu führte, das mein pc an einem blue screen endete. Ist das normal ? Und dann hab ich noch mit dem GM scanner ein Problem gehabt, den hatte ich seit gestern mittag an und um 12 uhr abends war er immer noch nicht fertig. Am anfang hatte er 2x 2 registry sachen gehabt, die ich bei Bedarf nochmal schnell rausscannen könnte. Den PC hatte ich angelassen, jedoch hatte mein PC am nächsten morgen vermutlich schon neugestartet oder ähnliches, da dass gm programm aus war, ohne Close gedrückt zu haben. Auch uTorrent war aus, dass ich NICHT im autostart habe, d.H. um es zu starten, ich selber auf die exe muss ;) Wenn noch nötig könnte ich die restlichen files uploaden. //Edit: Btw. seit nem Jahr oder so ist es doch auch schon möglich, viren in bildern zu verstecken, diese also nicht löschen? :D |
Hi, Zitat:
Zitat:
Zitat:
Prinzipiell musst du nur bei Dateien aufpassen, die von Windows ausgeführt werden. (Oder Dateien die Schwachstellen in Windowsprogrammen ausnutzen, die Code-Ausführung erlauben). Das wären die genannten exe, com, scr. Bei den php und html Dateien solltest du aufpassen, weil einige Malware Webdateien um einen Link bereichern von dem aus weitere Malware heruntergeladen wird, sodass du dann mittels deiner Webpage Malware verteilen würdest. lg myrtille |
log.txt Code: Logfile of random's system information tool 1.05 (written by random/random)fsbl-20090319170219.log: Code: 03/19/09 18:02:19 [Info]: BlackLight Engine 1.0.67 initialized |
rsit: info.txt Code: info.txt logfile of random's system information tool 1.05 2009-03-19 17:37:05 |
mit GM meinte ich den Gmer Scanner ;) naja hier mal die loggs; Btw. da man maximal 25000 Zeichen schreiben kann, musste ich das in 3 Threads aufteilen. Gmer Anmerkung: Hatte leider Windows Live + plus an. Beim ersten scannen hatte ich die nicht an, und dort wurde auch keinen eintrag über msn etc. geschrieben. Jedoch hab ich diese trotzdem mal NICHT ausgelassen. Code: GMER 1.0.15.14939 - http://www.gmer.netAnmerkung: Sonst hat das Programm leider nichts gefunden... Weiß leider nicht, ob das normal ist. Code: Windows Registry Editor Version 5.00 |
Die Logs sind soweit sauber. Ich hoffe du hast Messenger Plus ohne seinen "Sponsor" installiert, sonst wirst du dich demnächst an Popups erfreuen können. lg myrtille |
hehe okay danke, jep habe ich natürlich ohne sponsor installiert ;) Der pc scheint soweit sauber zu sein. Im autostart ist nichts auffälliges und auch den system32 ordner hab ich ein paar mal überprüft. Bis zur nächsten erfolgreichen Windows Version wird das wohl noch standhalten, da ich sowieso im schlimmsten Fall keine Kontodaten o.ä. wichtiges eingebe ;) Danke nochmal für alles |
ja, ich würd davon abraten irgendwelche Passwörter oder ähnliches auf dem Rechner einzugeben. Aber das ist letzendlich deine Entscheidung... Die genutzten Programme kannst du deinstallieren / löschen. lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board