Wie entgüldig tr/dldr.ba.276652.a entfernen ???
 

Hi also mein Problem antivir erkennt bei mir immer einen Trojaner (tr/dldr.ba.276652.a) sobald ich eine Internetverbindung herstelle. Ich kann das teil zwar löschen aber 2 min später geht das wieder los der tr. erstell einen ordner namens exefld in c:windows diesen ordner kann ich zwar auch löschen aber irgendwann ist er wieder da und sobald eine internet verbindung steht enthällt er eine oder mehrere exe. datein mit verschiedenen nr. wie z.b. 196812.exe.

Hier mei log file hoffe jemand kann helfen dank im voraus!!!!


LOG:

Logfile of HijackThis v1.99.1
Scan saved at 22:02:21, on 01.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\hldrrr.exe
C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\WINDOWS\system32\hldrrr.exe
C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Dave\LOKALE~1\Temp\Rar$EX02.422\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smartsurfer.web.de/client/distribution/?partnerid=0&distribution=000000000480&affiliate=0&affiliate_user_input=&version=4.0.0.4&transfererror=0&winver=Win XP SP 2 (obfuscated)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [tunebite.exe] C:\Programme\tunebite\tunebite.exe -hidden
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - Startup: WEB.DE SmartSurfer.lnk = C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB33B394-EA76-4ED2-9811-C322A14FF01E}: NameServer = 195.71.27.3 193.189.244.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Hallo,

jo du hast dir einen klassisch schönen Wurm eingefangen der sich fleißig repliziert. Er heisst Bagle. Kannst ja mal googeln. Das Ding ist sehr hartnäckig. Wenn du genug Musse hast können wir's probieren allerdings wird das mehr Zeit und Frust kosten als neuaufzusetzen.


Reinfolge:

-Ziehe deinen Internetstecker.

-Sauge dir diese Tool und update es (starten und auf update klicken) MWAVE.

Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Fixe folgende Einträge mit HJT:

*C:\WINDOWS\system32\hldrrr.exe*
*C:\WINDOWS\system32\hldrrr.exe*
*R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smartsurfer.web.de/client/distribution/?partnerid=0&distribution=00000000 0480&affiliate=0 &affiliate_user_input=&version=4.0.0.4&transfererr or=0&winver=Win XP SP 2 (obfuscated)*
*O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe*
*O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe*

-Wechsel danach SOFORT in den abgesicherten Modus (F8 beim Reboot).

-Starte MWAVE. Häkchen bei:

Memory
Start up
Drive -> all local Drive
Registry
System Folders
Services
SCAN ALL FILES

dann auf Scan and remove klicken und laaaaaaaange warten. :)

Danach bitte das loFile mit Hilfe der find.bat (Anleitung zur find.bat in der Anleitung zu eScan in meiner Signatur) und ein neues HJT log.

Viel Erfolg

Undoreal

Hallo,

@Undoreal

Geht`s noch ?:koch:
Verwende wenigstens Google bevor du postest !!

W32/Bagle-KF - Wurm - Sophos Bedrohungsanalyse
Irrlicht

Also erst mal vielen dank für die genau info ich werde mich heute abend mal drüber machen und dir über erfolg oder misserfolg berichten. thx

Ach noch was warum sagt ihr es wäre ein wurm wenn mir antivir einen tr.dldr anzeigt also trojaner ??????????????????

Ich habe das gleiche Problem, bei mir heißt er 'TR/Dldr.Ba.109155.A' [TR/Dldr.Ba.109155.A], wenn ich den Prozess hldrrr.exe aus der Registry nehm, nervt das Ding nicht mehr.

Wie bekomm ich das Teil allerdings langfristig runter?

Danke für die Hilfe...

Hallo,
Um es kurz zu machen....
nur so !! :http://www.trojaner-board.de/12154-a...sicherung.html
Irrlicht

@irrlicht:

Oder auch anders!

Dazu braucht man folgendes:

- h**p://www.x-ways.net/winhex/index-d.html (WinHex => die Demoversion!),
- h**p://mh-nexus.de/hxd (HxD => Freeware (Version 1.6.1.0),
- nicht infizierten Windows-Rechner,
- externes USB/Firewire/S-ATA-Gehäuse (für die infizierte HD)

Getestet wurde die Anleitung an dem "Trojan.Downloader.Bagle.GD" (BitDefender's interner Name) nachdem BitDefender den größten Schaden "abgewehrt" hatte und vom Trojaner "ausgeknockt" wurde.

Bevor jetzt ein "Nicht die infizierte Platte in einen Rechner einbauen der noch in Ordnung ist" kommt, sei angemerkt, das der Trojan.Downloader.Bagle.GD sich NICHT auf dem sauberen Rechner installiert, da von der infizierten Platte WEDER EIN PROGRAMM GESTARTET NOCH EINE DATEI GEÖFFNET wird!


Ausgangspunkt:

WinXP, SP 2, einige Partitionen werden als unformatiert angezeigt, obwohl noch alle Daten vorhanden sind, BitDefender und einige andere Hilfsprogramme werden am Starten gehindert, Rootkit-Dateien und Registrierungseinträge sind unsichtbar!


Vorgehensweise:

Zuerst den infizierten Rechner herunterfahren und Platte ausbauen auf dem sich die Windows-Partition befindet. Dann die Platte in ein externes Gehäuse einsetzen und an einen anderen Computer anschließen der komplett sauber ist und einen funktionierenden Virenscanner besitzt!

WICHTIGER HINWEIS: NIEMALS(!) eine Datei auf der infizierten Festplatte öffnen! Auch wenn ein Anti-Virenprogramm installiert ist, bedeutet dies nicht unbedingt ein "Rundumschutz" für den Arbeitsrechner auf dem die Platte gesäubert wird!!

Nach dem Hochfahren des Computers wird "WinHex" installiert bzw. gestartet und über "Tools" - "Open Disk..." wird das "Edit Disk"-Auswahlfenster geöffnet. Dort wird das Laufwerk ausgewählt, das die infizierte Windowsversion enthält.

WICHTIG: unbedingt(!) darauf achten, das der Laufwerksbuchstabe stimmt!

Mit "Ok" wird die Auswahl bestätigt und kurz darauf erscheint im oberen Teil des Bildschirms (unterhalb des Menüs und der Symbolleisten) das Hauptverzeichnis des Laufwerks. Als nächstes navigiert man in das "system32"-Verzeichnis indem man ganz normal auf die entsprechenden Einträge klickt (z. B. wie beim Total Commander). Scrollt man nach unten, findet man unter "h" die "hldrrr.exe"!

Da der Eintrag versteckt ist und man im WinHex nur beschränkte Möglichkeiten hat (=> Demo-Version), nutzen wir "HxD" (Freeware Hex-Editor für Laufwerke)!

Wir starten also "HxD" und gehen in der Symbolleiste auf "Datenträger öffnen".

Im Dialog "Datenträger öffnen" klickt man zuerst auf "Schreibgeschützt öffnen", damit der Haken weg ist.

WARNUNG! Alles was geändert und dann gespeichert wird, wird tatsächlich auf der Festplatte geändert!!

Nachdem der Haken weg ist, wählt man das entsprechende Laufwerk aus (gleicher Buchstabe wie unter "WinHex"!!!!!!) und bestätigt mit "Ok".

Unter "Suchen" - "Gehe zu..." kann man ein sogenanntes "Offset" eingeben. Dieses Offset ist (standardmäßig!) eine Hexadezimalzahl und diese ist aus dem "WinHex" zu entnehmen. Hat man nämlich auf die "hldrrr.exe" geklickt, erscheint in der Mitte (unterhalb der Verzeichnisliste) eine Hexadezimale Liste die den Programmcode anzeigt.

Um den richtigen Hexwert zu nehmen, muß man den Wert nehmen, der in der gleichen Zeile unter "Offset" steht wie das "MZ" (standardmäßig 1. Zeile).

Der Wert muß so wie er da steht bei "HxD" eingetragen werden und dann mit "Ok" bestätigt werden. Tipp: am Besten vorher nochmals kontrollieren!

Daraufhin wird dann die entsprechende Stelle gesucht. Leider zeigt "HxD" die Stelle nicht direkt in der 1. Zeile an, so das man hochscrollen muß bis diese ganz oben steht.

ACHTUNG!! Wenn der Offset-Wert der 1. Zeile in "HxD" dem von "WinHex" in der 1. Zeile entspricht UNBEDINGT(!) genau vergleichen, ob beide auch gleich sind!! Eine Änderung könnte fatale Folgen haben.

Wenn beide Auflistungen genau übereinstimmen ist alles ok und eine Änderung bewirkt genau das, was sie soll: der "hldrrr.exe" den "Saft abdrehen"!

Um dies zu erreichen, überschreibt man einfach ab dem "MZ" im "HxD" die Werte mit einer Null! Um sicher zu gehen reicht es, wenn man bis zum Text "This program cannot be run in DOS mode" die Nullen schreibt.

Anschließend speichert man die Änderung.

Der Hinweis der erscheint kann bestätigt werden, da ja kontrolliert wurde das es die richtige Stelle ist und die Änderung gemacht werden soll.

Damit das "Rootkit" nicht weiter die Dateien und Einträge in der Registrierungsdatenbank verstecken kann, suchen wir im "WinHex" den Eintrag "srosa.sys" heraus und gehen genauso vor, wie bei der "hldrrr.exe"!

Als nächstes werden beide Programme beendet, die Festplatte ordnungsgemäß abgemeldet und wieder in den anderen Computer eingebaut.

Um zu gucken, ob die "Operation" geglückt ist, wird der Rechner ganz normal gestartet.

Nun sollten weder die "hldrrr.exe" noch die "srosa.sys" gestartet worden sein. Um das zu kontrollieren sucht man im Registrierungseditor einfach mal den Schlüssel "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" auf. Erscheint dort ein Eintrag bei dem unter "Wert" die "hldrrr.exe" erscheint, so ist das Rootkit erfolgreich gekillt worden und der Eintrag kann gelöscht werden!

Entsprechend muß auch unter "HKEY_LOCAL_MACHINE" bei "Run" ein Eintrag vorhanden sein.

Jetzt kann man auch wieder seine Lieblings-Anti-Viren und Rootkit-Remove-Software nutzen, um Windows von den "Resten" des Schädlings zu säubern.

Hinweis in eigener Sache: ich übernehme keine Garantie und keine Gewähr für diese Anleitung! Sollte es zu einem Datenverlust kommen so übernehme ich keine Haftung dafür.

Ich weise AUSDRÜCKLICH daraufhin, das die Manipulationen an einem Datenträger nur von Personen durchzuführen sind die genau wissen, was sie tun! Daher ist diese Anleitung nicht für Personen geeignet, die nur Grundkenntnisse im Bereich Computer besitzen!!

Sollte jemand nur Grundkenntnisse besitzen und diese Anleitung trotzdem nutzen wollen, so rate ich dieser Person DRINGEND dazu einen Bekannten mit den entsprechenden Kenntnissen zu konsultieren!

Hi,

ich hab ja Achtung vor Bit- und Byte-Tüftlern, aber die Anleitung lass ich nicht unkommentiert. Wenn man die Platte schon in einen anderen Rechenr eingebaut hat, dann kann man die beiden Dateien dort gleich löschen (oder durch einen anderen Inhalt ersetzen), da braucht man keine Hexadezimaleditoren, um die Platte zu editieren.

Man muss die Platte nicht mal in einen anderen Rechner einbauen, mit Blacklight (eventuell noch Avenger) lassen sich die Dateien auch so erledigen.

Das Hauptproblem bei dem Bagle sind die schweren Folgeschäden, die er dem System hinzufügt. Da passt die Anleitung komplett, die Registrydateien mit Winhex überarbeiten dürfte auch eine harte Nummer sein, noch dazu man bei dne gelöschten teilen nicht einmal weiß, was denn für das konkrete System dort einzutragen ist ;)

Genau die brauchen die Anleitung nicht, denn die fangen sich keinen Bagle. Und falls doch, installieren sie ihr System ratzfatz neu: Denn sie wissen genau, was sie tun :)

Gruß, Karl

@karlkarl

Also ich habe da eine andere Erfahrung gemacht!

Ich hatte mal einen Virus drauf, bei dem die schädliche EXE-Datei sichtbar war! Ich versuchte diese mit dem BitDefender zu löschen. Fehlanzeige! Der BitDefender konnte die Datei nicht entfernen, weil ein Schreibschutz vorhanden war.

Um den Schreibschutz zu umgehen, habe ich also Linux gestartet. Die Windows-Partition wurde mit allen Schreib- und Leserechten (war damals noch FAT32!) unter Linux eingebunden.

Da dachte ich mir:"Ok. Nu isser weg der blöde Virus!". Verzeichnis ausgewählt, draufgeglickt und löschen ausgewählt. Schwups bekam ich die Mitteilung das die Datei nicht zu löschen sei!

Also hab ich "Trick 17" angewandt: Editor geöffnet, Datei geladen, den EXE-Header mit Null überschrieben und wieder gespeichert.

Anschließend konnte ich unter Windows mit dem BitDefender die Datei löschen.

Zurück zu dem Trojaner den ich drauf hatte: er war im Dateisystem nicht sichtbar und somit kann man den dann auch nicht überschreiben! Denn: was Windows nicht "sieht" ist nicht da (in Ausnahmefällen).

Sicherlich funktionieren "Anti-Rootkits". Die Frage ist nur: wie lange? Das mittlerweile eine ganze Latte von Antivirus-Programmen und Anti-Rootkits von den Trojanern geblockt bzw. am Start gehindert werden, zeigt doch deutlich, was für ein gefährliches Potential in den Schädlingen steckt!!

Irgendwann ist es notwendig das man einen sauberen Zweitrechner zu Hause stehen haben muß, damit man dort die verseuchte Platte einbauen kann um sie zu reinigen, weil das Windows so "abgeschottet" ist, das fast gar nichts mehr geht!


Ich wüßte jetzt nicht, wo ich geschrieben habe, das man die Registrierungsdatenbank mit WInHex "überarbeiten" soll bzw. darf. Als ich Pfadangaben in der Registrierung angegeben habe, habe ich in dem Zusammenhang auf den Registrierungseditor verwiesen, weil

1) "WinHex" in der Demoversion keine Änderungen am Datenträger speichert und,
2) man die Dateien, die die Registrierung bilden, überhaupt nicht "entschlüsseln" kann um die entsprechenden Werte zu ändern


Eine persönliche Anmerkung habe ich noch: um Personen, die Trojaner die so gefährlich wie die aus der W32.Bagle-Familie sind, auf lange Sicht das "Leben so schwer wie möglich" zu machen, sollten so wenig Informationen wie möglich gemacht werden! Denn: solche Leute lesen die Beiträge in diesem Forum garantiert auch, denn so erfahren sie mehr über neue Anti-Rootkits und diverser anderer Programme die ihre "Vorhaben" erschweren könnten!

Daher halte ich viel davon, wenn man den Tipp gibt: Platte ausbauen und in einem sauberen System reinigen! Denn da hat man Ruhe vor dem Schädling, weil er "friedlich" ist und nicht verhindern kann das Anti-Rootkits und Anti-Virenprogramme im den "Saft abdrehen" und ihn ins Nirwana befördern!!

Mal abgesehen davon ,wieso du einen staubigen Thread vom letzten Jahr rauskramen mußtest....;)

Erst mal muß ich als ONU eine Platte ausbauen können...
Dann muß ich eine zweite Kiste und das nötige Können vorrätig haben....
....und warum ich das nicht gleich mit Knoppix machen kann,erschließt sich mir auch nicht....
Sollte tatsächlich der Schädling "friedlicher" sein ,wenn er samt Platte in einen anderen Rechner muß ? :D

Deshalb halte ich von deiner Idee gar nix !!
Eine Neuinstallation ist der einfachere Weg und sicherer obendrein,denn ich muß mir keine Sorgen machen eventuell irgend was übersehen zu haben...
Irrlicht

Meist würde schon die Wiederherstellungskonsole reichen (gegebenenfalls mit Erweiterung per Richtlinie), aber der übermäßige Einsatz von Software (auch in Form von anderen OSen) scheint bei der Schädlingsbekämpfung Mode zu sein.

Nachtrag:

Nun. Ich zähle mich mit den mittlerweile 8 Jahren Internet-Erfahrung mal zu denen die "wissen was sie tun". Allerdings kann es auch solchen Leuten passieren, das sie sich einen Virus oder Trojaner einfangen!

Denn: irgendwann ist ein neuer Schädling mal so neu, das jegliche Antiviren-Software machtlos ist! Sicherlich wird im nächsten Update der neue Virus mit aufgenommen, aber das heißt noch lange nicht, das dieser Schutz auch 100 %ig ist!

Mein BitDefender z. B. hat es nur bedingt geschafft den "Trojan.Downloader.Bagle.GD" zu blocken!

Den "Rest" mußte ich von Hand entfernen.

Außerdem: einige haben nicht die Zeit Windows neu aufzusetzen und alles wieder zu installieren, da sie z. B. beruflich auf den Computer angewiesen sind und jede Minute kostbar ist.

Sicherlich kann man sich ein Image von der Installation machen, aber was ist z. B. wenn man sich einen Virus oder Trojaner einfängt der momentan nicht von der Antivirus-Software erkannt wird und man sich dann ein Sicherheits-Image erstellt?

Nun der Trick an der Sache mit der Erfahrung ist, dass man nach 8 Jahren eigentlich auch ohne Virenscanner wissen sollte ob sich in der Datei ein Trojaner findet oder nicht.
Das ist dann wieder unabhängig von den Updates von Bitdefender.

Und da ist es schneller, die Platte auszubauen, woanders einzubauen, auf der Platte nach allen Spuren zu suchen und mit verschiedenen Tools die Dateien zu verändern?
Da ist ein Neuaufsetzen allemal schneller.

Na dann nimmst du eben das vorherige Image. Eigentlich reicht ein Image nachdem du alle notwendigen Programme (und möglichst vorm runterladen irgendwelcher illegalen Daten) heruntergeladen hast.
Das Backup deiner Daten solltest du natürlich häufiger Vornehmen, aber das sind dann ja eigentlich auch nicht ausführbare Dateien.

lg myrtille, die sich auch mal einmischen will.

Ein Image ziehe ich von der Basisinstallation inklusive Treiber, Patches und sämtlicher Anwendungssoftware (inklusive Patches für diesen Zeitpunkt). Daten gehören auf eine Datenpartition. Ich sehe da kein konkretes Schädlingsproblem was einen aus der Fassung bringen sollte.

Wer beruflich auf den Rechner angewiesen ist - und das auch noch dringend - dem ist nicht mehr zu helfen, wenn er versucht seine kostbare Arbeitszeit mit sinnloser Frickelei zu verbringen. Image plus Datenbackup (wenn notwendig) und gut ist. Sollte maximal 15 Minuten dauern. Schädlingsjagd ist im privaten Bereich ja ne kurzweilige Sache, in Produktivumgebungen aber völlig fehl am Platz außer es geht um forensische Aspekte.

Edit:
Der Feinschliff hat mich jetzt die Position gekostet. Aber sei's drum, morgen Katrin :party:

@irrlicht:

Wie heißt der "Standardspruch" in vielen Foren? "Bevor Du eine Frage stellst google erstmal!" Und genau das kann ja wohl jeder. Oder?

Sicherlich: man findet zig Anleitungen wie man eine Festplatte einbaut, aber ich denke mal das jeder in der Lage ist aus der Einbauanleitung eine Ausbauanleitung zu machen indem er nur die Passagen aus der Anleitung nimmt die sich mit dem Öffnen des Gehäuses, dem richtigem Anbringen der Stecker, dem Festschrauben der Platte und dem richtigen Schließen des Gehäuses befassen.

Wer absolut nicht weiß wie er es machen soll, der kann z. B. zu einem Verwandten, Bekannten, Freund oder Fachhändler gehen!

Denn: JEDER kennt irgendjemanden der das kann oder weiß wie es geht!

Ich habe mir z. B. auch selbst beigebracht einen PC zusammenzubauen... Aber das ist eine andere Geschichte.


Verwandte, Bekannte oder Freunde haben bestimmt einen sauberen PC! Mittlerweile dürfte ja jeder in Deutschland einen Computer haben. Wenn ich das nötige "Können" nicht besitze, dann suche ich mir jemanden der es hat. Nebenbei: das hatte ich bereits in der Anleitung geschrieben!


Hmmm.... Liegt vielleicht daran, das Linux nicht gerade einfach ist? Außerdem: unter Knoppix werden die Laufwerke nicht mit den notwendigen Schreib- und Leserechten eingebunden! Und diese Konfiguration muß von Hand gespeichert werden. Die notwendigen Schritte hierfür sind auch nicht unbeding "ein Klacks" für einen absoluten Linux-Newbie...


Also: wenn ich die Platte mit einem installierten Windows in einen anderen Rechner einbaue oder anschließe und das Windows starte, also nicht das Windows von der nachträglich angeschlossenen Platte!, dann kann ich z. B. das Windows auf der angeschlossenen Platte komplett und ohne Probleme löschen! Ich meine NICHT formatieren, sondern die Dateien und Verzeichnisse löschen.

Das heißt doch: die Dateien werden definitiv nicht genutzt beim Windowsbetrieb und daher kann doch auch der Schädling nicht gestartet werden!

Ich hatte übrings auch darauf hingewiesen, KEINE DATEI von der infizierten Platte zu öffnen oder gar zu starten!

Täusche ich mich oder werden hier einige Teile meiner Anleitung nur "flüchtig" überflogen? <= das soll jetzt keine Meckerei sein! Aber ich habe weiter oben in dem Posting auch schon auf Dinge hingewiesen die ich in meiner Anleitung geschrieben hatte die aber in den entsprechenden Kommentaren nicht beachtet wurden.


Ein freies Land gewährt eine freie Meinung! Ich finde, das jeder SELBST entscheiden sollte, WAS für ihn der "bessere Weg" ist!


Das mag in einigen Situationen zutreffen, aber nicht in allen! Genauso trifft es zu, das meine Anleitung auch nicht für jeden der "richtige Weg" ist!

@myrtille:

Stimmt! Nach 8 Jahren hat man ja den "Röntgenblick"! Da sieht man es ja von vornherein. :daumenhoc

Hmmm... Wenn ich meine notwendigen Programme alle installiert und eingerichtet habe, würde mich das Backup so ca. 4 GB kosten (oder auch etwas mehr).

Da müßte ich schon einen DVD-Rohling nehmen um das Image zu sichern (wenn die Archivierung eines Backups bezahlbar bleiben soll!).

Nur: wenn ich die DVD gebrannt habe und auch überprüft habe, ob alle Daten wirklich richtig geschrieben wurden, dann ist noch lange nicht gesagt, ob die DVD beim nächsten Einsatz nicht doch Lesefehler beinhaltet...

Und was mach ich dann?


@MightyMarc:

Das sehe ich genauso und handele ja auch danach! Ich habe eine Partition nur für Windows und der Rest ist auf anderen Partitionen untergebracht.

Ich habe auch sämtlichen Freunden und Bekannten diesen Tipp gegeben. Aber was sieht man immer wieder, wenn man einen PC neu kauft: eine Partition C und da ist alles drauf...

Vermutlich wären es eher 2 GB (Kompression).

Wenn Du auf optischen Medien "sicherst" und die "Sicherung" nicht direkt nach dem Erstellen testest, begehst Du gleich zwei Kardinalsfehler. Das Image legt man z.B. auf einer separaten Festplatte ab.

1. Niemand wird gezwungen sich einen solchen Rechner zu kaufen.
2. Ein zweite Platte umgeht das Problem ganz elegant.
3. Partitionieren und neu installieren ist bei solchen Wald- und Wiesen-PCs nie ein Fehler.
4. Wer von PCs keinerlei Ahnung hat und sich trotzdem einen zulegt, sollte wenigstens noch Geld für vernünftigen Support/Service zurücklegen oder sich soweit weiterbilden, dass er/sie grundlegende wichtige! Dinge selber erledigen kann. Die Zeit reicht ja auch für ne Menge Blödsinn am Rechner, wieso dann nicht auch mal für was vernünftiges?

BTW mal im Bekanntenkreis zu sagen "Du, da hab ich keine Ahnung. Dumm gelaufen ...." ist ab und an sehr befreiend.

@MightyMarc:

Ich weiß ja nicht, aber was bedeutet inhaltlich denn das folgende Zitat?

"...wenn ich die DVD gebrannt habe und auch überprüft habe, ob alle Daten wirklich richtig geschrieben wurden..."


Und genau das halte ich für einen riesen Fehler!

Ich hatte mal eine Festplatte die war höchstens(!) 14 Tage alt als ich sie mal zur Datensicherung mitgenommen habe. Von einem Bekannte die Arbeitskollegin wollte den Rechner mal neu eingerichtet haben und da hatte ich mich bereit erklärt ihr zu helfen.

Wie dem auch sei: ich hatte die Platte angeschlossen und die entsprechenden Daten draufkopiert. Rechner heruntergefahren, ausgeschaltet und Platte abgezogen.

Als ich mit einrichten fertig war, hab ich sie wieder angeschlossen und: NÜSCHT! Die Platte war tot!

Sie liegt heute noch in der Ecke rum...

Das ist sicherlich kein alltäglicher Fall, aber daran sieht man das auch eine Festplatte nicht unfehlbar ist bzw. wir Menschen in der Produktion.

Was viele sich einfach nicht vor Augen führen, mich eingeschlossen(!), ist die Tatsache, das es nicht selbstverständlich ist das die Festplatten die angeschlossen sind auch beim nächsten Start noch gehen!

Deshalb bin ich der Meinung, das eine effiktive Sicherung nur auf Speichermedien möglich ist, die keine Elektronik beinhalten (z. B. Diskette, ZIP-Diskette, CD/DVD, Datenbänder usw.).

Für den Heimanwender, der mal ab und zu ne Mail von seinen Kindern oder Freunden, Bekannten bekommt und im Internet etwas surft oder ab und zu mal nen Brief schreibt, ist die Sicherheitskopie auf der Festplatte eine bequeme und brauchbare Sache.

Wer allerdings mehr macht sollte wirklich die Sicherung auf ein oben genanntes Speichermedium packen.


Stimmt vollkommen! Aber seien wir ehrlich: die großen Discounter machen dem PC-Neuling schon den Mund wässerig mit ihren (manchmal übertriebenen) Angeboten.

Sicherlich! Nur wissen die wenigsten, wie sie eine solche 2. Festplatte in den Rechner hineinbekommen!

Das sind meistens die Rechner zu denen ich "gerufen" werde. ;)

Ich merke schon: wir haben die gleichen Meinungen! Auch ich sage immer wieder, wenn es im Gespräch zur Sprache kommt, das die Leute einen PC zu Hause haben und nur wissen, was passiert wenn sie auf "das Bildchen klicken" oder auf das...

Und erscheint dann mal ein Fenster das sie noch nie vorher gesehen haben, dann kommt:"Kannst Du mal schnell kommen? Da ist was auf dem Bildschirm das ich noch nie vorher hatte!"

Guckt man dann nach denkt man nur:"Oh man! Für diese 'Kleinigkeit' bist Du jetzt gerufen worden? Mit etwas mehr Kenntnis wäre das für denjenigen selbst zu lösen gewesen!"

Manchmal denke ich echt, das ein "Führerschein für den PC" Pflicht sein müßte, wenn man sich einen PC kaufen will.

Beim Auto ist ein Führerschein ja auch Pflicht!

Und ehrlich gesagt: so manche Internetbetrüger hätten weitaus mehr Schwierigkeiten, wenn die Leute bezüglich PC mehr Grundkenntnisse besitzen würden!

Stimmt! Aber ehrlich gesagt: ich kann da echt schlecht "nein" sagen, wenn es um den PC geht. Es ist halt mein Hobby das ich seit nunmehr 22 Jahren habe...

Das Zitat bedeutet in den meisten Kulturen (außer vllt in Papua-Neuguinea), dass Du überprüfst (überprüfen lässt), ob die Daten auf dem Medium Bit für Bit dem Original auf der Festplatte entsprechen. Mit Image testen hat das genau gar nichts zu tun.

Du darst halten was Du willst.

Kardinalsfehler Nummer drei: Man sichert redundant (auf zwei unabhängigen Medien) bzw alternierend (Sicherung 1 auf HDD A, Sicherung 2 auf HDD B, Sicherung 3 auf HDD A ...).

Die wenigsten führen sich vor Augen wieviel Schrott sie in Binärform rumfliegen haben. Papierakten packe ich in einen feuerresistenten Aktenschrank bzw Tresor, mit digitalen Daten verfährt man analog. Damit wäre man bei Kardinalsfehler Nummer vier: sensitive Daten sichert man verschlüsselt!

Viel Glück dabei. Ich werd's keinem empfehlen.

Für mehr geht es ab HDD los und hört bei Bändern auf.

Das wäre dann ein klarer Fall von dumm gelaufen. 18 Jahre nicht vor ein Auto zu laufen ist keine Qualifikation einen Computer zu bedienen! Man mache sich schlau oder bezahle für Dienstleistungen.


Ach, ich hab's mir schnell angewöhnt. Frickeln kann ich an meinen Rechner, der der Familie und den Firmenrechner. Mehr muss für mich nicht sein.

@MightyMarc:

Also: nicht das wir uns mißverstehen! Ich bin KEIN IT-Fachmann. Als IT-Fachmann hat man, was Datensicherung usw. angeht, natürlich die Nase "ganz vorn" und weiß über diesen Bereich sehr viel. Denn schließlich ist das ja auch das "tägliche Brot"!

Deshalb denke ich mal, das wir das Thema "Datensicherung & Co." (also alles was damit zu tun hat => inkl. Datenverschlüsselung) mal auf sich beruhen lassen, denn sonst könnten wir auch die Sache rumdrehen und ich fange an über die richtigen Möbel zu sprechen und was man dabei beachten sollte bzw. muß...

Vielmehr sollte man diesen Thread dazu nutzen dem "normalsterblichen" User mit geringen Kenntnissen Informationen zukommen zu lassen die er auch leicht umsetzen kann.

Ich auch nicht.

Aha....
Von den "Normalsterblichen" verlangst du also die Umsetzung eines Ausbau`s der Platte,die er sich natürlich vorher ergoogelt möglichst bevor die Kiste keinen Mucks mehr macht, und in einem hoffentlich sauberen Rechner wieder einbauen und mittels zu ladender Editoren die entsprechenden Dateien zu löschen,natürlich hat sich ONU ebenfalls vorher für den Ernstfall entsprechend informiert und weiß nun genau,wie der Umgang mit einem Editor vonstatten geht ,welche Dateien zu löschen sind und welche Schrauben zu lösen....?
Das ganze dann statt ein Image oder einer Neuinstallation ?

Geh doch mal wieder an die frische Luft und schau dir so einen "Normalsterblichen" an und versuche auch mal ihn anzusprechen und zu fragen was er wohl für den leichtereren und besser gangbaren Weg hält....;)

Sinnloses Beharren auf nicht haltbaren Positionen wird landläufig als Sturheit bezeichnet.
Irrlicht ,
der nun nicht weiter füttern wird......

Sorry Leute!

Aber wenn man hier so angegangen wird (s. irrlicht) und es wird nicht vernünftig diskutiert, dann sehe ich, ehrlich gesagt, in diesem Forum hier keinerlei Sinn!

Ok!

Nur gegen andere Ideen und Vorschläge zu wettern ohne sich damit auf vernünftiger Basis auseinanderzusetzen nennt sich landläufig "Besserwisserei"!

Und wenn ich eins nicht leiden kann, dann ist das Besserwisserei.

Ich für meinen Teil hab andere wichtigere Dinge zu tun, als hier auf irgendwelche Postings von irgendwelchen "Besserwissern" zu warten und mir damit wertvolle Zeit stehlen zu lassen!

Werdet mit Eurem Forum "glücklich"!

Ich jedenfalls klinke mich hier aus und werde meinen Account wieder löschen...

Schade um die vertane Zeit!


Nochwas: es ist echt traurig und ein Armutszeugnis, wenn man seit der Registrierung 2.466 Postings verfasst hat und noch immer nicht kapiert hat, wie man sich in einem Forum verhält...

Naja, was sollen wir denn tun? Es wurden dir zig Alternativen vorgeschlagen, die allesamt einfacher, schneller und sicherer sind, als dein Vorschlag.
Neuinstallation hast du mir dem immer wieder beliebten "Zeit"-Argument abgelehnt, weil es ja schneller ist, die Platte auszubauen.
Die anderen Vorschläge von root, mightymarc und Co hast du ignoriert.
Wenn es dir Spass macht, kann ich dir auch noch sagen, dass ein ausbauen absolut unnötig ist und ich die Bereinigung auch am laufenden System durchführen kann.

Genau, daher sag uns bitte was hast du gegen
1) ne Bereinigung am laufenden System
2) ne Bereinigung mit der Wiederherstellungskonsole
3) ne Bereinigung mit einer Linux-Live-CD
4) Formatieren und Neuaufsetzen/Image (ok, das hast du gemacht. Aber keinen überzeugt. :p)

Unsere Kritik war und ist: Deine Bereinigung ist umständlich, langwierig und eine Backdoorbereinigung ist IMMER riskant. Da man nicht weiß was noch aufm Rechner ist.


Ich auhc, weswegen ich mich eigentlich darüber, ärgere, dass ich dir tatsächlich nochmal antworte.

Danke!

lg myrtille