|
Rootkit / Trojanerbefall- erfolgreich entfernt ? Hallo, beim Ansurfen einer Website hat sich vor 2 Wochen ein ganzes Paket Schädlinge gedownloadet. Ich nutze XP SP 2 (Updates aktuell) Motherboard MSI KK9N Neo-F V2 CPU Athlon 64X2 4200+ AM2 Festplatte intern (Laufwerk C) Samsung 250 GB Festplatte extern (Laufwerk E) LaCie (WD) 80 GB Antivirenprogramm AVAST Firefox 3 (beim Befall: Version 2) Die angezeigten Schädlinge nennen sich Win 32:Trojan.gen Win 32: Bravix VBS: Malware-gen Win32/Adware.Virtumonde Win32/PrivacyRemover.M64 C:\WINDOWS\system32\TDSSL.dll.virus (wurde auch als Rootkit bezeichnet) Ich habe zuerst zum Putzen verwendet: AVAST Bitdefender Free Edition v10 Spybot S & D Danach schien das System frei, aber hängte sich bisweilen beim Hochbooten auf, obwohl ich XP regelmäßig mit Tune Up 2004 aufräume. Danach ließ ich Panda Anti- Rootkit 1.08 suchen, das fand nichts. Um sicherzustellen, daß nichts vor Windows zuschlägt, prüfte ich mit Avira Rescue System und F-Secure Rescue CD 3.0, beide mit bootbarer CD unter Linux (?) ausgeführt. F-Secure hatte dabei herbe Schwierigkeiten, den MBR zu testen, lauter Error- Meldungen. Also hab ich ihn sicherheitshalber mit fixmbr neu erstellt. Seitdem bootet der PC wieder flüssig hoch. AVAST lief auch im abgesicherten Modus über den PC. Dabei konnte ich Zoltan und Smitfraud löschen. Die Tage gab AVAST eine Warnung durch, mögliches Rootkit TDss.A (uVb, hatte ich nicht notiert). AVAST benannte die Datei um, mit Bitdefender konnte ich sie löschen. Danach suchte ich mit verschiedenen Anti- Rootkits: MS Malicious Software Removal Tool AVG Anti- Rootkit free Sophos Anti-Rootkit, alle zeigten keinen Befund. Hab ich mein System jetzt wieder sauber ? Kann ich wieder unbesorgt in Online- Shops bestellen ? Was kann ich noch tun ? Bitte habt etwas Nachsicht mit mir, ich bin ein recht guter User, hab aber umso weniger Ahnung, je tiefer es ins System geht. Danke vorab. |
Hallo, schade, daß bisher niemand geantwortet hat. Wenn ich was falsch mache beim Posting, schreibt mir das ruhig, ich bin kritikfähig ;) . Vielleicht hätte ich gleich ein HJT- Logfile posten sollen. Wird hiermit nachgeholt: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Scanne dein system mit Malwarebytes und SuperAntispyware. Logs posten. Entscheide dich für einen Virenscanner. Avast oder Bitdefender den Teatimer und den SDhelper von Spybot - Search & Destroy würd ich deaktivieren. |
Hier ist das Log von Malwarebytes: Code: Malwarebytes' Anti-Malware 1.28Code: SUPERAntiSpyware Scan LogDen Teatimer hab ich deaktiviert. Galt das temporär oder soll er generell ausbleiben ? Avast ist mein Standard- Scanner. Bitdefender hat keinen Wächter, war nur als Ergänzung gedacht. Soll ich ihn löschen ? Die Anleitung zu Super Antispyware solltet ihr überarbeiten. Die Screenshots und das Handling hat sich teilweise geändert. Was kann ich noch tun ? Danke, Horst |
Das Hijackthis Log sieht ok aus. Den Tearimer würd ich generell deaktivieren, wenn es der Bitdefender free ist kannst du ihn installiert lassen. zu guter letzt noch das hier: Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix
|
Hallo, erty, ich habe SmitfraudFix nach Anleitung im abgesicherten Modus laufen lassen. Hier das Ergebnis: Code: SmitFraudFix v2.354Code: SmitFraudFix v2.354entschuldige, ich weiß, ich nerve. Gruß, Horst |
Hallo, erty, bis jetzt läuft das System sauber, ohne weitere Meldungen. Teatimer und SuperAntispyware hab ich aus dem Autostart rausgeworfen. Mittlerweile hab ich mich auch getraut, ein wenig MMORPG zu spielen. BTW, kann man Firefox 3 gegen Driveby- Malwaredownloads absichern ? Die Version 2 hatte ich auch so eingestellt, daß vor jedem Download gefragt wird, hatte ja leider in dem Fall nicht funktioniert. |
also so wie es aussieht hat malwarbytes und superantispyware "nur" noch reste gelöscht. Driveby-Malwaredownloads werden meist über Sicherheitslücken im Browser oder über angreifbare Systemkomponenten (Windows Media Player, real player, flash...) eingeschleust. --> updaten, updaten, updaten und überlegen auf welchen seiten man surft... Für den firefox empfehle ich dir zusätzlich das noscript. Überprüfe deine Einstellungen in Avast. |
Hallo, erty, Firefox ist auf Vers. 3.03, NoScript hab ich installiert. Flash ist upgedatet. Real hab ich nicht, Quicktime seh ich noch nach. Windows Media Player 9 ist installiert, empfiehlt es sich, auf Vers. 10 upzudaten ? Den Avast- Wächter hab ich auf hoch eingestellt, war früher auf normal. Alle Updates lass ich sowieso automatisch installieren, damit er aktuell bleibt. Die anderen Einstellungen sind Standard, Prüfung ohne Ausschlüsse. Das mit dem Überlegen, auf welchen Seiten man surft, hab ich meiner Tochter nicht ganz beibringen können (OK, ich bin da auch nicht fehlerlos ;) ), ist aber in Arbeit. Ich hab mir schon überlegt, ob ich ihren Laptop auch mit dem Internet verbinde, mal sehen. Ist mein System jetzt -soweit das übersehbar ist- wieder so clean, daß ich online einkaufen kann ? Gruß, Horst |
ich würde sagen ja, aber 100% kann ich dir das natürlich nicht bestätigen. Du könntest mit Dr.Web CureIt nochmals einen Fullscan machen. Vorteil Dr. Web: es wird nichts, auch keine services o.ä installiert. |
Hier das Ergebnis von Dr.Web CureIt: Code: mzccntrl.exe;c:\programme\gemeinsame dateien\marmiko shared;Adware.Msearch.origin;;- patience.exe/Kartenspiele Vol.2 ist von einer Kauf- CD, hab ich schon seit Jahren; - tibia800 ist die Vorgängerversion des Installers des MMORPG, das ich gelegentlich spiele. Seltsamerweise sehe ich auf Laufwerk E: (meine externe Platte) die Version 800 nicht, auch die Windows- Suche findet nur einen Eintrag unter C:, den ich gleich in den Papierkorb geworfen habe. Dr. Web CureIt hab ich genau nach Anweisung durchgeführt und keine extra Löschaktionen durchgeführt; hätte ich noch was abschießen sollen ? Gruß, Horst |
Es wurden ja einige Dateien verschoben, also nicht wundern, falls es mit T-online (mzccntrl.exe, AAWLaMaS.dll beide T-Online International AG, Marmiko IT-Solutions GmbH) Probleme gibt. Es kann durchaus sein dass es sich um false positives handelt. Du kannst die entsprechenden dateien auch online bei Virustotal und Jotti scannen lassen. Die Process.exe und restart.exe gehören zu SmitfraudFix die tibia800.exe scheint mir jedenfalls nicht i.O. Analyse tibia800.exe bei der patience.exe denke ich, handelt es sich auch um einen FP. |
Hallo, erty, sorry, war gestern so eingespannt, daß ich nicht am Schädlingsproblem arbeiten konnte. Heute hab ich Dr.Web nochmal durchlaufen lassen; hier das Ergebnis: Code: patience.exe;C:\Programme\you_games\KartenspieleVolume_2\Patiencen;Wahrscheinlich BACKDOOR.Trojan;;Diesmal habe ich aktiv nachgeholfen, Ergebnis wie folgt: - Patience.exe: gelöscht, mit dem Ergebnis, daß XP jetzt die Platte nach dem Spiel durchsucht. Macht nix, kann ich jederzeit wieder von CD installieren. - A0000956.exe / Tool.Prockill: Nicht desinfierbar, wurde verschoben. - A0000958.exe / Tool.ShutDown.11: gelöscht. - A0001019.exe / Archiv enthält infizierte Objekte: von Dr.Web verschoben. - A0001019.exe\data001 / Win32.HLLW.MyBot.10: scheint eine Unterdatei der vorhergehenden (verschobenen) zu sein, ließ sich nicht manuell killen, da Dr.Web die Optionsbuttons inaktiv ließ, als ich die Datei markierte. Ist der "Bot" jetzt unschädlich ? P.S.: für den "Tibia800-bot" hätte ich vielleicht eine Erklärung. Die 800 war das Sommerupdate, und das MMORPG litt massiv unter Spielern, die ihre Chars mit Botprogrammen jagen und hochleveln ließen. Seit diesem Update sind über 1.500 solcher Leute aufgeflogen und gesperrt worden. Könnte das eine Datei sein, mit der man kontrollieren kann, ob ein Spieler ein Botprogramm einsetzt ? Habe ich das Ungeziefer jetzt vertilgt, bzw. was kann ich noch tun ? Gruß, Horst |
P.S.: Hab die A0001019.exe in der Quarantäne von Dr.Web gefunden und sie mit dem TuneUp Shredder gründlich gelöscht. Ich hoffe, das war OK. |
ja war ok. das was Dr. Web gefunden hat war in der Systemwiederherstellung. deaktiviere die Systemwiederherstellung (alle wiederherstellungspunkte werden gelöscht) und aktiviere sie anschliessend wieder. |
Hallo, erty, ich hab die Systemwiederherstellung deaktiviert und dann wieder aktiviert. Gruß, Horst |
dann dürfte jetzt weder dein avast noch Dr. Web noch Malwarebytes etwas finden... |
Hallo, erty, Dr.Web hat nichts mehr gefunden. Die anderen Scans folgen bis morgen. Gruß, Horst |
Auch Malwarebytes hat nichts gefunden, hier der Bericht: Code: Malwarebytes' Anti-Malware 1.28 |
So, und zur Vollständigkeit noch das AVAST Log: Code: *Mir ist klar, die einzige wirklich sichere Methode ist alles plattmachen, Festplatte komplett leer, alles neu aufsetzen. Aber z. Zt. ist mir das zuviel- ich hab eh schon zu wenig persönliche Freizeit. Das ist nicht Dein Problem, erty, und ich danke Dir, daß Du die Zeit aufwendest, an meinem Problem zu arbeiten. Haben wir jetzt alle Risiken soweit wie möglich ausgeräumt ? Gruß, Horst |
Hallo, erty, das System läuft einwandfrei, keine seltsamen Meldungen. OK, OK, ich melde mich nur, um meinen Thread wieder nach vorne zu bringen :) . Ich will ja geduldig sein :cool: Gruß, Horst |
Bevor ich mit meinem Thread am Ende von Seite 3 vielleicht ins Nirwana verschwinde ... :) , wollte ich mich wieder sichtbar machen. Keine besonderen Vorkommnisse auf meinem PC. Zur Erinnerung nach dem verlängerten Wochenende: Ist mein System jetzt -soweit das einschätzbar ist- wieder so sauber, daß ich gefahrlos in onlineshops bestellen kann ? Alle empfohlenen Schutzmaßnahmen hab ich durchgeführt, die letzten Scans scheinen sauber. Gruß, Horst |
in Ausschnitten Zitat:
nachdem was mittlerweile alles drüber gelaufen ist, denke ich dass dein PC zum jetzigen Zeitpunkt OK ist... Bitte informiere dich über die Vermeidung einer Infinzierung genauso intensiv wie mit der Beseitigung... Dann paßt auch künftig alles. Grüße erty |
RUMMS ! Das war der Wackerstein, der von meiner Brust gefallen ist :D :Boogie: . Wie gesagt, ich hab alle Deine Sicherheitstipps ausgeführt und meiner Tochter klargemacht, wie man mit NoScript umgeht. Und ich hab mir vorgenommen, selber aufmerksamer zu sein, denn das größte Sicherheitsleck sitzt vor dem PC ;) . Du kannst den Thread jetzt schließen, und - :dankeschoen: :dankeschoen: :dankeschoen: :dankeschoen: Grüße, Horst |
ich möchte noch undoreal zitieren: Zitat:
Benutzerkonten in XP Grüße |
Hallo, erty, Danke für die Tips. "Mein" Antivirus ist Avast free. Win XP ist auf dem neuesten Stand. Grafik- und Soundtreiber sind relativ aktuell (Rechner ist erst ein paar Monate alt). Als Software- Firewall nutze ich Comodo, im DSL- Router soll ja eine Hardware- Firewall sein, ich muß aber gestehen, daß es mir reicht, daß das Teil (Speedport) seiner Bestimmung folgt. Browser ist Firefox 3.03 (jedenfalls topaktuell), die Sicherheitseinstellungen hab ich so gut ich konnte eingestellt und NoScript installiert. Zum regelmäßigen aufräumen des Rechners nutze ich Tune Up 2004, das mir schon lange treue Dienste leistet. Ich bezweifle, daß cCleaner mehr kann. Logisch, wenn ich wieder ein Schädlingsproblem hab, liest Du wieder von mir- aber hoffentlich bleibe ich künftig von sowas verschont. Diese Verschwendung an Freizeit wegen krimineller oder schlicht bescheuerter Virenbastler- :rolleyes:. Gottseidank hab ich jetzt etwas mehr Schlaf, dank Dir, erty. Grüße, Horst |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board