Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Seitenaufbau elend langsam und ANTIVIR abgeschossen (?)

Newcomer1 / 13 Antworten / Baumansicht Nickles

Ihr seht mich sehr besorgt ....

Ich bräuchte dringenst ein Viren-Trojaner-Prüfprogramm , das bis in die Tiefen des Systems vordringen kann und aber auch gepackte Dateien durchläuchtet , damit nicht schon bei deren Öffnen die Würmer sich zu verteilen beginnen ...


Seit gestern Abend dauert der Seitenaufbau innerhalb meines Internetexplorers elend langsam und ich mußte feststellen , das seit heute die installierte Schutz-Software ANTIVIR nicht mehr automatisch mitstartet.
Kurioserweise kann ich sie aber auch nicht neuinstallieren , da es beim Setup / Ausführen pötzlich heißt ..... es konnten nicht alle Dateinen installiert werden ........man möge das System neu starten ..... was sich aber beliebig lang so hinzieht.

Eine Überprüfung mit HiJackThis brachte keine negativen Erkenntnisse , der Stinger läuft jetzt gerade und eine Onlineprüfung fiel auch negativ aus.

Saystemwiederherstellung brachte keine Erfolge , egal wieweit zurück , da heißt es immer ......... Wiederherstellung nicht möglich , da NICHTS am Computer verändert wurde ....

Das merk ich aber im Umgang anders ........ hmpf
Da braucht eine Seite um sich voll aufzubauen schon ma 2 bis 3 Minuten ....... und wiegesagt wurde ja offensichtlich meine ANTIVIR-Software ausgehebelt ..

Während aber ,uf meinem Zweitsystem , andre physikalische Festplatte und eigene Partition , der Internet_Explorer die Seiten im Sekundentakt , nach Aufruf , präsentieren kann ....

Ich versteh das nicht.

Zudem läuft dort die Antivir-Software ganz normal und kann sich auch vom Hersteller updaten ..... so das auch dort nichts zu fehlen scheint.


WAS könnt Ihr mir empfehlen ?

Wie soll ich weiter vorgehen um dem Verhalten meines Erstsystems auf die Spur zu kommen ?


Tausend Dank gleich mal


Markus

bei Antwort benachrichtigen
Xdata Newcomer1 „Seitenaufbau elend langsam und ANTIVIR abgeschossen (?)“
Optionen

Hallo , versuch es mal mit a-squared 3 Free von Emsisoft.de.
Wenn Trojaner gefunden werden ist eine Neuinstallation zu empfehlen.
Malware tauscht oft Systemdateien aus und so können auch -- nach entfernen wieder
neue auftauchen.

bei Antwort benachrichtigen
Newcomer1 Xdata „Hallo , versuch es mal mit a-squared 3 Free von Emsisoft.de. Wenn Trojaner...“
Optionen

Also per ANTIVIRSUCHE von Zweitsystem aus , konnten mehrere Einträge gefunden und gelöscht werden.

Aber wie ich lesen konnte iss was ganz " Schlechtes " dann so " gut ausgelegt worden " , das beim Neustart wieder alle da sinn ..... mal schaun.

Derzeitige Situation :

Klicke ich auf Systemsteuerung und Software ....... dann stürzt der Rechner mit Bluescreen ab.

Neu-Installation von Virenschutz und Firewalls werden offenbar bekämpft , bzw. verhindert ....

Scheint wohl ein Neuaufsetzen nicht auszubleiben.

NUR :

Was mach ich danach .... ?

Ich hab Windowsfirewall , Routerfirewall , ANTIVIR-Rundumschutz , Spywaredoctor , Spamhilator und WIN-Patrol installiert gehabt.

Kann wohl tags darauf wieder das Gleiche passieren ....... wenn mir alle Vorkehrungen ned geholfen haben. (?)

Scheinbar sinn grad die ZIP und RAR Dateien auch nicht wirklich von jeder Software gleichermaßen prüffähig ,
was dem Anwender dann aber wohl nicht signalisiert wird (?)

Ich schau ma was noch möglich iss

bei Antwort benachrichtigen
REPI Newcomer1 „Also per ANTIVIRSUCHE von Zweitsystem aus , konnten mehrere Einträge gefunden...“
Optionen
Was mach ich danach .... ?

Naja , ich könnte jetzt provokatorisch sagen, ein BS aufsetzen, welches nicht aus dem Hause Microsoft stammt, dann sind die Chance eines Befalls schon mal um ca. 90 % gesunken.

Aber nein :

1. Das wichtigste ist das persönliche Surfeverhalten und der Umgang mit allen Tools, die irgendwie Daten von "aussen" bekommen.
Allgemein auch unter brain.exe bekannt.
2. Signatur des Virenscanners aktuell halten und ggf. einen Virenscanner mit Onlinescan und Mailscan wählen.
3. Neben einer Desktopfirewall ggf. auch eine Hardwarefirewall im Router nutzen und richtig konfigurieren
4. Einen anderen Browser als den IE wählen oder wenn schon IE dann Funktionalitäten wie ActiveX (http://de.wikipedia.org/wiki/Activex), Java und Javascript,Vbs sperren oder mit entsprechenden AddOns einschränken (gilt natürlich auch für FF & Komsorten).
5. Alle Sicherheitsrelevanten BS Patche einspielen (wobei dies eigentlich an Stelle 1 gehört).
6. Ein Festplattenimage nach Erstinstallation anlegen und dann in bestimmten Abständen wiederholen, um die Neuinstallation zu beschleunigen.

Es empfiehlt sich immer, etwas Linux im Hause zu haben.
bei Antwort benachrichtigen
Ventox Newcomer1 „Also per ANTIVIRSUCHE von Zweitsystem aus , konnten mehrere Einträge gefunden...“
Optionen
Was mach ich danach .... ?

Ein zweites Benutzerkonto mit eingeschränkten Rechten wäre auch nicht schlecht.
Ich würde übrigens auch empfehlen, das Betriebssystem neu zu installieren.
Wenn dann auch alles andere installiert ist, kannst Du ein weiteres Konto einrichten,
welches unbedingt per Kennwort gesichert wird.
Dem Konto, mit dem alles neu installiert wurde, kannst Du dann die Adminrechte entziehen.
Wenn dann trotz aller Vorsicht sich irgendeine Sauerei in den Rechner gemogelt hat,
hat es wenigsten so wenig Rechte etwas auszuführen wie Du.

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
Newcomer1 Xdata „Hallo , versuch es mal mit a-squared 3 Free von Emsisoft.de. Wenn Trojaner...“
Optionen

Also grad hat sich , während Noch-Prüfung von a-squared , der " Windows-Dateischutz " gemeldet und das Einlegen der Original-CD verlangt.

Da natürlich Neuerungen normal sinn buchte sich die Prüfung auch noch auf der Microsoft_Website ein .......
Jedoch hieß das Ergebnis des Vergleiches : Es liegen keine Windows-Inkompatibilitäten vor

Auch wieder klar ? .......... getauschte Dateien werden wohl den gleichen Namen erhalten haben ( Inhalt wird wohl ned gegengecheckt ? )

Obwohl ja Windows offensichtlich erkannt hat ....... das Dateien manipuliert wurden ........ nur welche das sind ......... wie krieg ich das raus ?

bei Antwort benachrichtigen
REPI Newcomer1 „Also grad hat sich , während Noch-Prüfung von a-squared , der...“
Optionen
Obwohl ja Windows offensichtlich erkannt hat ....... das Dateien manipuliert wurden ........ nur welche das sind ......... wie krieg ich das raus ?

Wahrscheinlich gar nicht, aber es ist eh unwichtig, weil Dein System nur durch eine saubere Neuinstallation aus dem Status "kompromittiert" rauskommt.
http://de.wikipedia.org/wiki/Technische_Kompromittierung
Es empfiehlt sich immer, etwas Linux im Hause zu haben.
bei Antwort benachrichtigen
Xdata REPI „ Wahrscheinlich gar nicht, aber es ist eh unwichtig, weil Dein System nur durch...“
Optionen

Also , Neuinstallation ist dringend anzuraten.
Hatte erst neulich einen Rechner wo der Anwender eine Neuinstallation nicht wollte.
Aber da war nichts zu retten , er hatte irgend ein tool? eine .exe gestartet.
Es war eine ganze Flut von angeblichen Malwareentfernern drauf.
Selbst kaspersky mußte endlich kapitulieren . nach Stunden und Strömen von kaffee
wurde dann endlich der -- einzig richtige Weg des Neuausetzens gewählt.

Für Cookies oder Werbung -- alexa usw ist eine Neuinstallation nicht nötig.
Bei echten Trojanern oder aktiver Komprmittierung ist sogar ein Wechsel von Paßwörtern rartsam.

Das soll auch eine Warnung sein für Scheintools die die "Guten imitieren" aber sich wie Läuse im Rechner
vermehren.
@repi
Ein Linux zumindest zusätzlich zu haben ist -- auch für Anfänger ein guter Rat.
Eine Mandriva , Ubuntu oder Slax Live CD kann auch hilfreich sein.
Wenn man das noch? nicht will , ein BartPe ist auch gut (Sowas wie ein Live Xp).

bei Antwort benachrichtigen
Conqueror3 Newcomer1 „Also grad hat sich , während Noch-Prüfung von a-squared , der...“
Optionen

erwiesenermaßen "sauberen" Rechner eine Rettungs-CD mit sehr akktuellen Virensignaturen zu erstellen auf Linuxbasis und von der Deinen Rechner zu scannen, und zwar nicht von der Windowsoberfläche aus.
Sollte das Tool mehrere Viren entdecken, würde ich meinen Rechner neu aufsetzen, ohne wenn und aber.
Merke: Für einen solchen Fall sollte man immer präpariert sein, indem amn ein sauberes Image hat, von dem man den PC Ruck Zuck wiederherstellen kann.
Denk mal darüber nach.
Und vergiss es, daß Du den PC mit den Sicherheitstools wieder clean bekommst, das schafft nicht einmal ein Programmierer von Microsoft.

bei Antwort benachrichtigen
Newcomer1 Conqueror3 „Was Du machen kannst ist von einem“
Optionen

Kann ich natürlich nur zustimmen ..... :)

Aber wenn ich seh , das Windows weiterhin sporadisch meldet , der integrierte Dateischutz habe eine Veränderung der Originaldateien erkennen können , dann wird doch zumindest die Hoffnung geschürt es sei festzustellen welche Files betroffen sind und man wäre noch in der Lage jene manipulierten Dateien aufzuspüren und auf Originalzustand zu bringen ....

Eher resignierend iss dann schon , wenn ich seh , dass nicht mal frühere Systemprüfpunkte dafür taugen das angegriffenen Betriebssystem auf vergangene , erwiesenermaßen , sichere Zustände zu bringen.

Wer sagt mir , das bei einer Neu-installlation des BS nicht auch übrige Partitionen meines Rechners befallen sind und eine Verseuchung quasi dann schon automatisiert erfolgen würde ?

Nicht auszudenken , jedwede Datensicherung würde sich erübrigen , wenn nachweislich Antivirensoftware hier zwar was finden und löschen kann ......... die Bösewichter sich aber verbergen und immer wieder reaktivieren können.

Könnte wohl heißen , selbst wenn ich einen niegelnagelneuen Rechner mir hinstelle , kann ich meinen gesammelten Daten der vergangnen Jahre , nicht mehr vertrauen , bzw. diese beruhigt weiterverwenden ?

Wie kann ich mich als " Microsoft-Abhängiger " am schnellsten mit der empfohlenen " Linuxbasis " vertraut machen ?

grübel

Hab da leider gar keinen Bezug zu.

Oder gibds für derlei Vorgehen im Netz Anleitungen oder Workshops ?

Oder ist es hier - ohne größren Aufwand für Euch - möglich ,
mich ein klein wenig an die Hand zu nehmen und mich anzuleiten ?

Ein Laptop mit " sauberem " Betriebssystem ( XP Prof ) stünde zur Verfügung .........


THX


Markus

bei Antwort benachrichtigen
Conqueror3 Newcomer1 „Kann ich natürlich nur zustimmen ..... : Aber wenn ich seh , das Windows...“
Optionen

"der integrierte Dateischutz habe eine Veränderung der Originaldateien erkennen können"
Das wird der Dateischutz immer wieder monieren, da neue Software neuere dll's etc. mit sich bringen und dann auich installieren wollen. Ansonsten könnte es sein, daß die zu installierende Software NICHT funktioniert.

"frühere Systemprüfpunkte "
Was sollen die bringen, außer das diese eine Unmenge an Speicherplatz reservieren / verbrauchen. Vergiss die Systemwiderherstellung und leg Dir ein gescheites Imageprogramm zu und verwalte Deine Images selber. Denn mit der Systemwiderherstellung werden nur für Microsoft wichtige Systemdateien gesichert.

"Ein Laptop mit " sauberem " Betriebssystem ( XP Prof ) stünde zur Verfügung ........."
Mit SP2 und neuesten Sicherheitspatches ?
Wenn nicht vor Aufsetzen des PC's besorgen.

http://oschad.de/wiki/index.php/Kompromittierung
http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx

Kannst Du englisch ?
Cleaning a Compromised System
So, you didn’t patch the system and it got hacked. What to do? Well, let’s see:

• You can’t clean a compromised system by patching it. Patching only removes the vulnerability. Upon getting into your system, the attacker probably ensured that there were several other ways to get back in.

• You can’t clean a compromised system by removing the back doors. You can never guarantee that you found all the back doors the attacker put in. The fact that you can’t find any more may only mean you don’t know where to look, or that the system is so compromised that what you are seeing is not actually what is there.

• You can’t clean a compromised system by using some “vulnerability remover.” Let’s say you had a system hit by Blaster. A number of vendors (including Microsoft) published vulnerability removers for Blaster. Can you trust a system that had Blaster after the tool is run? I wouldn’t. If the system was vulnerable to Blaster, it was also vulnerable to a number of other attacks. Can you guarantee that none of those have been run against it? I didn’t think so.

• You can’t clean a compromised system by using a virus scanner. To tell you the truth, a fully compromised system can’t be trusted. Even virus scanners must at some level rely on the system to not lie to them. If they ask whether a particular file is present, the attacker may simply have a tool in place that lies about it. Note that if you can guarantee that the only thing that compromised the system was a particular virus or worm and you know that this virus has no back doors associated with it, and the vulnerability used by the virus was not available remotely, then a virus scanner can be used to clean the system. For example, the vast majority of e-mail worms rely on a user opening an attachment. In this particular case, it is possible that the only infection on the system is the one that came from the attachment containing the worm. However, if the vulnerability used by the worm was available remotely without user action, then you can’t guarantee that the worm was the only thing that used that vulnerability. It is entirely possible that something else used the same vulnerability. In this case, you can’t just patch the system.

• You can’t clean a compromised system by reinstalling the operating system over the existing installation. Again, the attacker may very well have tools in place that tell the installer lies. If that happens, the installer may not actually remove the compromised files. In addition, the attacker may also have put back doors in non-operating system components.

• You can’t trust any data copied from a compromised system. Once an attacker gets into a system, all the data on it may be modified. In the best-case scenario, copying data off a compromised system and putting it on a clean system will give you potentially untrustworthy data. In the worst-case scenario, you may actually have copied a back door hidden in the data.

• You can’t trust the event logs on a compromised system. Upon gaining full access to a system, it is simple for an attacker to modify the event logs on that system to cover any tracks. If you rely on the event logs to tell you what has been done to your system, you may just be reading what the attacker wants you to read.

• You may not be able to trust your latest backup. How can you tell when the original attack took place? The event logs cannot be trusted to tell you. Without that knowledge, your latest backup is useless. It may be a backup that includes all the back doors currently on the system.

• The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications). Alternatively, you could of course work on your resume instead, but I don’t want to see you doing that.


bei Antwort benachrichtigen
Newcomer1 Conqueror3 „ der integrierte Dateischutz habe eine Veränderung der Originaldateien erkennen...“
Optionen

ohmann

also meine Befürchtungen werden wohl wahr ........
Auch das auf extra Festplatte - für Notfälle - vorgehaltene Betriebssystem wird nun offenbar scheibchenweise angegriffen.

Auch hier wurden " Antivir " und " Agnitum Outpost " zerstört ........... irgendwie werden die nötigen *.exe-Dateien einfach aufgelöst .......
echt der Hammer .......

Was würde ein Image meines Originalsystems realistisch bewirken können ?
Doch nur ... das die auf den übrigen HDDs womöglich eingenisteten Würmer sich wieder über " neue Opfer " hermachen werden ....

Gut , jetzt könnte man sagen ........ alle Festplatten formatieren und von vorn anfangen ........

Aber im Moment geht es mir eher erst darum denn sich fortschreitenden Schaden einzugrenzen und die Überltäter ev. in Schach zu halten.

Gibt es eine Sperrmöglichkeit für diese bösartigen Automatismen ?

Will heißen , kann ich zumindest sicherstellen , das nicht noch weitere Programme und Dateien so ganz einfach verändert oder zerschossen werden ?

Wichtig wär mir natürlich auch der Datenschutz , bzw. das hier nicht irgendwelche Tools " heimsenden " können ,
was sie sich womöglich zusammengegrabscht haben.

Zumindest konnte ich auf dem angeschlagenen Zweitsystem dann mein Antivir wieder neuinstallieren ,
was ja auf Erstsystemfestplatte schon gar nicht mehr zugelassen wird.
( bei neuerlichen Scans tauchte mehrmals folgender Schädling auf : TR/Bagle.Gen.B )
soweit ich beurteilen kann offenbar in Zusammenhang mit folgender Datei: C:\WINDOWS.0\system32\eventlog.dll

Kann ich den DSL-Router nutzen um zusätzliche Blockaden einzubauen , um zumindest das " raussenden " zu unterbinden ,
denn bei Zugriff und Befall nutzten weder Windows-Firewall , Router-Firewall , Software-Firewall , Antivirenschutz oder Prozessüberwachung irgendetwas ...

Als User muß ich , natürlich zu eignem Fehlverhalten hinzu , doch mit derartigem Eindringen rechnen ,
egal welche Tools oder Hardware am Markt zum Thema Sicherheit angepriesen werden (?)

hmpf


Nuja englisch KÖNNEN iss etz wohl zuviel gesagt , grad wenns technisch wird ......... iss etz scho a paar Jahrzehnte her das ich es beigebracht bekam


grübel


Aber ich werdn schaun ob mir da jemand beistehen kann


Vielen Dank auf jeden Fall


und vielleicht weiß ja jemand wie ich aktuelle Schadensbegrenzung ansetzen muß ?



THX



Markus

bei Antwort benachrichtigen
Xdata Newcomer1 „ohmann also meine Befürchtungen werden wohl wahr ........ Auch das auf extra...“
Optionen

Der DSL Router ist schon ein guter Schutz für ein -sauberes System. Also ein Blaster oder Sasser wird da nicht durchkommen.Die Schadprogramme arbeiten von innen heraus und installieren immer Neues oder sich selbst nach.
Ein weiterer Vorteil ist das der Router selbst bzw. sein internes Betriebssystem ins Netz geht NAT ist auch ein gewisser Schutz. Besonders wichtig ist es aber nicht gebrauchte Dienste auszuschalten wie es auf der Webseite -- www.ntsvcfg.de/ und www.dingens.org/ erklärt wird. auf beiden Seiten gibt es ein Tool das dies per Script oder bei dingensorg mit der win32sec.exe erledigt. Die exe kann den alten Zustand jederzeit wiederherstellen. Leider liefert Ms sein System nicht in diesem sicheren zustand aus.
Stattdessen laufen viele Dienste die man irgendwan n gebrauchen könnte

bei Antwort benachrichtigen
Newcomer1 Xdata „Der DSL Router ist schon ein guter Schutz für ein -sauberes System. Also ein...“
Optionen

alsooooo

Neuinstallation und Einrichtung eines Zweitsystems brachten keinen tatsächlichen Erfolg.

Fazit der letzten Tage war , das keinerlei Onlinezugang mehr möglich war:

> Weder auf den , auf getrennten Festplatten installierten , WIN-XP-Prof-SP2 Sytemen
> noch mittels einer Boot-CD Knoppix-Linux

trotz offensichtlich gefundenem Netzwerkzugang gelang keiner Software einen funktionierenden Internetzugang einzurichten , bzw. zu finden und zu nutzen.

Ein Gespräch mit der T-Online-Störstelle bestätigte , das die Leitung in Ordnung sein muß.

Als Alternative steckte ich versuchsweise meinen Laptop am Netzwerkpanel T-COM--SPEEDPORT-W-701 an:

> auch hier gelang keine Möglichkeit , sich mit Mailprogramm oder Internetexplorer einzuwählen ( auch Firefox meldete nicht auffindbare Seiten )
> kurios ist auch , das ich nicht mal den Router , bzw. das Konfigurationsprogramm aufrufen konnte , um wenigstens zu schaun was dort los sein könnte.


Erst als ich den Router resetete und alle Eingaben neu nachholen durfte , mit nun zusätzlich installiertem ZONE-ALARM Überwachungs-/ Firewall-Programm bin ich wohl nun - zumindest vorübergehend ? - wieder in der Lage nochmals einen Hilferuf abzusetzen:

WAS mag ich mir da eingefangen haben ?
Können Sich Viren und Würmer in der Software des Routers festhängen ?
( Das würde wohl die einzig einleuchtende Erklärung sein können warum mehrere Betriebssysteme und nicht mal das Knoppix-System sich Online_Zugang verschaffen konnten )

Bin da echt sprachlos und hilflos.

WAS nutzen mir Neuausetzungen von Betriebsprogrammen , wenn offensichtlich anderweitig und vor allem jeweils wieder neu Manipulation an meinem Rechner vorgenommen werden kann .......... oder werd ich derzeit schon " Remote-gesteuert " ?
So dass ev. der Router gar nicht mehr von mir selbst kontrolliert wird ( trotz Passwortschutz ) ?
Knoppix gab derlei Hinweise , wo es hieß womöglich stünde der Internet-Anschluß grade unter " Fremd- / Drittbenutzung " ?

Könnt IHR mir da noch Ratschläge geben was zu tun bleibt ?
Antivirensoftware , Firewalls oder ProzessController werden nach absehbarer Zeit alle ausgehebelt und erscheinen nur noch als undefinierbare ICONS und finden ihre *.exe-Dateien nicht mehr .....

echt arg

Hat jemand derartige Debakel schon mal durchleben oder lösen müssen ?

Wär da mehr als dankbar , wenn mir jemand beistehn könnte.

Saubere Systeme alleine scheinen nicht zielführend zu sein ........
Weil weder nachinstallierte BS oder extern versuchter Zugang über Notebook versagen , bzw. innerhalb 24 - 36 Stunden ebenfalls " komprimitiert " erscheinen.

Kann der Router selbst als " Virenschleuder " taugen oder muß ich davon ausgehen , das grad ihn jemand fremdes nutzen kann ?
Weil ja der Desktop-PC ausgeschaltet war , als ich auch mit Laptop keinen (Konfigurations-) Zugriff auf den Router nehmen konnte.

Bzw. was iss nun kompritmitiert ?
Mein System und / oder der Router ?





Im übrigen wird am Desktop-PC offensichtlich Neuinstallation von Schutzprogrammen verhindert und geblockt.

Für AVG erhielt nach Setup folgende Meldung :
Local machine: prepared for the installation
Actions plan:
Error: Evaluating of the short file name failed for "C:\Programme\Grisoft\AVG7\bootup.exe".
Creating of the temporary folder "C:\Programme\Grisoft\AVG7\bootup.exe" failed.
Zugriff verweigert (5) %PATH% = "C:\Programme\Grisoft"





Gibds ev. die Möglichkeit den PC per Boot-Vorgang , bzw. von CD-Laufwerk aus zu " reinigen " ?
Offensichtlich ist es nötig den wehrhaften Befall auszutricksen um dann auch alles zu erwischen ........



Schon mal Großen Dank .........
auch für jedwede Nennung von anderen Net-Stellen an die ich mich wenden kann / sollte.


Gruß


Markus

bei Antwort benachrichtigen