Guten Tag,
ich war mit meinem Arbeitscomputer vor ein paar Tagen "ungeschützt" im Netz. Das hat anscheinend ausgereicht um ihn mit mehreren bösartigen Gesellen zu infizieren. Ich benutze das jetzt Virenscan&Firewalltool von F-Secure (keine Ahnung ob das was wert ist..) und er zeigt mir folgenden Bericht, mit dem ich allerdings nicht viel anfangen kann.. (übrigens habe ich mit Search&Destroy schon einiges an Spyware gelöscht und auch HijackThis laufen lassen)
Ich hoffe dass es jemanden unter euch gibt, der mir sagen kann ob und wenn ja wie sehr mein Computer infiziert ist. Und wie ich die Schädlinge wieder loswerden kann.. Vielen Dank im Vorraus!
Scanbericht:
Scan-Bericht
Freitag, 25. November 2005 17:20:12 - 17:21:58
Computername: Betrieb __________
Ziel: C:\\ D:\\
--------------------------------------------------------------------------------
Ergebnis: 18 Viren gefunden
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temp\\bb.0xe Infektion: Trojan-Dropper.Win32.Agent.abo
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LC68ZE1K\\kl[2].0xt Infektion: Trojan-Downloader.Win32.Small.bww
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LC68ZE1K\\index[7].0tm Infektion: Exploit.HTML.Mht
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LC68ZE1K\\adv698[1].0tm Infektion: Trojan-Dropper.VBS.Inor.cz
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\R8TSAK11\\index[4].0tm Infektion: Exploit.VBS.Phel.a
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\R8TSAK11\\cmdexe2[1].0xt Infektion: Trojan-Downloader.VBS.Phel.a
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\R8TSAK11\\bb[1].0xe Infektion: Trojan-Dropper.Win32.Agent.abo
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\sploit[1].0nr Infektion: Trojan-Downloader.Win32.Ani.c
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\paytime[1].0xt Infektion: Trojan.Win32.StartPage.afs
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\isda1012_2062_m[3].0xe Infektion: Trojan.Win32.Dialer.hz
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\index[3].0tm Infektion: Exploit.HTML.Mht
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\cmdexe[1].0xt Infektion: Trojan-Downloader.VBS.Phel.a
D:\\WINDOWS\\system32\\PAYTIME.0XE Infektion: Trojan.Win32.StartPage.afs
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106069.0xe Infektion: Trojan-Spy.Win32.Briss.h
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106062.0xe Infektion: Trojan.Win32.KillApp.f
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106061.0xe Infektion: Backdoor.Win32.VB.oq
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106059.0xe Infektion: Trojan.Win32.Septic.a
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP47\\A0107709.0xe Infektion: Trojan.Win32.Spooner.f
--------------------------------------------------------------------------------
Statistiken
Dateien:
Gescannt: 44446
Infiziert: 18
Verdächtig: 0
Desinfiziert: 0
Umbenannt: 0
Gelöscht: 0
Nicht gescannt: 51
Boot-Sektoren:
Gescannt: 1
Infiziert: 0
Verdächtig: 0
Desinfiziert: 0
Dateien nicht gescannt:
Datei D:\\hiberfil.sys kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\spool\\PRINTERS\\FP00000.SHD kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\default kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\SAM kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\SECURITY kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\system kann nicht geöffnet werden.
Scannen von D:\\WINDOWS\\pchealth\\helpctr\\Indices\\merged.hhk wurde abgebrochen. [F-Secure Libra]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\SVGCore.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\MakeAccessible.api wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\AcroRd32.exe wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\AcroRd32.exe1 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\ADMPlugin.apl wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\AcroForm.api wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\PPKLite.api wurde abgebrochen. [F-Secure AVP]
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\Common\\admin.pub kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\Common\\policy.ipf kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\chandir.dat kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\L0000002.FCS kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\prs.dat kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\storydb.dat kann nicht geöffnet werden.
Scannen von D:\\Programme\\MSN\\MSNCoreFiles\\Install\\MSN9Components\\msnmsgs.msi\\stream 22\\msnmsgrexe.ADEB440D_7847_4F65_80BD_899870ED2EC9 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\E2561403.CAB\\EXCEL.EXE wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\E3561403.CAB\\XLMAIN11.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\EV561403.CAB\\VBAXL10.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\L2561406.CAB\\OUTLLIB.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\O1561412.CAB\\MSO.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\WV561408.CAB\\VBAWD10.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\YA561406.CAB\\OWC10.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\YB561413.CAB\\OWC11.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\ZC561401.CAB\\HTMLREF.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Eine Datei in Archiv D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\ZF612707.CAB\\REFSPCL.TTF kann nicht geöffnet werden
Datei D:\\Dokumente und Einstellungen\\NetworkService\\NTUSER.DAT kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\NetworkService\\Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Windows\\UsrClass.dat kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\LocalService\\NTUSER.DAT kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\LocalService\\Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Windows\\UsrClass.dat kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\Daniela\\NTUSER.DAT kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Windows\\UsrClass.dat kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\Daniela\\Anwendungsdaten\\ispnews\\ispn.ini kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW1.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW2.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW3.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW4.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW5.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW6.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW7.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW8.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW9.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\WindowsSecurityCenterAntiVirusDisableNotify.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\WindowsSecurityCenterFirewallDisableNotify.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\WindowsSecurityCenterUpdateDisableNotify.zip\\sbRecovery.reg ist verschlüsselt.
--------------------------------------------------------------------------------
Optionen
Version der Virendefinitionen:
2005-11-25_02
Scan-Module:
F-Secure AVP: 6.0.167.6190, 2005-11-25
F-Secure Libra: 2.01.10, 2005-11-25
F-Secure Orion: 1.02.33, 2005-11-25
Scan-Optionen:
Alle Dateien scannen
Archive scannen: ein
Aktion:
Nach Scannen fragen
--------------------------------------------------------------------------------
Das Problem ist ja eigentlich, dass mir das Tool nachdem es 2Std lang gesucht hat zwar diese Auflistung zeigt, die Viren aber anscheinend nicht gelöscht hat..
Ich bin für jede Antwort dankbar,
mfg
c.
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Das hab ich ganz vergessen:
System läuft auf XPprofessional (1Gz).
Und ich glaube es gibt noch eine alte Version von Win2000
auf C: die beim unfachmännischen rebooten und Xp
draufmachen nicht gelöscht wurde...
c.
Da sollte zur Sicherheit nur noch format C: und format D: mir Neuinstallation des Systems laufen.
Ich würde auch eine komplette Neuinstallation empfehlen, auch wegen der verhunzten Installation Win 2000 auf C:/Win XP auf D: - dazu sollten nach Datensicherung alle alten Partition gelöscht werden.
Diese Viren können erst mal beseitigt werden, indem die Inhalte der Temp-Ordner und des Temporary Internet Files Ordners komplett gelöscht werden (ohne irgendwelche Probleme).
Der Ordner C:\System Volume Information ist unter Windows nicht zugänglich, man könnte ihn mit eine Knoppix-CD/DVD bereinigen.
rill
Hallo!
ich war mit meinem Arbeitscomputer vor ein paar Tagen "ungeschützt" im Netz.
Definiere "ungeschützt"!
Das hat anscheinend ausgereicht um ihn mit mehreren bösartigen Gesellen zu infizieren.
So etwas geschieht aber nur, wenn a) der Nutzer Schadsoftware eigenhänfig installiert hat oder b) Sicherheitslücken ausgenutzt wurden, die im System bestehen, da sie der Nutzer nicht durch Einspielen von Updates oder durch sachgerechte Konfiguration von Anwendungen und dem Betriebssystem geschlossen hatte.
D:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Temp\bb.0xe Infektion: Trojan-Dropper.Win32.Agent.abo
Ein Trojan-Dropper. Er installiert weitere Trojaner im System, so z.B.:
D:\WINDOWS\system32\PAYTIME.0XE Infektion: Trojan.Win32.StartPage.afs
Ich würde mal dringend die Sicherheitskonfiguration und den Patchstand deines Browsers prüfen (für die Zukunft!).
Ich benutze das jetzt Virenscan&Firewalltool von F-Secure (keine Ahnung ob das was wert ist..)
Prinzipiell ein recht guter Virenscanner, da auf der Kaspersky-Engine basierend. Zwei Dinge kann er aber nicht:
1.) System von aktiven Schädlingen zuverlässig säubern.
2.) System zuerlässig schützen, wenn und weil du andere, grundlegende Maßnahmen wie die Systempflege unterlassen hast.
Für Dich gelten aufgrund der bestehenden Infektion die gleichen Tipps wie hier für harald:
http://www.nickles.de/thread_cache/537987020.html#_pc
Vielen Dank mmk,
nun sogesehen.. (das klingt jetzt bestimmt ziemlich nachlässig) läuft besagter PC auf Xp ohne SP1 geschweige denn SP2. Ich habe immer davor gescheut die packages zu saugen weil das mit meiner 64Kbps Leitung tage dauert... aber wahrscheinlich ist das ein Grund dafür. Die hatte ich ganz vergessen.
"Ungeschützt" heisst ganz einfach ohne Firewall, Virenschutz etc. Und etwas explizit schadhaftes wurde eigentlich nicht heruntergeladen. Möglicherweise jedoch einschlägig bekannte Seiten angesurft (crackz.ws usw usf..).
Danke auch für den Link. Also formatieren? Nungut..
Jetzt nur nocheinmal zur Sicherheit:
-Ich formatiere das System neu (Alle Partitionen formatiert)
-Auf C: kommt XP-SP2
-Auf D: Daten
-Ausserdem noch die im Link empfohlenen Patches
Reicht mir dann F-Secure als Firewall und Scanner? Oder doch besser ZoneAlarm? Norton? Wenn ich mich in Zukunft von befallenen Seiten fernhalte und sagen wir einmal das Internet nur mehr zum mails checken benutze?
Vielen Dank für alle Antworten an dieser Stelle, ihr helft mir gerade sehr aus der Klemme!
mfg
c.
Nur-Formatieren löst nicht das Problem von 2 vorhandenen Betriebssystemen, Du mußt radikal die Partitionen löschen und neu erstellen (eventuell mit neuer Größenverteilung) und erst danach formatieren.
Versuche unbedingt eine XP-Version mit integriertem SP2 zu verwenden! Entweder Du erstellst eine s. g. "Slipstream-CD" (Anleitungen dazu gibt es genug im Internet_unter dem Stichwort "slipstream"). Das SP2 ist aktuell auf verschiedenen PC-Zeitschriften-CDs (Microsoft "Sicherheits-CD"), da sparst Du den Download.
Eine andere Möglichkeit ist die Ausleihe einer XP-Original-CD mit integriertem SP2 - bei der Installation verwendest Du aber Deinen Product-Key (von XP-CD ohne SP1/2).
Nach der Installation (eventuell mit Treiberinstallation für Internetzugang) solltest Du sofort auf die Microsoft-Seite gehen und sämtliche Updates installieren lassen (vorherige Aktiviereung neuerdings erforderlich) ... das kann man vor der Installation eines Virenscanners machen, der nächste Schritt ist allerdings die Installation eines Virenscanners mit Aktualisierung der Virensignaturen.
Ich persönlich halte nichts von zusätzlichen Desktop-Firewalls, SP2 bringt eine integrierte Firewall mit. F-Secure kenne ich nicht aus eigener Erfahrung. Ich bin von Norton auf G-Data AVK (Kaspersky + Bitdefender) umgestiegen, nachdem ich feststellen mußte, daß Norton einige Viren übersah, die Kaspersky aber fand (ein Virus war sehr gefährlich, wollte PayPal ausschnüffeln).
rill
Sicherheitspatches´(ja die kann man auch einzeln installieren), ist es grob fahrlässig ins Internet zu gehen.
Du brauchst keine ´Desktopfirewall, wenn Du die Sichheitspatches von MS installiert hast, denn bei dem vorhanden sein einer Firewall, müsstest Du auch in der Lage sein, eine solche korrekt zu administrieren.
.....Und hast Du das entsprechende Know-How, erkennst Du daß eine Desktopfirewall überflüssig ist.
Danke für die Antworten.
Ich habe mich der Einfachheit dafür entschieden den PC komplett herzurichten. d.h.:
- Backup aller wichtigen Daten
- Löschen aller Partitionen
- Formatierung
- Neuinstallation von Xp (SP2!!!)
- Dann noch F-Secure drauf
und das sollte eig. reichen. Also, vielen Dank nochmal an alle und wenn man etwas daraus lernen kann, dann: Niemals ohne Verhütung ins Internet!
c.