Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Trojaner sofort löschen?

alm / 25 Antworten / Baumansicht Nickles

wiedermal hats mich erwischt, ich kopiere die Log-Datei hierher:

In der Datei 'C:\Dokumente und Einstellungen\alm\Lokale Einstellungen\Temp\xtwm.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

ich neige dazu, die Dateien gleich zu löschen, wie man sieht. Wäre es eher anzuraten, sie in Quarantäne zu verschieben, wenn Anti-Vir was entdeckt? Hat das System womöglich Schaden genommen? Ich kann zumindest nichts feststellen.

bei Antwort benachrichtigen
REPI alm „Trojaner sofort löschen?“
Optionen
Ich kann zumindest nichts feststellen.


Aber sicher bist Du auch nicht, ob das System nicht doch weiterhin kompromittiert ist ?
http://de.wikipedia.org/wiki/Technische_Kompromittierung
Es empfiehlt sich immer, etwas Linux im Hause zu haben.
bei Antwort benachrichtigen
alm REPI „ Aber sicher bist Du auch nicht, ob das System nicht doch weiterhin...“
Optionen

mach mir keine Angst, das wollte ich jetzt eigentlich nicht überprüfen

bei Antwort benachrichtigen
Olaf19 alm „Trojaner sofort löschen?“
Optionen
> wieder mal hats mich erwischt,

Kommt das denn mehr oder weniger regelmäßig vor? Eigentlich sollte es *gar nicht* passieren!

Wie sicherst du deinen Rechner denn ab? Empfehlenswerte Maßnahmen sind - und zwar IMHO in dieser Rangfolge:
  • aktuelle Service Packs und Sicherheitsupdates einspielen
  • unnötige (Netzwerk-)Dienste deaktivieren (denn die brauchst du zum Surfen nicht!)
  • "Hardware-Firewall" durch Einsatz eines Routers
  • nur als Gast oder wenigstens mit stark eingeschränkten Rechten surfen
  • Virenscanner, AntiVir oder Avast reicht für privat
  • wenn's unbedingt sein muss: Software-Firewall, um kontrollieren zu können, was nach draußen telefonieren will
Meine ganz persönliche Meinung dazu: Die beste und wesentlichste Maßnahme von allen ist immer noch der umsichtige Umgang mit dem Medium Internet. Also nicht jeden Blödsinn anklicken und schon gar keine Dateianhänge von unerwünschten emails öffnen, nur um die zwei gängigsten Beispiele zu nennen.

Und noch etwas... ich hätte zu einem einmal kompromittierten System kein Vertrauen mehr - spätestens beim nächsten Mal Online-Banking würden mir doch, vorsichtig gesagt, gewisse Zweifel kommen, ob das wirklich so gut ist (siehe Beitrag von repi inkl. Link).

HTH
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
alm Olaf19 „Mehr Sicherheit“
Optionen

zur Sicherheit habe ich antivir, Firewall und halt Firefox. Ich bin nicht so der Fachmann, aber ein Kumpel hat bei der xp-Installation über dieses T-Sinus data noch einen Sicherheitscode angelegt. Meine Bankgeschäfte mach ich eh nicht übers Internet.

Oft ist übertrieben, antivir hat das zweitemal in wenigen Wochen was dieser Art gefunden.

Zuletzt wunderte mich etwas, daß bei Spybot keine Cookies angezeigt werden, obwohl das eingestellt ist, auch sonst findet Spybot nie was, das kann aber nicht auf eine Komprimittierung hindeuten?

bei Antwort benachrichtigen
Olaf19 alm „zur Sicherheit habe ich antivir, Firewall und halt Firefox. Ich bin nicht so der...“
Optionen

Wie ist denn deine Cookie-Einstellung in Firefox (welche Version)? Evtl. hat dein Kumpel die in den Optionen einfach abgeschaltet, so dass Websites gar keine Cookies akzeptieren. Da würde ich einmal nachschauen.

Was ist mit dem Sicherheitscode über T-Sinus data gemeint?

> Meine Bankgeschäfte mach ich eh nicht übers Internet.

Wogegen nichs einzuwenden wäre... nur, deswegen sollte man trotzdem nicht mit einem weniger sicheren Rechner unterwegs sein. Schlimmstenfalls gefährdet man damit auch andere.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
shrek3 Olaf19 „Wie ist denn deine Cookie-Einstellung in Firefox welche Version ? Evtl. hat dein...“
Optionen

Hallo alm,

du könntest hier die Ausgabe 16/2008 der Computerbild bestellen:
https://aboshop.axelspringer.de/xsubscription/ab/start.php/p_53_servicetypeid_2_magazine_53

Diese Ausgabe enthält eine auf Linux basierende Notfall-CD, von der aus du u.a. den PC mit einem Virenschutzprogramm auf Befall scannen kannst.

Der Vorteil dieser Vorgehensweise ist, dass eventuelle Schädlinge im Gegensatz zu einem gestarteten Windows zum Zeitpunkt des Scannens nicht aktiv sind und keinerlei Möglichkeit haben, sich dagegen zu wehren.

Dies setzt natürlich voraus, dass das sich auf das CD befindende Virenschutzprogramm mit dem Internet verbinden kann, um auf dem aktuellsten Stand zu sein.

Sollte es nichts finden (außer maximal im Cache des Browsers), könnte man Entwarnung geben.

Aufgrund der in der CB enthaltenen zahlreichen Anleitungen für Notfälle verschiedenster Art würde ich dem Durchschnittsuser eher diese Notfall-CD empfehlen als auf die Knoppix-CD zurückzugreifen.

Sie ist absolut vergleichbar mit der jährlich im Spätherbst erscheinenden Knoppicillin-CD der c't.

Empfehlenswert ist es künftig, verdächtigte Dateien an AntiVir zu schicken, um sie dort untersuchen zu lassen:
http://analysis.avira.com/samples/index.php

Also nicht löschen, sondern in Quarantäne stecken.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
alm shrek3 „Hallo alm, du könntest hier die Ausgabe 16/2008 der Computerbild bestellen:...“
Optionen

@ Olaf, den Einstellungen nach werden bei mir Cookies akzeptiert

@ shrek, nun habe ich halt leider die Dateien gelöscht. Kann davon das System jetzt entscheidend beeinträchtigt werden?

bei Antwort benachrichtigen
shrek3 alm „@ Olaf, den Einstellungen nach werden bei mir Cookies akzeptiert @ shrek, nun...“
Optionen

Ob das System beeinträchtigt ist, ist zurzeit nicht zu beantworten.

Um den Sachverhalt zu klären, bleiben dir nur die beiden bereits erwähnten Möglichkeiten (Neuinstallation oder Virenscan von gebooteter CD).

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
alm shrek3 „Ob das System beeinträchtigt ist, ist zurzeit nicht zu beantworten. Um den...“
Optionen

schon klar, ich muß mal schauen, ob ich mir die CD besorge.

Da ich wirklich nicht viel Ahnung habe, wäre die eigentliche Frage die, ob ihr anhand der oben aufgeführten Log-Datei die von Antivir gelöschten Dateien wichtige Systemdateien sind, oder wird das irgendwie wieder hergestellt? Diese Option "löschen" bei antvir, ist die zugleich ein Eingriff in den ganzen Betrieb? Ich kann halt alles wie gewohnt machen und man merkt nichts.

Noch ne bescheuerte Frage hinterher. Wenn ich jetzt eine Neuinstallation plane, kann ich doch vorher die wichtigen Daten auf meine externe Festplatte retten, ohne die auch zu verseuchen?

bei Antwort benachrichtigen
shrek3 alm „schon klar, ich muß mal schauen, ob ich mir die CD besorge. Da ich wirklich...“
Optionen

Die gelöschte Datei befand sich in einem temporären Ordner - also in einem Bereich, wo bspw. laufende Prozesse (Programme) ihre Arbeitsergebnisse ablegen.

Da auch bei Programminstallationen temporäre Daten erzeugt werden, könnte das auch ein Rest aus einer irgendwann zuvor stattgefundenen Installation sein, der schon längst nicht mehr benötigt wird.

Da diese Datei anscheinend nicht wieder aufgetaucht ist (also höchstwahrscheinlich nicht von einem laufenden Prozess angelegt wird/wurde), fokussiert sich das Augenmerk vor allem auf diese Frage:

Hat sich in der Vergangenheit ein Schädling installiert oder hat sich AntiVir geirrt?

Wenn ich jetzt eine Neuinstallation plane, kann ich doch vorher die wichtigen Daten auf meine externe Festplatte retten, ohne die auch zu verseuchen?

Wenn du infiziert bist, dann könntest du immer dann die externe Platte infiziert haben, wenn du auf dort vorhandene Daten konkret zugegriffen hast.

Deshalb solltest du im Falle einer Neuinstallation erst mit einem Virenschutzprogramm die externe Platte überprüfen, bevor du die darauf abgelegten Daten "anfasst" (sprich: mit einem Programm öffnest).

Das bloße Anschließen der externen Platte an dein neu aufgesetztes System führt noch nicht zu einer erneuten Infektion - erst die Ausführung konkret angeklickter Dateien.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
alm shrek3 „Die gelöschte Datei befand sich in einem temporären Ordner - also in einem...“
Optionen

das ist die andere gelöschte Datei, damit verhält es sich ja genauso?


In der Datei 'C:\Dokumente und Einstellungen\alm\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IJTC4NF7\index[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

bei Antwort benachrichtigen
shrek3 alm „das ist die andere gelöschte Datei, damit verhält es sich ja genauso? In der...“
Optionen

Diese Datei befand sich im Browser-Cache - also dem Ort, in dem der Internet Explorer seine empfangenen Webdaten zwischenspeichert.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
alm shrek3 „Diese Datei befand sich im Browser-Cache - also dem Ort, in dem der Internet...“
Optionen

auf deutsch heißt das, man konnte sie auch bedenkenlos löschen?

bei Antwort benachrichtigen
shrek3 alm „auf deutsch heißt das, man konnte sie auch bedenkenlos löschen?“
Optionen

Den Internet-Cache kann man immer bedenkenlos löschen.

Es ist sogar besser, ihn in seiner Größe gering zu halten (bis max. 30 MB) - geht über Systemsteuerung -> Internetoptionen -> Registerkarte "Allgemein".

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
alm shrek3 „Den Internet-Cache kann man immer bedenkenlos löschen. Es ist sogar besser, ihn...“
Optionen

neuerdings kam jetzt auch die Meldung "auf ihrem PC wurde ein schwerwiegender Systemfehler festgestellt", schon klar, das es eine dieser Gangstermethoden ist. Nur hätte ich "ok" klicken müssen, um überhaupt weiterzukommen, so habe ich den PC neu gestartet. Ist das ein eindeutiges Zeichen gewesen, daß der PC verseucht ist oder ist das einer der Tricks, sich einen Virus einzufangen?

bei Antwort benachrichtigen
shrek3 alm „neuerdings kam jetzt auch die Meldung auf ihrem PC wurde ein schwerwiegender...“
Optionen

Systemfehler haben afaik nichts mit Viren zu tun.
Da muss zu 99,9% etwas anderes passiert sein.

Gehe mal per Rechtsklick auf den Arbeitsplatz (bei Vista heißt der Arbeitsplatz stattdessen "Computer") -> Verwalten in die Ereignisanzeige und schaue dort wie auf dem ersten Bild zu sehen nach.

Da die Ereigniss in zeitlicher Reihenfolge aufgelistet werden, sollte es nicht schwierig sein, den Systemfehler dort herauszufinden.
http://www.informatik.htw-dresden.de/~fritzsch/IS/Ereignisanzeige.jpg

Per Doppelklick auf das Ereignis öffnet sich ein weiteres Fenster (siehe Bild).
Poste dann, was darüber gesagt wird.

Gruß
Shrek3

http://www.informatik.htw-dresden.de/~fritzsch/IS/EigenschaftenEreignis.jpg

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
alm shrek3 „Systemfehler haben afaik nichts mit Viren zu tun. Da muss zu 99,9 etwas anderes...“
Optionen

ach Mist, das mit dem Kopieren klappt nicht:

da steht bei Fehler:

die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar. Führen sie "Chkdsk" auf Volume D: aus.

Ist das zwingend notwendig, dem chkdsk trau ich nicht so.



eine gestrige Meldung lautet:

Warnung:

Timout svchost.exe

Hilft da nur noch der Hammer?

bei Antwort benachrichtigen
shrek3 alm „ach Mist, das mit dem Kopieren klappt nicht: da steht bei Fehler: die...“
Optionen

Entweder geht die Festplatte kaputt oder es gibt unleserliche Dateien, die mit chkdsk behebbar sind.

Dumm ist nur, dass chkdsk die Festplatte/Partition komplett nach Dateifehlern überprüft, was für eine defekt gehende Platte Gift ist.

Mit anderen Worten:
Entweder viel Arbeit machen (Daten zuvor extern sichern) oder Risiko des Datenverlusts...

Auf jeden Fall sollte am Ende in der Eingabeaufforderung der Befehl eingegeben werden:

chkdsk /f /r

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
alm shrek3 „Entweder geht die Festplatte kaputt oder es gibt unleserliche Dateien, die mit...“
Optionen

wenn ich die Daten auf die Externe gesichert habe, kann ich das ja machen, wenn auch nur ungern.

Soweit es sich zurückverfolgen lässt, kam vor einem Monat auch schon die Meldung "die Dateisystemstruktur ist beschädigt..."

Ist die Partition C: dann noch unbeschädigt? Macht es Sinn, sich D: über chkdsk D: erstmal anzuschauen und das Ergebnis zu posten, bei diesem Befehl passiert ja noch gar nichts?


Noch ne Frage: es gibt ja die Möglichkeit auf Laufwerk D: zu gehen, dann Eigenschaften/Extras und dort eine Fehlerbehebung durchführen zu lassen, wo ist der Unterschied zu chkdsk?

bei Antwort benachrichtigen
shrek3 alm „wenn ich die Daten auf die Externe gesichert habe, kann ich das ja machen, wenn...“
Optionen
Noch ne Frage: es gibt ja die Möglichkeit auf Laufwerk D: zu gehen, dann Eigenschaften/Extras und dort eine Fehlerbehebung durchführen zu lassen, wo ist der Unterschied zu chkdsk?

Da gibt es überhaupt keinen Unterschied - das ist absolut das selbe.
Setzt dort aber beide Haken (entspricht den Parametern /f und /r).

Der einzige Unterschied: chkdsk kann auch von der Wiederherstellungskonsole (nach dem Booten der XP-CD) durchgeführt werden.

Übrigens:
Ich halte sehr viel von chkdsk.
Damit ließ sich schon so manches nicht mehr bootende Windows meiner Kunden wieder ans Laufen bringen.

Ist die Partition C: dann noch unbeschädigt?
Um das zu überprüfen - dazu wäre der Befehl chkdsk ohne weitere Parameter angebracht.

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
alm shrek3 „ Da gibt es überhaupt keinen Unterschied - das ist absolut das selbe. Setzt...“
Optionen

ich habe jetzt nur den Befehl chkdsk mal durchlaufen lassen, es erschien:

wird im schreibgeschützten Modus durchgeführt
Fehler in Volumebitmap werden berichtigt
Windows hat Probleme im Dateisystem festgestellt, führen sie chkdsk f durch

tja nicht so toll, aber bis jetzt ist noch nichts passiert, oder was heißt das mit der Volumebitmap? Ist C: womöglich auch beschädigt?

Wie auch immer, sobald die Daten gesichert sind schau ich weiter, was ich mache. Ich wundere mich ja, daß alles noch reibungslos läuft

bei Antwort benachrichtigen
shrek3 alm „ich habe jetzt nur den Befehl chkdsk mal durchlaufen lassen, es erschien: wird...“
Optionen

Die Sache mit dem Volumebitmap scheint eines der am schwersten zu lösenden Probleme zu sein.

Gut allerdings, dass es kein dramatischer Fehler ist.

Der einzige Tipp, der (angeblich) das Problem lösen soll, ist dieser hier:
http://www.gutachter-it.eu/tipps.php

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
alm shrek3 „Die Sache mit dem Volumebitmap scheint eines der am schwersten zu lösenden...“
Optionen

ich hoffe, ich nerve nicht, aber was heißt das jetzt wieder? Das sich die Fehler im Dateisystem in erster Linie auf die Volumebitmap beschränken, hätte chkdsk sonst mehr angezeigt?

Die Lösung ist nach wie vor chkdsk /f /r mit D: davor?

bei Antwort benachrichtigen
shrek3 alm „ich hoffe, ich nerve nicht, aber was heißt das jetzt wieder? Das sich die...“
Optionen

Zunächst mal sollte man nur dann die Betriebssystem-Partition von chkdsk untersuchen lassen, wenn Windows nicht gestartet ist.

Gleiches gilt ebenfalls immer dann auch für die anderen Partitionen, solange sich dort geladene Programme befinden oder sich dort befindende Daten zurzeit von einem Programm benutzt werden.

Der einfache Scandisk (sprich: chkdsk) wird nämlich sonst in seiner Ausführung behindert und kann gar nicht anders als u.a. auch Fehlermeldungen zu liefern, die keine wirklichen Fehler sind.

Also entweder chkdsk gleich mit Parametern versehen (dann wirst du aufgefordert, den Computer neu zu starten, damit der Scan noch vor dem Booten des Woindows' ausgeführt wird) oder von der XP-CD booten, um von dort aus die Wiederherstellungskonsole zu starten.

Dort kannst du meinetwegen chkdsk auch mal ohne Parameter starten.

Chkdsk ohne Parameter unter einem laufenden Windows jedoch auszuführen, sagt zu wenig Definitives aus.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
shrek3 Nachtrag zu: „Zunächst mal sollte man nur dann die Betriebssystem-Partition von chkdsk...“
Optionen

Was chkdsk /r /f bewirken kann, kannst du hier nachlesen:
http://www.nickles.de/thread_cache/538445218.html#_pc

Ein Windows, welches nicht mehr hochfuhr, läuft jetzt wieder einwandfrei.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen