svxhost.exe und wincfg.exe / kompromittierte System neu aufsetzen?

#1 Ich hab ein problem! ich bekomme Würmer und Troyaner auf meinen Pc und etwa nicht zu knapp! Außerdem hab ich Dateien auf dem Pc, svxhost.exe und wincfg.exe;wo ich nicht weiß was die machen bzw. für was die gut sind!
Ich hoffe ihr könnt mir helfen!

Logfile of HijackThis v1.98.2
Scan saved at 17:01:37, on 23.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wincfg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svxhost.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\Dokumente und Einstellungen\Hanns-Peter\Eigene Dateien\download\HijackThis.exe

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] c:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PinnacleRemote] c:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Win32 Config] wincfg.exe
O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe
O4 - HKLM\..\RunServices: [Win32 Config] wincfg.exe
O4 - HKLM\..\RunServices: [SVX Control Service] svxhost.exe
O4 - HKLM\..\RunOnce: [SVX Control Service] svxhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SVX Control Service] svxhost.exe
O4 - HKCU\..\RunOnce: [SVX Control Service] svxhost.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{09E46E7E-A951-45D7-80F1-C3B833A6F6F4}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{47B16DD4-ECE7-40CD-9739-425A88C876F2}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC3CE2AC-00E9-4125-95B3-9BBD5BA5E132}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{09E46E7E-A951-45D7-80F1-C3B833A6F6F4}: NameServer = 217.237.150.33 194.25.2.129

#2

Zitat

svxhost.exe und wincfg.exe;wo ich nicht weiß was die machen bzw. für was die gut sind!

Diese beiden Prozesse sind aktive Backdoor Trojaner.
Dein System ist kompromittiert, es ist nicht mehr vertrauenswürdig für dich, daraus resultiert: Neuaufsetzen deines Systems!
Alles andere ist reine Spekulation!
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

svxhost.exe => W32/Rbot-CT

Zitat

W32/Rbot-CT ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoor-Funktionalität, die unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht, während er als Dienstprozess im Hintergrund aktiv ist.

http://www.sophos.de/virusinfo/analyses/w32rbotct.html

wincfg.exe => W32/Agobot-KP

Zitat

W32/Agobot-KP ist ein IRC-Backdoortrojaner und ein Netzwerkwurm.
W32/Agobot-KP kann sich auf Computer im lokalen Netzwerk verbreiten, die durch einfache Kennwörter geschützt sind.

Jedes Mal, wenn W32/Agobot-KP gestartet wird, versucht er, sich mit einem remoten IRC-Server und einem bestimmten Kanal zu verbinden. W32/Agobot-KP läuft dann kontinuierlich im Hintergrund und ermöglicht einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen.

W32/Agobot-KP versucht, verschiedene Antiviren- und Sicherheitsprogramme zu beenden und zu deaktivieren.

http://www.sophos.de/virusinfo/analyses/w32agobotkp.html

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. Deine Passwörter ändern
8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
9. Surfverhalten überdenken
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 @Cidre

Also ich bin dagegen wegen eines popligen "Bots" immer das System neu aufzuspielen . Natürlich ist das die Sicherste Methode aber wegen einem popligen Trojaner.
UND man sollte sich deine 9 punkte zu Herzen nehmen

Ich empfehle Rechner säubern und alle Passwörter danach änderen.

Säubern:
Lade dir Escan
http://www.rokop-security.de/board/index.php?showtopic=3867
Installieren und updaten wie beschrieben

Eigenen Virenscanner updaten

Geh bitte in den Abgesichteren Modus
http://www.bsi.de/av/texte/winsave.htm

AB JETZT NICHT MEHR DEN INTERNET EXPLORER STARTEN

Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [Win32 Config] wincfg.exe
O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe
O4 - HKLM\..\RunServices: [Win32 Config] wincfg.exe
O4 - HKLM\..\RunServices: [SVX Control Service] svxhost.exe
O4 - HKLM\..\RunOnce: [SVX Control Service] svxhost.exe
O4 - HKCU\..\Run: [SVX Control Service] svxhost.exe
O4 - HKCU\..\RunOnce: [SVX Control Service] svxhost.exe

Dann mit EScan scannen wie oben angegeben

Dann mit eigenem Virenscanner alle Platten scannen
Das dauert eine Weile

Dann normalen Neustart machen

und nochmal HiJackThis Logfile posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#4 Hi paff,

Zitat

Also ich bin dagegen wegen eines popligen "Bots" immer das System neu aufzuspielen . Natürlich ist das die Sicherste Methode aber wegen einem popligen Trojaner.

Das sehe ich anders.
Dir traue ich es zu, mittels Prüfsummen oder digitale Signaturen das kompromittierte System zu überprüfen und zu bereinigen, aber der Normal-User ist dieser Situation nicht gewachsen, also kommt nur ein Neuaufzusetzen seines System in Frage um wieder einen sicheren und vertrauenswürdigen Zustand zu erhalten.
Eine weitere Möglichkeit wäre, mittels TCPView gegenzuprüfen welche Verbindungen bei einer aktiven Online Sitzung aufgebaut werden, aber das hab ich hier noch nicht gesehen.
Weitere Vorgehensweise:
http://cert.uni-stuttgart.de/os/ms/windows-intruder-detection.php

Und so poplig scheinen diese Backdoor Trojaner nicht zu sein, wenn sie eure viel gerühmte Sicherheitssoftware abschalten. Denke bloß an =>
- Online-Banking
- Ebay
- Online-Shoppen
- Bewerbungen, Kreditkartennummern,
- vertrauliche Dokumente und Emails
- Missbrauch des System für illegale Sachen, wie Spamversand (rechtsradikalen Propaganda-Mails)
- Server für abgelegte Daten wie z.B. Kinderpornografie usw.
- DDOS-Attacken
usw. usw.

Ich für meinen Teil kann den TO nicht garantieren welche Dateien manipuliert, welche Backdoors geöffnet, welche Passwörter ausgespäht usw usw wurden und du auch nicht, zumindest nicht per Ferndiagnose.
Daher werde ich mich an diesen Spekulation nicht beteiligen!

Du trägst als Helfender gegenüber den Hilfesuchenden eine große Verantwortung, das sollte dir schon bewußt sein.
Was ist wenn der Hilfesuchende aufgrund deiner Einschätzung wirklich geschädigt wird? Kannst du das verantworten?

Es wird hier immer fleißig geholfen, das ist auch lobenswert , aber
- der TO wird nicht oder ganz selten über die Gefahren bzw. sein Problem aufgeklärt
- es werden Symptome bekämpft, aber nicht die Ursache
- der TO wird in Scheinsicherheit gewogen

Meine Empfehlung bei Kompromittierung durch Backdoor Trojaner wird immer lauten: Neuaufsetzen des Systems.
Im übrigen steh ich mit dieser Empfehlung nicht allein => Microsoft, Cert und anerkannte Sicherheitsexperten empfehlen dies.
Ob der Hilfesuchende es dann tatsächlich umsetzt, das bleibt natürlich ihm überlassen bzw. muß er für sich selbst entscheiden.
Ps.
Was der Wunsch einiger Users angeht bei Kompromittierung nicht zu formatieren, dann muß er im Vorfeld versuchen sein System zu verstehen und dementsprechend absichern oder eben mit den Konsequenzen leben.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#5

Zitat

Und so poplig scheinen diese Backdoor Trojaner nicht zu sein, wenn sie eure viel gerühmte Sicherheitssoftware abschalten.

Welche Sicherheitssoftware hab ich den "vielgerühmt"?

Zitat

Was der Wunsch einiger Users angeht bei Kompromittierung nicht zu formatieren, dann muß er im Vorfeld versuchen sein System zu verstehen und dementsprechend absichern oder eben mit den Konsequenzen leben.

Hier kommen wir der Sache schon näher.
Genau das ist es. Nur haben wir's hier mit schon kompromittierten Systeme zu tun. Hier kommen Leute her, die gerade mal den Mausführerschein haben.

Denen kannst du 20 mal erzählen System neu aufsetzen, die wissen nichtmal was das ist. Das ist kein Vorwurf, sondern eine Feststellung.
Und wenn Sie's neu aufsetzen erwischt, Sie sowieso beim ersten Surfen wieder was, weil keine SP's drauf sind. Dann lieber ein System gut reinigen und auf vorhandenen Secruity-Sachen aufbauen.

Außerdem kann in diesem Fall gut sein, das der AntiVir den Bot schon erwischt hat und nur noch die Einträge in der Registry vorhanden sind.
Dafür formatieren. NEIN.
Mit BackUp machen, Hälfte der Daten vergessen, SP's aufspielen für ungeübte 1 1/2 Tage Arbeit.
Dann ist jeder Benutzer von Computern die Hälfte der Zeit mit Neuaufspielen Beschäftigt.

Und das Bloß weil ein paar Scriptkiddies einen Bot zusammengeklickt haben, von dem niemand weiß ob er wirklich gefährlich ist.
Nein........................

Was ist ein TO?
TrojanerOpfer?

Gruß paff
P.S.Hannsi
Das alles hat nichts mit dir zu tun, ist nur ein Meinungsaustausch mit Cidre
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#6

Zitat

Welche Sicherheitssoftware hab ich den "vielgerühmt"?

Das hab ich verallgemeinert, war nicht auf dich speziell bezogen.

Zitat

Hier kommen Leute her, die gerade mal den Mausführerschein haben.

Das ist richtig und sehe ich selbst jeden Tag. Gerade dann sollte man sie aber diesbezüglich erst recht aufklären. Da sind wir wieder beim Thema Verantwortung.
Allerdings sollten wir dann die TO´s =ThreadOpener=Themenersteller zur Eigenverantwortung und Eigeninitiative bringen und dementsprechend Links posten, daß sie es nachlesen können.

Zitat

Denen kannst du 20 mal erzählen System neu aufsetzen, die wissen nichtmal was das ist. Das ist kein Vorwurf, sondern eine Feststellung.

Dafür poste ich Links mit bebilderten Anleitungen extra DAU-freundlich (ich benutzte dieses Wort ungern). Wenn dann derjenige immer noch nicht durchblickt, dann sollte er besser den Netzstecker ziehen und seinen PC verkaufen.

Zitat

Und wenn Sie's neu aufsetzen erwischt, Sie sowieso beim ersten Surfen wieder was, weil keine SP's drauf sind. Dann lieber ein System gut reinigen und auf vorhandenen Secruity-Sachen aufbauen.

In einem sind wir uns einig: Es gibt keine 100% Sicherheit!
Aber wenn der TO meine Punkte abarbeitet, sein Hirn benutzt und zeitnahes aufspielen diverser Sicherheitspatches nicht nur für Windows auch für andere Software, dann ist er sehr gut geschützt.
Wenn du mit Security Sachen Antivirenscanner meinst, dann weißt du ja, daß du immer unterlegen bist. Damit die Malware erkannt wird, vergehen in der Regel 1 bis 12 Stunden. Über eine Desktop Firewall brauchen wir eh nicht reden.

Zitat

Außerdem kann in diesem Fall gut sein, das der AntiVir den Bot schon erwischt hat und nur noch die Einträge in der Registry vorhanden sind.

Merkst du was, du spekulierst.
Wenn das der Fall wäre, dann wäre der Prozess nicht aktiv bzw. Autostart Eintrag würde (file missing) aufweisen.

Zitat

Mit BackUp machen, Hälfte der Daten vergessen, SP's aufspielen für ungeübte 1 1/2 Tage Arbeit.
Dann ist jeder Benutzer von Computern die Hälfte der Zeit mit Neuaufspielen Beschäftigt.

Schadet doch nicht!
Der TO lernt was über sein System, beschäftigt sich damit und lernt einen verantwortungsvolleren Umgang für die Zukunft.
Er muß sich vor Augen halten, daß er nicht allein im I-net ist, sondern ein Teil, sowie du und ich, eines riesigen Netzwerkes ist.

Zitat

Und das Bloß weil ein paar Scriptkiddies einen Bot zusammengeklickt haben, von dem niemand weiß ob er wirklich gefährlich ist.

Gerade da sehe ich die größste Gefahr, die modifizierten Würmer mit Backdoor Funktionalität, die diese Scriptkiddies mit frei erhältlichen Kits zusammen basteln. Denn sie wissen nicht was sie tun.....

Zitat

Du trägst als Helfender gegenüber den Hilfesuchenden eine große Verantwortung, das sollte dir schon bewußt sein.
Was ist wenn der Hilfesuchende aufgrund deiner Einschätzung wirklich geschädigt wird? Kannst du das verantworten?

Diese Frage hast du noch nciht beantwortet.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#7

Zitat

Zitat

Du trägst als Helfender gegenüber den Hilfesuchenden eine große Verantwortung, das sollte dir schon bewußt sein.
Was ist wenn der Hilfesuchende aufgrund deiner Einschätzung wirklich geschädigt wird? Kannst du das verantworten?

Diese Frage hast du noch nicht beantwortet.

TO = ThreadOpener. Da bin ich nicht draufgekommen MIST

Wie war das in der alten chinesischen Wahrheit.
Wenn du einem das Leben rettest, bist du für den Rest seines Lebens für ihn verantwortlich.

Ich kann's verantworten. In diesem Forum wurde sovielen Leuten Leuten geholfen da können oder müssen sogar manchmal Leute durch den "Rost" fallen. Ich hab hier von Leuten gelesen ,die haben alle Einträge in HJT gefixt. Natürlich aus Unwissenheit nicht weils jemand geraten hat.
Und was ist passiert, nichts. Rechner läuft.
Soviel zum Kaputtmachen
Aus den paar Angaben die man hier bekommt, kann man garnicht abschätzen ob manche Tools / Scanner Schaden anrichten.
Aber Sie richten sicher nicht mehr Schaden an, als eine Formatierung bei der die Hälfte der Daten nicht gesichert wurden oder die von einem Unkunduigen gemacht wurde.

Sieh es so,
es postet einer Neuer ein Problem. Du siehts sein Log und sche..se 20 HiJacker
Dem kannst du viele Punkte aufzählen, was er besser machen kann und das Neuformatieren wichtig wäre.
Der ließt das, denkt sich , ach schau ich mal in ein anderes Forum. Vielleciht haben die noch ne Idee. Der kommt nie wieder.
Da helf ich lieber demjenigen, der Merkt sich das, ihn interessierts vielleicht sogar. Dann besucht der das Forum immer wieder und lernt so auch mal ein bißchen Security. Spätestens wenn er den 5.ten HiJacker hatte.
Das soll jetzt nicht heißen das ich die Leute unbedingt in diesem Forum halten will. Nicht falschverstehen. Ich schreib hier nur
Das mach ich auf rokop-security.de oder trojaner-info.de genauso.


.. deiner Einschätzung wirklich geschädigt wird? Kannst du das verantworten..
Nochmal zur Schädigung.
Was kann passieren.
Fixen in HJT -> ungefährlich Außer O10 Einträge (wegen InetZugang)
Scannen mit EScan/Virenscanner. -> Kann wichtige Dateien löschen, aber eher unwahrscheinlich. Ich lass niemanden die Heuristik hochdrehen

Mehr mach ich eigentlich nicht.
Wenn's dann jemand die Kiste , die ja deiner Meinung nach eh schon formattierungswürdig war, zerlegt. Na und, er muß ja eh Formattieren

Es hat aber noch keinem die Kiste zerlegt soweit ich's mitgekriegt habe.

So genug, es ist 01:25

Lass uns den Dialog aber fortsetzen, ich glaube die Lösung liegt wohl irgendwo zwischen unseren beiden Polen.

Gruß und gute Nacht
paff
P.S. Gutes Wort im anderen Thread
"Es dient alles der Sache"
Das sollten wir zu unserem Motto machen
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#8

Zitat

Gruß und gute Nacht
paff

Gute Nacht, werd mich morgen wieder einklinken.

Gruß
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#9 Gut dann schreib ich noch was damit du dann wieder was schreiben kannst .

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#10 Hallo,

interessante Diskussion, die ich als Newbie hier auch nicht nachdrücklich stören möchte. Mir stellt sich lediglich folgende grundsätzliche Frage:

Was will man mit Foren wie diesem wirklich erreichen? Oder provokant formuliert: Geht es darum, möglichst viele HJT-Puzzles zu lösen oder geht es darum, dem Hilfesuchenden möglichst objektiv zu helfen?

Wer die Erfüllung in der 1. Alternative sieht, wird nach dem obligatorischen "Fix mal dies und das"-Beitrag einen zunächst zufriedenen User zurücklassen, der jedoch schlimmstenfalls nichts dazugelernt hat und bald mit dem nächsten Befall auf der Matte steht - abgesehen davon, dass gerade bei einem Bot-Befall die Gefahr besteht, dass nur Symptome kuriert werden.

Das Selbstverständnis der 2. Alternative ist. m.E. anspruchsvoller. Zu einer wirklichen Hilfe gehört 1. möglichst umfassend auf den akuten Befall zu reagieren und 2. Prophylaxe zu betreiben, damit der User gerade nicht wiederkommen muss. Wenn sich ein "popliger Trojaner" findet, gibt es nur eine objektiv richtige Reaktion und zwar das Neuaufsetzen des Systems. Die Gründe hat Cidre bereits genannt, die Gegenargumente überzeugen mich nicht:

Den "Popeligkeitsgrad" kann man nicht abschätzen, da man in aller Regel nicht weiß, inwieweit das System bereits korrumpiert wurde.

Die unbestreitbare Tatsache, dass es für einen Betroffenen mühselig sein kann, das System neu aufzusetzen, ändert nichts an der Richtigkeit dieses Schritts. Wenn der Betroffene dann meint, in einem anderen Forum nach einer bequemeren, aber schlechteren Lösung suchen zu müssen, dann ist das seine Sache.

Auch für Punkt 2: Prophylaxe ist das Neuaufsetzen hilfreich. Was Paff damit meint, es sei sinnvoller, nach einer gründlichen Reinigung "auf vorhandene Security-Sachen aufzubauen" habe ich nicht verstanden. Der Umstand, dass der Hilfesuchende überhaupt hier ist, zeigt doch, dass die "vorhandenen Security-Sachen" gerade nicht ausreichten. Die beste Vorbeugung besteht darin, dass man dazulernt, zumindest im Ansatz die Funktionsweise der Schädlinge erkennt und ein Sicherheitskonzept entwickelt. Das kann auch ein Anfänger, wenn man ihm die entsprechenden Hilfestellungen gibt (s. die obligatorischen Tipps von Cidre). Ein bereits kompromittiertes System zuverlässig zu reparieren ist viel schwieriger. Denn, wie Paff richtig sagt, niemand weiß, ob z. B. der Bot wirklich gefährlich ist

#11 @ MobyDuck

Zitat

die ich als Newbie hier auch nicht nachdrücklich stören möchte

Du und Newbie, jetzt wäre ich beinahe vom Stuhl geflogen, vor lauter Lachen.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#12 @MobyDuck

Nicht das hier ein falscher Eindruck entsteht. Ich bin nicht hier um viele HJT Puzzels zu lösen. Ich will den Leuten helfen, aber auch mit vernüftigen Einsatz der Mittel.

Wenn ich mal Cidres Meinung geht, muß jeder der Hier ein Log postet und man entdeckt man einen Virus/Trojaner/Malware/HiJacker sofort formatieren.
Weil das System ist kompromittiert sobald, ein Stückchen "böser" Code gelaufen ist. Also egal ob DLL-Injection, Exe im autostart. Sofort ist basta.

Das kann's doch nicht sein.
Außerdem kann man nur was neues entdecken wenn man die TO's mal alles Säubern läßt und schaut ob wirklich alles weg ist.
Wenn ich gleich Formatiere werde ich nie neue HiJacker erkennen !!
Dann können wir das HiJackerForum zumachen und nur kurz aus Log schauen und sagen Formatiere. Dadurch lernt niemand was.

Ich seh's wirklich nicht ein vor diesen Malware/Bot usw. schreibern zu kapitulieren

Zu deiner Ausgangsfrage:
Worum gehts bei diesem Forum?

1. Leuten helfen
Ich kann Leuten helfen ihren Rechner zu säubern. Wenn Sie interessiert sind kann man Tipps geben wie sich spätere Infektionen Vermeiden lassen.

Prob1: Viele Leute wollen oder können nicht Windowsupdate machen.
Da ist dann Hopfen und Malz verloren und es hilft auch kein Formatieren.
Cidre hatte da letzt einen Kandidaten

Prob2: Die Menge die hier an HJT gepostet wird. Vorallem auch noch wild durcheinander. Da muß du

Prob3: Pseudo- Wisser
Denen kannst du dann viel erzäheln, die tun so als kapieren Sie alles und machen dann einfach nichts.
Außerdem , schreib jemanden mehr als 10-15 Zeilen Text, dann 50% schalten ab.

2. Neue HiJacker
Ich find's spannend wenn dann mal Leute mit Prob kommen die sich nicht einfach lösen lassen.
Denen kann ich auch sagen, Formatiere
Aber eine Lösung für andere hab ich dann auch nicht.

So 2 Halbzeit im Handball

Bis nachher :

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#13 @ paff

Ich glaube, daß du meine Posts weder hier noch in anderen Foren nicht richtig liest oder einfach nur falsch interpretierst.

Zitat

Wenn ich mal Cidres Meinung geht, muß jeder der Hier ein Log postet und man entdeckt man einen Virus/Trojaner/Malware/HiJacker sofort formatieren.

Du redest am Thema vorbei. Du verallgemeinerst das jetzt und kannst dies mit Sicherheit nicht belegen!
Ich habe nie, diese Empfehlung abgegeben wenn ein System mit einen Browser Hijacker infiziert worden ist, da hier die Verhältnismäßigkeit nicht gegeben ist. Auch nicht bei sonstiger Ad-/Spy- oder Foistware.
Für mich ist die Art der Kompromittierung bzw. deren Gefährlichkeit wichtig und das sollte gegenüber den TO erläutert werden!
Wir reden hier über Backdoor Trojaner und sonst nichts anderes und da lautet meine Empfehlung: Neuaufsetzen!

Zitat

Das kann's doch nicht sein.
Außerdem kann man nur was neues entdecken wenn man die TO's mal alles Säubern läßt und schaut ob wirklich alles weg ist.
Wenn ich gleich Formatiere werde ich nie neue HiJacker erkennen !!
Dann können wir das HiJackerForum zumachen und nur kurz aus Log schauen und sagen Formatiere. Dadurch lernt niemand was.

Unsinnig, siehe oben!
Was und wie willst du den analysieren, wenn du nicht vor Ort bist. Per Ferndiagnose, ein schwieriges Unterfangen.
by the way. Bei einen HiJacker ist der Infektionsweg klar:
- Unsicherheitsbrowser IE in Kombination mit falscher oder fehlender Konfiguration.

Zitat

1. Leuten helfen
Ich kann Leuten helfen ihren Rechner zu säubern. Wenn Sie interessiert sind kann man Tipps geben wie sich spätere Infektionen Vermeiden lassen.

Das bestreitet ja auch niemand, aber diese Tipps sollten nicht erst erfolgen, wenn jemand speziell danach fragt.

Hilfe sollte so aussehen: Erläuterung des Problems -> Abwägung bzw. persönliche Einschätzung -> Symptome bekämpfen -> Ursache beseitigen
Wie gesagt wir, weil wir uns auskennen bzw. jeden Tag damit beschäftigen, übernehmen Verantwortung gegenüber den TO´s.

Zitat

Prob1: Viele Leute wollen oder können nicht Windowsupdate machen.
Da ist dann Hopfen und Malz verloren und es hilft auch kein Formatieren.
Cidre hatte da letzt einen Kandidaten

Das Problem wurde kurzzeitig mit aufspielen des SP2 von der Heft CD (Compterbild) behoben und ist bis zum Anfang September derweil auf Eis gelegt (Diplomarbeit).

Zitat

Prob3: Pseudo- Wisser
Denen kannst du dann viel erzäheln, die tun so als kapieren Sie alles und machen dann einfach nichts.
Außerdem , schreib jemanden mehr als 10-15 Zeilen Text, dann 50% schalten ab.

Das trifft in einigen Fällen zu, aber dies kannst du nicht verallgemeinern.
Man merkt sehr wohl ob jemand was verstanden hat oder nicht.
by the way: Postest du dann nur das, was die Leute hören wollen oder vertrittst du deine Prinzipien. Sollte ersteres zutreffen, dann wäre es reine Zeitverschwendung und du würdest dich selbst belügen, da du es besser weißt. Damit ist keinem geholfen.

Zitat

2. Neue HiJacker
Ich find's spannend wenn dann mal Leute mit Prob kommen die sich nicht einfach lösen lassen.
Denen kann ich auch sagen, Formatiere
Aber eine Lösung für andere hab ich dann auch nicht.

Mit den Hijacker stimme ich dir zu, aber um es nochmal klarzustellen: Es geht in diesen Thread um Backdoors!
by the way: Das Problem mit den wiederkehrenden Hijacker bei virus-infected hast du gut gelöst.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#14 @Cidre

Wir bauen zuviel Streitpunkte auf.
Eigentlich will ich mich nicht streiten. Anstatt dies zu tun, sollen wir villeicht festlegen, wann formatiert werden sollte und wann nicht.

Mein Problem ist villeicht das ich nie selbst formatieren würde, wegen eines "popligen" oder hartnäckigen Trojaners. Das wäre ein Eingeständnis der Überlegenheit des Angreifers.
Außerdem traue ich mir nicht zu, jemandem der keine Ahnung hat, blind zu erklären, wie er seine Rechner neu Aufzusetzen hat. Vorallem bei unerfahrenen Usern.

Bleibt das Problem der Unmengen von HiJackThises
Nicht nur hier es gibt auch noch die Englischen Boards

Nachtrag:
Zähl du mal die Vorteile der Formatierung auf, ich mach dann die Vorteile der "Nicht Formatierung".

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#15 @ Paff
soweit du mich angesprochen hast:

Zunächst ist klarzustellen, dass ich dich nicht persönlich kritisieren wollte. Mir geht es um die grundsätzliche Frage, was zu tun ist, wenn ein Backdoor Troj auf dem System ist.

> Dann können wir das HiJackerForum zumachen und nur kurz aus Log schauen und sagen Formatiere

Nö, es bleiben genug Fälle übrig, bei denen kein Trojaner entdeckt wird.

> Ich seh's wirklich nicht ein vor diesen Malware/Bot usw. schreibern zu kapitulieren

Du kapitulierst, wenn du nur an Symptomen rumdockterst und die Ursache entweder nicht erkennst oder nicht beseitigst. In deiner Einschätzung der Malware-Autoren schimmert so ein wenig Geringschätzung durch, so nach dem Motto "vor diesen Script-Kiddies kapituliere ich doch nicht". Vor dieser Fehleinschätzung möchte ich warnen. Natürlich gibt es die Kiddies, die sich ihren Bot zusammenklicken, wobei man gerade wegen der Unberechenbarkeit dieser Versuche die Gefährlichkeit nicht einfach abtun kann. Du mußt aber sehen, dass die Entwicklung von Malware immer mehr zu einem knallharten Geschäft wird, an dem Profis beteiligt sind, die mehr von der Materie verstehen als uns lieb sein kann.

Zu deinem letzten Beitrag:

> Zähl du mal die Vorteile der Formatierung auf, ich mach dann die Vorteile der "Nicht Formatierung".

Das ist ein sinnloses Unterfangen. Wenn ein Trojaner auf dem System ist und Anhaltspunkte bestehen, dass er ausgeführt wurde, gibt es nunmal nur eine saubere Lösung.

Man kann auch einem unerfahrenen User erklären, wie er sein System formatieren und sicher aufsetzen kann. So schwierig ist das nun auch wieder nicht. Und - das ist meine persönliche Meinung - schadet auch ein wenig Erziehung nichts. Wenn der Betroffene z.b. nach einem Trojaner-Befall formatieren muss, lernt er by doing.