Gehijackter IE, Ratschläge befolgt: Verbleibende Fehler kritisch?

#0
25.04.2005, 15:06
...neu hier

Beiträge: 4
#1 Hallo Forianer,


vielleicht könnt Ihr mir - einem "Computer-Laien" - helfen, denn ich weiß nicht wie "stabil" mein System nach Berücksichtigung der Forums-Ratschläge jetzt ist!?

Mein IE hatte plötzlich die üblichen Symptome: heftige Festplattenaktivität, neue nicht veränderbare Startseite auf irgendeine "Spy-Abwehrseite", zusätzliche Suchzeile, viele neue Favoriten.

Ich habe daraufhin im IE Internetoptionen Cookies und Dateien gelöscht und die ursprüngliche Startseite wieder einrichten wollen: hat nix geholfen. Dann habe ich mein System (XP) auf den letzten Zeitpunkt vor Infektion zurückgesetzt: seitdem habe ich beim Browsen keine Annomalien mehr festgestellt!!

Um Sicher zu gehen, dass mein System nicht nur scheinbar i.O. ist, habe ich im Forum gesurft und die Ratschläge wie folgt berücksichtigt - mit für mich nicht eindeutigem Ergebnis:

Zunächst HijackThis, autoausgewertet und drei Fixes vorgenommen.
Dann im abgesicherten Modus:
- eScan: vier "Fehler" (allerdings alle "tagged as not-a-virus", siehe u.a. Log)
- SypBot, DLL Compare und AdAware: haben alle nichts gefunden
Dann im Normalmodus:
- BitDefender: ein Virus identifiziert, der jedoch nicht behebbar war (Log s.u.; kann ich die Datei einfach selber löschen??)
- TrendMicro und SWSchredder: beide null Dateien identifiziert.
Dann wieder im abgesicherten Modus:
- NOD32 Antivirus-System: no files identified.

In Summe also 4 (vielleicht?) und 1 (richtigen?) Virus gefunden, wobei 6 von 8 Scannern nicht angeschlagen haben. Was sollte ich mit den 4 eScan-Objekten bzw. mit dem einen BitDefender-Virus nun tun? Wie sicher ist mein System jetzt?

Über einen hilfreichen Rat würde ich mich sehr freuen.

Beste Grüße, Hilmar




-------------------------------------------------------------------
Hier die Logs der beiden Scanner sowie mein HijackLog:


eScan:

Total Objects Scanned: 99384
Total Virus(es) Found: 4
Total Disinfected Files: 0
Total Files Renamed: 0
Total Deleted Objects: 0
Total Errors: 3

Hier die identifizierten Dateien:

File C:\RECYCLER\S-1-5-21-34387633-2952814052-3821473450-1006\Dc2.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP14\A0004822.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP17\A0006445.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File D:\\S-1-5-21-34387633-2952814052-3821473450-1006\Dd1.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.



BitDefender

Neben vielen Dateien aus den Ordnern Lavasoft (Ad-Aware) und Hijack-This, die im Log vermutlich weil passwortgeschützt als nicht korrekt (oder nicht korrekt prüfbar) ausgewiesen wurden, wurde eine Datei identifiziert:

C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP16\A0006111.exe: infected with BehavesLike:Win32.ExplorerHijack

C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP16\A0006111.exe: disinfection failed



Hier der HijackThis Log, der nach meiner Einschätzung i.O. sein sollte:

Logfile of HijackThis v1.99.1
Scan saved at 13:19:37, on 25.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Eset\nod32kui.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Hilmar\Eigene Dateien\Eigene Dokumente\Festplatte_Home\ZipNAll\Hijackthis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099254598359
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

------------------------------------------------------
ENDE
Seitenanfang Seitenende
25.04.2005, 15:44
Member
Avatar Malkesh

Beiträge: 669
#2 Deine Einträge und Funde befinden sich alle in der "System Volume Information", dies ist Teil der "Systemwiederherstellung" von Windows.

Um diese Einträge loszuwerden, deaktiviere die Systemwiederherstellung, so das Windows automatisch alle Knotenpunkte löscht. Rebooten, und danach die Wiederherstellung wieder aktivieren. Dann sollten die Funde in "System Volume Information" weg sein. Ok, zwei Funde hast du auch im "Recycler", das ist der Papierkorb von Windows, einfach leeren und fertig.
Diese von dir aufgezählten Funde sind also alle nicht aktiv und somit kein Grund zur Sorge, nachdem du sie wie beschrieben entfernt hast ;)

Zur Info: Deine "not-a-virus"-tags vom eScan scheinen alle harmlos zu sein.

Was ich noch sagen möchte: top Vorarbeit und Informationsleistung von deiner Seite aus, damit hat man gleich den Überblick und weiß was Sache ist. Vorbildlich, würde das gerne öfters so im Forum sehen *grins*
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
25.04.2005, 16:40
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo Malkesh,

vielen Dank für die prompte und gute Nachricht. Da bin ich ja wohl nochmal mit einem blauen Auge davon gekommen, auch wenn die Vorarbeit zu meinem Posting fast zwei Tage gebraucht hat. (Dein Lob nehme ich deshalb gerne an)

Auch nochmal einen herzlichen Dank an das gesamte Forum und insbesondere Euch, die "Key Player" zur Rettung "abgesoffener" PCs, ohne die mein Fall offen geblieben wäre!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


Ich könnte mir vorstellen, dass einige "Leidensgenossen" im Forum auch für die Zukunft die folgenden Fragen interessieren könnten und hoffe, Du hast noch die Zeit, neben der Rettung anderer PCs, hierauf kurz zu antworten:

1) Mein CA eTrust Antivirus müsste ich jetzt (kostenpflichtig) updaten und bin mir nicht sicher, ob es nicht etwas einfacheres (z.B. nicht auf Netzwerke ausgerichtetes) und vielleicht auch Zuverlässigeres gibt (CA wird z.B. an anderer Stelle im Forum nochmals "unglücklich" erwähnt - was das jedoch bedeutet kann ich nicht beurteilen). Darüber hinaus stellt sich mir nach meinem "Trojaner-Erlebnis" auch die Frage, wie gut die XP-Firewall tatsächlich ist.
Kannst Du aus Deiner Erfahrung sagen, was sich heutzutage für den "kleinen PC-Privat-User" (mit einem DSL-WLAn-Router) üblicherweise an Schutzsoftware empfiehlt? (Ich weiß: nichts verschafft vollständige Sicherheit!). Wo gibt es z.B. Testberichte?

2) Wie kann ich darüber hinaus die Einstllungen meines PC (z.B. in IE Internetoptionen) mit höchster Sicherheitsstufe einstellen (und dennoch surfen)?

3) Kann man, indem man eigene sicherheitsrelevante Dateien (mit Passwörtern, Bankzugängen, ...) z.B. auf einem Memory-Stick nur zeitweise im System öffnet (am Besten, nur wenn man nicht im Internet ist), die Sicherheit erhöhen oder sind die online-Eingaben der sicherheitsrelevanten Daten in die Browser-Masken der gefährliche Punkt?

Beste Grüße und nochmals herzlichen Dank,

Hilmar
Seitenanfang Seitenende
25.04.2005, 17:07
Member
Avatar Malkesh

Beiträge: 669
#4 1.) Wenn du einen kostenlosen Virenscanner suchst, würde ich dir mal empfehlen dir AntiVir anzusehen http://www.free-av.de/. Wenn du jedoch Bereit bist ein paar Euro auszugeben, kann ich dir aus persönlicher Empfehlung zu Kaspersky (gleiche Scan-Engine wie eScan) raten, jeder hat da so seine Favoriten, Forum-Suche bringt sicher noch weitere Kandidaten.
Zum Thema Firewalls solltest du einige interessante Beiträge im Firewall-Forum finden, meistens hilft jedoch nur selber ausprobieren, was einem am meisten zusagt. Beliebt sind jedoch Kerio, Outpost und ZoneAlarm (google hilft weiter, z.B. für Demo-Versionen etc).
Des weiteren ist es gerade bei WLAN wichtig, das es richtig konfiguriert ist (WEP-Verschlüsselung etc) und wenn der Router gut ist, hat er oft schon eine kleine Firewall eingebaut, was ebenfalls sehr effektiv ist und welche auch genutzt werden sollte.

2.) Ich würde dir Raten dich ganz vom IE abzuwenden. Konfiguriere ihn so sicher wie möglich (ActiveX und Jave deaktivieren bzw. nur auf Eingabeaufforderung usw), aber benutze ihn nur noch für www.windowsupdate.com und führe dies regelmäßig aus. Steige um auf Alternative Browser wie Firefox, Mozilla oder Opera.

3.) Generell würde ich es vermeiden wichtige Daten in jeglicher Form digitalisiert zu handhaben, aber ein USB-Stick der wirklich nur dafür verwendet wird ist noch relativ sicher.
Der gefährliche Punkt ... nunja, das ist so ein Problem.
1. Natürlich, wenn du Daten auf der Platte hast, kannst du Pech haben, dass diese durch Spyware und Trojaner ausglesen werden, also sehr kritisch, wie du schon erkannt hast.
2. Doch auch wenn du manuell deine Daten eingibst gibt es zwei Risikofaktoren:
- Keylogger! Ein Keylogger speichert alle Tastatureingaben ab, was das bedeutet ist wohl klar?
- Phishing, dazu gibt es auch hier im Forum bereits einige Beiträge und Informationen. Phishing ist in letzter Zeit 'beliebt' geworden. Dabei werden arglose Benutzer auf Fälschungen von Homepages wie z.B. der Bank gelockt (oft nach einer e-mail Aufforderung!), dort soll der Nutzer dann angeblich seine Kontodaten eingeben, aus welchen Gründen auch immer. Doch statt an die Bank gehen die Daten an einen Dritten, Ergebnis sollte auch hier klar sein. Daher: Banken fordern niemals per e-mail dazu auf sensible Daten wie PIN/TAN Kontonummern etc wegen irgendwelcher Überprüfungen oder ähnlichem einzugeben! Wenn deine Bank etwas wichtiges von dir will meldet sie sich per Post.

Beide Risikofaktoren lassen sich jedoch durch umsichtiges und kluges surfen minimieren. Ein abgesichertes System fängt sich z.B. so leicht keinen Keylogger ein, wenn der Nutzer aufpasst welche Seiten er ansurft, welche Links und Downloads er anklickt, welche Zertifikate er bestätigt usw. Ebenso wird ein umsichtiger und vorsichtiger Surfer sich nicht von Phishing-mails täuschen lassen, da es einem einfach zu ungewöhnlich vorkommt, dass die Bank solche Daten 'anfordert' oder ähnliches.


Zur weiteren Absicherung deines Systems kann ich dir jedoch nur empfehlen dir einmal folgende Seiten anzusehen:
sehr gutes Tool um unnötige und somit unsichere Windows Dienste abzuschalten:
http://www.dingens.org/
sichere Konfiguration im allgemeinen:
http://ntsvcfg.de/
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Dieser Beitrag wurde am 25.04.2005 um 17:10 Uhr von Malkesh editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: