Bin in ein Botnet geraten ...

#1 Hallo zusammen,

leider hat's nicht gestimmt, was mir hier im Juni versichert wurde, dass mein Rechner okay sei. Hab mit Kaspersky und UniBlue Spy Eraser 4 Infektionen gefunden, der Downloader eines Trojaners tarnte sich als Windowsupdate, inzwischen ist es fast egal, wie die heißen, außer den Rechner plattzumachen und neu aufzusetzen geht wohl nichts mehr.

Dem stehen aber grad 2 Probleme im Wege: meine Original WinXP CD befindet sich in einer Papierhülle, auf der keine Lizenznummer steht. Woher ich die wußte, als ich Win damals telefonisch aktiviert habe, ist mir ein Rätsel. Frage: irgendwo muß die doch in der Registry gespeichert sein? Aber wo?

Zweites Problem: sämtliche Dateien in meinem Ordner "Eigene Dateien" sind seit heute plötzlich schreibgeschützt! Da das mehrere Hundert Ordner und Dateien sind, bräuchte ich Tage, um die alle einzeln zu entsperren. Geht das auch anders?

Abgesicherter Modus funktioniert übrigens nicht, falls irgend ein Rat den beinhalten sollte. Ich komme zwar rein, aber die meisten Funktionen funktionieren eben nicht mehr.

Hilfe superdringend erforderlich!

Gruß,

Rosabelverde

P.S. Oder könnte mir wenigstens jemand einen Tip geben, wo ich mit diesen Fragen an der richtigen Stelle wäre? Bin absolut ratlos ((((

#2 Du kennst das Spiel ja, sag, wo diese Malware gefunden wurde. Im Juni sollte diese Malware nicht auf dem Rechner gewesen sein.

Den Reg. Schluessel von #Windows kannst du u.öa. mit diesem Programm auslesen:
http://www.smartcoder.net/?p=605

Den Schreibschutz kann man einfach mit einem attrib Befehl aendern.
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo Ralf,

großen Dank erstmal, die Lizenznummer hab ich nun wieder, sie kam mir sogar gleich bekannt vor

Aber das Schreibschutzentfernen geht leider nicht - erstmal sind's an die 1000 Ordner und da drin nochmal gelegentlich hunderte von Dateien (da viele Fotos), zum anderen hab ich heut gemerkt, dass die manuelle Schreibschutzentfernung gar nichts nützt: sobald ich das bei einer Datei gemacht und auf "übernehmen" geklickt habe, ist der Schreibschutz wieder da!, es ist zum Verrücktwerden Das Problem ist also noch immer bös akut.

Die Malwaredateien sind überall verteilt, nämlich in normale Programmdateien eingebaut, soweit ich das feststellen konnte. Zuerst aufgefallen war mir die Meldung über ein automatisches Windows-Update Anfang Juni, obwohl ich das abgeschaltet hatte. Vor 3 Tagen fand ich mitten in einer kernel.exe-Datei meiner T-online-Software (die deshalb nicht mehr funktioniert) einen fortlaufenden Text, der mit "Windows-Update Log" überschrieben ist, wo die einzelnen Schritte der Neuinstallation der Win-Updatefunktion brav beschrieben sind (in zum Teil fehlerhaftem Englisch), mitsamt den Problemen, die dabei auftraten, so einfach ging das nämlich nicht, am Schluß hat's aber wohl doch funktioniert, und das angebliche Win-Update ist die Trojaner-Downloaddatei.

Da ich den Internet Explorer nie benutze, ist mir nicht gleich aufgefallen, dass dort meine Sicherheitseinstellungen geändert waren. Wenn ich sie auf meinen Hochsicherheitstand zurückgesetzt hatte, waren sie bald drauf wieder zurückverändert, vor allem in "Intranet" auf sehr niedrige Sicherheit gestellt, obwohl mein Rechner in keinem Netz ist. Jedenfalls nicht von mir beabsichtigt.

Im abgesicherten Modus hab ich gestern 2 neue Benutzerkonten gefunden (eins davon heißt schlauerweise "Jeder"), die aber nicht angezeigt und daher nicht gelöscht werden können; dafür hab ich nicht mehr volle Admin-Rechte, also da ist gewaltig der Wurm drin, der ganze Prozeß begann Anfang Juni, wie ich anhand einiger neuer Dateien feststellen konnte, viele davon im System32, die auch alle abgesperrt waren, also nicht von e-Scan überprüft werden konnten, hab sie mir einzeln angesehen (nach ein paar Änderungen in der Registry, damit die überhaupt aufgingen, hat aber nicht bei allen geklappt, vor allem Log-Dateien sind nicht einsehbar, "Unlocker" konnte daran nichts ändern). Quicktime ist gekapert, ein Adobe-Gamma-Loader, und einige exe-Dateien verschiedender Programme. Ach ja, und Avast Antivirus war ebenfalls gekapert; nachdem die Testphase abgelaufen ist, ließ es sich zwar angeblich deinstallieren, arbeitet auch nicht mehr und hat noch immer mehrere Dateien mit täglich neuem Datum.

Außerdem hat UniBlue SpyEraser in einer Fotobearbeitungssoftware ("Helicon Filter", russischer Herkunft) die Spyware "Actual Spy" gefunden, die sich in den 2 Uninstall-Dateien befindet und einen Keylogger enthält. Diese Spyware wird routinemäßig mit der Fotosoftware geliefert und normalerweise nicht gefunden oder nicht gemeldet, weil das ein Kaufprogramm ist. Sagt jedenfalls UniBlue.

Weiß jetzt nicht, ob das deine Frage war mit "Du kennst das Spiel ja ..." etc, mit HijackThis brauch ich mich glaub ich nicht mehr aufzuhalten, es sei denn, du bist du an einem aktuellen Logfile interessiert? (Ad-aware und Spybot S&D haben übrigens nie was gefunden. Auch nicht beim Trojanerbefall auf meinem vorigen Computer.)

Gruß,

Rosabel

#4 Die Meldungen von SpyEraser halte ich fuer einen Fehlalarm.
Was meinst du mit"Quicktime ist gekapert" ?
Das du einige Log Dateien nicht oeffnen kannst ist normal unter Windows.



Wenn du deinem System aber nicht mehr trauen kannst, solltest du neu Aufsetzen.

Du kannst dich ja hier dran orienteren: http://board.protecus.de/t13020.htm

Denke daran vorher alle noetigen Treiber und Updatepacks herunterzuladen.
__________
MfG Ralf
SEO-Spam Hunter

#5 Rette die Daten per Linux CD und mach die Kiste platt - würde ich so oder so empfehlen, da dir niemand sagen kann, wie viele Rootkits/Viren/usw. auf deinem Rechner schon runtergeladen+installiert sind. Allerdings ist auch da ein Sicherheitsrisiko, zumindest alle ausführbaren Dateien aus diesen Ordnern solltest du bedingungslos löschen.

PW ändern nicht vergessen, auf garkeinen Fall irgendwelche Transaktionen durchführen, das mit den Treibern halte ich für evtl. riskant. Lieber die Treiber von einem anderen Rechner aus runterladen - evtl. schreiben sich Programme in jede .EXE die den Rechner verlässt/betritt.


Den Internet Explorer habe ich übrigens komplett entfernt, sämtliche dazugehörigen Schlüssel gekillt. Selbiges gilt für Outlook und Mediaplayer.