Zugang über eumex.ip

Vielen Dank für die schnelle Antwort. Hier ist der Inhalt der ipconfig.txt

Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : ub-nom1oe8yr9km
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein

Ethernetadapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection
Physikalische Adresse . . . . . . : 00-E0-18-81-C9-7F
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.178.22
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.178.1
DHCP-Server . . . . . . . . . . . : 192.168.178.1
DNS-Server. . . . . . . . . . . . : 85.255.112.104
85.255.112.155

Lease erhalten. . . . . . . . . . : Mittwoch, 29. April 2009 16:52:30
Lease läuft ab. . . . . . . . . . : Samstag, 9. Mai 2009 16:52:30


Mit freundlichen Grüßen
Ulli

 
Hallo Ulli912,

Vielen Dank für die schnelle Antwort. Hier ist der Inhalt der ipconfig.txt Ethernetadapter LAN-Verbindung: IP-Adresse. . . . . . . . .: 192.168.178.22 DHCP aktiviert. . . . . . .: Ja Autokonfiguration aktiviert: Ja Subnetzmaske. . . . . . . .: 255.255.255.0 Standardgateway . . . . . .: 192.168.178.1 DHCP-Server . . . . . . . .: 192.168.178.1 DNS-Server. . . . . . . . .: 85.255.112.104, 85.255.112.155 Lease erhalten. . . . . . .: Mittwoch, 29. April 2009 16:52:30 Lease läuft ab. . . . . . .: Samstag, 9. Mai 2009 16:52:30

Das ist ganz übel!
Sie verwenden DNS-Server, die jeweils an einem Endkundenzugang mit
statischen IP-Adressen in der Ukraine betrieben werden. Dass der den
Hostnamen "eumex.ip" nicht kennt, ist kein Wunder und auch nicht weiter
schlimm: Die Konfiguration können Sie über http://192.168.178.1
vornehmen.
Schlimm ist, dass es mittels dieser Ihnen untergeschobenen, ukrainischen
DNS-Server möglich ist, die Requests Ihres Browsers umzulenken. Wie dies
funktioniert und wie dies zu Ihrem Nachteil ausgenutzt werden kann,
können Sie in dem folgenden Beitrag eines anderen Nutzers nachlesen:
http://foren.t-online.de/foren/read.php?158,3860098,3861466#msg-3861466
(Darin der Abschnitt 1, der dürfte genau auf Ihre Situation zutreffen.)
Sie sollten davon ausgehen, dass es dem Angreifer bereits gelungen ist,
Zugangsdaten von Ihnen zu stehlen.
Als Erstes (!) rufen Sie bitte ...
     Systemsteuerung / Netzwerkverbindungen
... auf und rufen dort die Eigenschaften der LAN-Verbindung auf.
(Rechtsklick darauf, dann "Eigenschaften" wählen). Auf dem Tab
"Allgemein" markieren Sie den Eintrag Internetprotokoll (TCP/IP)
und klicken dann auf die Schaltfläche . Hier sind sie nun
an der Stelle, an der Sie unten den Eintrag finden:
| (_) DNS-Serveradresse automatisch beziehen
|
| (*) Folgende DNS-Serveradressen verwenden:
|
| Bevorzugter DNS-Server:
| Alternativer DNS-Server:
Stellen Sie dies um auf DNS-Serveradresse automatisch beziehen!
Ermitteln Sie mit ...
%COMSPEC% /c ipconfig /all > "%USERPROFILE%\DESKTOP\ipconfig.txt"
... erneut Ihre IP-Konfiguration!
Vergewissern Sie sich, dass dort jetzt ...
     Ethernetadapter LAN-Verbindung:
     IP-Adresse. . . . . . . . . . . . : 192.168.178.22
     Subnetzmaske. . . . . . . . . . . : 255.255.255.0
     Standardgateway . . . . . . . . . : 192.168.178.1
     DHCP-Server . . . . . . . . . . . : 192.168.178.1
     DNS-Server. . . . . . . . . . . . : 192.168.178.1
... steht! Dann und nur dann fahren Sie wie folgt fort:
Rufen Sie
https://kundencenter.telekom.de/kundencenter/rechnung/internet-nutzungsdaten.html
auf (ggf. Login erforderlich) und schauen Sie sich an, ob bereits in
Ihrem Namen kostenpflichtige Produkte gebucht worden sind.
Dann ändern Sie bitte SOFORT alle Passwörter! Dazu gehören das ...
• persönliche Kennwort (für den Zugang)
• Passwort (Webkennwort)
• E-Mail-Passwort
• FTP-Passwort
Das persönliche Kennwort ist der Schlüssel zu den anderen Passworten,
das heißt, wer Ihre T-Online-Nummer (oder E-Mail-Adresse) und dieses
Kennwort kennt, kann Ihren Account nahezu komplett übernehmen. Daher
bitte zuerst einmal das persönliche Kennwort im Kundencenter
ändern. Nutzen Sie bitte die gesamte Länge (das persönliches Kennwort
darf acht Zeichen lang sein) und verwenden Sie große und kleine
Buchstaben und Ziffern. (Auf Sonderzeichen und Umlaute sollten Sie aus
Kompatibilitätsgründen indes besser verzichten.)
Danach dann bitte ebenfalls im Kundencenter die anderen Passworte
ändern. Wichtig: Benutzen Sie nicht die gleichen Kennworte für
die verschiedenen Funktionen, denn das E-Mail-Passwort und das
FTP-Passwort dürfen unverschlüsselt übertragen werden. Macht man
dies z.B. an einen öffentlichen Hotspot, können diese Passwörter bei
unverschlüsselter Übertragung in der Nähe des Hotspots abgehört werden.
Verwendet man nun für alle Funktionen das gleiche Passwort, "gehört" der
eigene Account schnell jemand anderem.)
Dann bitte offline gehen und das entsprechenden Kennwort auch in Ihrem
DSL-Router oder der T-Online-Software oder der DFÜ-Netzwerk-Verbindung
ändern, je nachdem, was Sie zur Einwahl bei uns benutzen.
WICHTIG: Verwenden Sie für alle Logins (egal wo) verschiedene
Passwörter, ändern Sie dies also ggf. ebenfalls, auch wenn das mühevoll
ist. Schreiben Sie alle neuen User/Pass-Kombinationen auf einen Zettel,
den Sie sicher verwahren.
In dem folgenden Beitrag eines anderen Nutzers finden Sie ganz unten
Empfehlungen für Passwort-Tools, die Ihnen dies erleichtern:
http://foren.t-online.de/foren/read.php?158,3860098,3861466#msg-3861466
Für den Fall, dass bei uns in Ihren Namen kostenpflichtige Produkte
gebucht worden sind, raten wir Ihnen darüberhinaus, eine Strafanzeige
wegen Datenmissbrauch und Betrugs bei der nächsten Polizeibehörde zu
stellen. Diese und eine Kopie Ihrer (kommenden) Rechnung senden Sie an
unseren Kundenservice. Adresse:
Deutsche Telekom AG,
Kundenservice
53171 Bonn
Sollten Sie feststellen, dass Ihr Account bei einem anderen Anbieter
(z.B. eBay, Amazon oder, oder, oder ...) missbraucht wurde, gehen Sie
bitte analog vor. Die Benachrichtigung über den erfolgten Missbrauch
müssten Sie dann natürlich an den Kundenservice des jeweiligen Anbieters
senden.
Gesetzt den Fall, dass bisher noch nichts passiert ist, dürfen Sie sich
jetzt dennoch noch nicht beruhigt zurücklehnen. Denn offenbar war auf
Ihrem System bereist ein Schädling aktiv und das ist er womöglich immer
noch. Von einem infiziertem Rechner aus ist ein solche Schädling nicht
zu entdecken, wenn der Programmierer geschickt genug war. Auch nicht
durch eine etwaig bereits installierte Schutzsoftware, denn die hat
dieser Schädling schon deaktiviert. (Die ukrainischen DNS-Server sorgen
übrigens dafür, dass die Schutzsoftware keine Updates mehr bekommen
kann.) Und nun ein länglicher Textbaustein zu diesem Thema:
Personal Firewalls und Antiviren-Programme dienen dazu, Sie bzw. Ihren
Rechner vor Schadsoftware und einem Fremdzugriff auf Ihren Rechner zu
schützen. Sie bewirken jedoch in aller Regel nichts mehr, wenn eine
Schadsoftware dennoch installiert wird. Denn diese Schadsoftware kann
auf und mit Ihrem Rechner alles tun, was Sie auch selbst tun können.
Insbesondere kann sie also Schutzprogramme beeinträchtigen oder gar
komplett deaktivieren. Oder weitere Software installieren, die nicht als
Schadprogramm erkannt werden kann, weil es sich nicht eigentlich um eine
Schadsoftware handelt; beispielsweise ein Mail- oder Proxyserver oder
ein Fernsteuerungssoftware. Der Schaden entsteht dann daraus, dass diese
installierte Software in gefährlicher Weise - nämlich offen für den
Angreifer oder gar für jedermann - konfiguriert wird.
Sie haben dann meist keine Möglichkeit, diesen Schaden noch in unauf-
wendiger Weise zu beseitigen, da hilft dann auch die "Viren-Entfernung"
der Antiviren-Software oft nicht mehr wirklich weiter. Eigentlich haben
Sie nur noch eine Chance, aus diesem Schlamassel wieder heraus und zu
einem sauberen System zu kommen: Wichtige persönliche Dokumente extern
sichern (z.B. auf CD-R) und dann alle Partitionen zu formatieren. Wenn
Sie Windows XP oder Vista einsetzen, sollten Sie die Platten mit NTFS
formatieren, denn nur die Verwendung dieses Dateisystems ermöglicht es
Ihnen, die Schutzfunktionen des Betriebssystems vollständig zu nutzen.
Danach müssten Sie Windows und alle noch verwendeten Programme neu
installieren und Ihre persönlichen Dateien der Sicherung restaurieren.
Das ist eine sicher sehr aufwendige und damit unangenehme, aber leider
auch eher unabwendbare Maßnahme.
Aber Vorsicht: Die Viren werden möglicherweise versuchen, sich in das
Wurzelverzeichnis der Sicherungsmedien zu kopieren und zusätzlich eine
Datei namens "Autorun.inf" anzulegen, die die Schadsoftware gleich
wieder startet, wenn das Sicherungsmedium eingelegt wird.
Auf der Seite <> ist
beschrieben, wie Sie diese Autostart-Funktion für alle Windows-Versionen
komplett deaktivieren können. Drucken Sie diese Seite am besten aus,
denn Sie werden sie benötigen. Die Deaktivierung dieser Autostart-
Funktionen sollten Sie - nach Neuinstallation des Systems - zuerst
vornehmen, also bevor Sie die Datenträger mit der Sicherung in ein
Laufwerk mit Wechselmedien einlegen bzw. bevor Sie die externe
Festplatte wieder anschließen. Denn anderenfalls laufen Sie Gefahr, dass
die Arbeit umsonst war und die frische Installation allein durch das
Einlegen beispielsweise einer Diskette erneut "verseucht" würde.
Damit Ihnen dies nicht wieder passiert, sollten Sie nach der
Wiederherstellung des Systems folgende Ratschläge beherzigen:
1) Nach der Neuinstallation von Windows sind natürlich alle per
   Internet geladenen, sicherheitsrelevanten Updates hinfällig und
   müssen neu geladen werden (Windows-Update). Während Sie dies tun,
   sind Sie womöglich Wurmattacken ausgesetzt, gegen das Ihr Windows
   noch nicht geschützt ist. Hiergegen müssen Sie unbedingt
   Vorkehrungen treffen!
2) Vor der Formatierung der Partitionen stellen Sie bitte sicher, dass
   Sie die nach der Windows-Installation benötigten Programme zur Ver-
   fügung haben sollten, die Sie vor dem ersten Onlinegehen installie-
   ren sollten. Hierzu zählen z.B. aktuelle Versionen einer Antiviren-
   Software, einer Personal Firewall und ggf. der T-Online Software.
   Auf die Personal Firewall können Sie erst einmal verzichten, wenn
   Sie mindestens Windows XP besitzen. Die bekannten Wurmattacken
   können nämlich auch durch die Windows-Firewall abgewehrt werden.
   Sie dürfen aber nicht vergessen, diese auch zu aktivieren! (Falls
   Sie über einen Router online gehen, genügt auch dessen Firewall.)
3) Nachdem Sie das Windows-Update so oft durchgeführt haben, bis keine
   sicherheitsrelevanten Updates mehr angeboten werden, installieren
   Sie ggf. (s. 2) noch Ihre Personal Firewall und deaktivieren
   dann bitte auch die Windows-Firewall. Denn mehr als eine
   Software-Firewall-Lösung brächte nicht etwa mehr Sicherheit, sondern
   nur mehr Abstürze.
4) Denken Sie daran, dass Sie die Update-Routinen der installierten
   Schutzsoftware so konfigurieren, dass sie wenigstens einmal täglich
   automatisch nach Aktualisierungen Ausschau halten. Besonders dann,
   wenn Sie mehrere Tage hintereinander nicht online waren, sollten Sie
   immer zuerst diese Aktualisierungen laden und installieren, bevor
   Sie online irgendetwas anderes tun.
5) Sofern Sie Windows XP verwenden, sollten Sie als nächsten Schritt
   einen Windows-Nutzer mit eingeschränkten Rechten anlegen und soweit
   möglich nur noch diesen verwenden, wenn Sie online gehen. Den
   Windows-Nutzer mit administrativen Rechten verwenden Sie nur noch
   dann, wenn es nicht anders geht. Den meisten Gefahren, die von der
   Installation von Schadsoftware herrühren, gehen Sie damit aus dem
   Weg. Insbesondere können die mit Systemrechten laufenden Schutzpro-
   gramme so meistens nicht mehr durch eine Schadsoftware in der
   Funktion beeinträchtigt werden. Wenn eine Software partout nicht mit
   eingeschränkten Nutzerrechten laufen will, kontaktieren Sie bitte
   den Hersteller des Programms. Oft gibt es angepasste Versionen oder
   wenigstens "Tricks", die Einschränkung zu umgehen.
6) Sollten Sie mehr als einen Rechner besitzen und diese zu einem LAN
   vernetzt haben, achten Sie bitte darauf, dass Ihr Netz nur so sicher
   sein kann, wie der am schlechtesten konfigurierte Rechner im Netz.
   Es macht dann Sinn, alle Verzeichnisse für den Schreibzugriff durch
   andere Rechner im Netz zu sperren. Für den Datenaustausch und
   beispielsweise die Nutzung des MP3-Archivs für alle Rechner im Netz
   richten Sie dann einen Ordner "pub" o.ä. ein, so dass nur auf
   dieses Verzeichnis und dessen Unterverzeichnisse schreibend
   zugegriffen werden darf.
Um ein solches Ungemach künftig weniger aufwendig beseitigen zu können,
empföhle es sich, künftig mit einer Software, die Festplatten-Images
anfertigen kann, ein Backup einer solchen sauberen Installation
anzulegen. Eine solche Software kostet zwar in aller Regel Geld, aber
der Unterschied zwischen "ein Wochenende Arbeit" und "30 Minuten Arbeit"
ist sicher auch etwas wert. Vor der Wiederherstellung einer solchen
Images sollten Sie aber daran denken, dass viele Programme auf der
Systempartition anwenderspezifische Daten speichern, zum Beispiel bei
Windows XP standardmäßig unterhalb des Verzeichnisses "C:\Dokumente und
Einstellungen\".
Auch unsere Software speichert dort Anwenderdaten. Es empfiehlt sich,
diese Daten direkt aus den Anwendungen selbst zu sichern und später
- nach der Wiederherstellung des Images - ebenfalls wiederherzustellen.
Mit freundlichen Grüßen
Ihr T-Home-Team
--- --- --- --- --- --- --- --- --- --- --- --- --- --- ---
http://forum.t-online.de/ -> Service-Foren
--- --- --- --- --- --- --- --- --- --- --- --- --- --- ---

Respekt und Chapeau!
Ausführlich, klar und für den Durchschnittsuser verständlich, und natürlich alles richtig.
Besser erklären und begründen kann man nicht, insbesondere die (ungeliebte) Notwendigkeit einer Neuinstallation.
Hoffentlich hält sich Ulli912 auch daran und versucht nicht, selbst oder mit Hilfe eines Pseudoexperten das System zu reparieren.

Was für die Anzeige bei der Polizei wichtig ist:
Das momentan befallene System nicht verändern! Am besten VOR allen Maßnahmen ein Image fertigen (lassen), denn ein solches dient der Beweissicherung. Es hat aber mit dem vom T-Home-Team angesprochene Image nach der Neuinstallation nichts zu tun.
Die notwendigen schnellen Passwortänderungen können i.d.R. auch von einem anderen PC durchgeführt werden.
Bitte über den Ausgang der Geschichte berichten.

Gruß

Ich war vielleicht zu voreilig mit meiner Antwort. Ich habe inzwischen die DNS-Eintragungen geprüft und festgestellt, daß sie bereits "automatisch bezogen" werden. Es war also keine Änderung nötig. Hier meine aktuelle ipconfig.txt:
Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : ub-nom1oe8yr9km
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein

Ethernetadapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection
Physikalische Adresse . . . . . . : 00-E0-18-81-C9-7F
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.178.22
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.178.1
DHCP-Server . . . . . . . . . . . : 192.168.178.1
DNS-Server. . . . . . . . . . . . : 192.168.178.1
Lease erhalten. . . . . . . . . . : Samstag, 2. Mai 2009 21:18:27
Lease läuft ab. . . . . . . . . . : Dienstag, 12. Mai 2009 21:18:27

Wenn ich die angegebene Seite im Kundencenter aufrufe, kommt eine Fehlermeldung:
"Ein Fehler ist aufgetreten
Kundencenter-Administration
Aus technischen Gründen steht diese Funktion zurzeit leider nicht zur Verfügung.
Bitte schließen Sie das Browserfenster und rufen Sie die gewünschte Funktion erneut auf.
Wenn diese Meldung wiederholt erscheint, versuchen Sie es noch einmal zu einem späteren Zeitpunkt. Wir bitten um Ihr Verständnis."

Alle Unterpunkte lassen sich jedoch aufrufen; ich habe jedoch keine Ahnung, wo ich dort etwas "Bestelltes" finden sollte.

Noch ein Nachtrag: Seit einigen Wochen dauert bei mir jede Google-Suche viel länger, mindestens 5 Sekunden, was früher in einer Sekunde klappte. Und die Windows-Dienste, eingentlich die ganze Verwaltung, kann ich gar nicht mehr aufrufen: Bei Systemsteuerung - Verwaltung erscheint nur ein leeres Fenster.

Ich sehe, die Ratschläge werden sich häufen, XP völlig neu aufzusetzen... (*graus*)
Ulli

Nanu, was ist passiert? Vor meinem Beitrag um 23:08 hatte ich noch einen anderen Beitrag eingestellt, in dem ich ebenfalls meinen chapeau gezogen und mich für die kompetente Antwort bedankt hatte. Irgendwie ist der nicht abgespeichert worden.

Ich hatte vorgeschlagen, daß ich zuerst zu Beweiszwecken ein aktuelles Image von C: mit Acronis True Image ziehe und anschließend ein früheres funktionierendes Image zurückspiele. Vielleicht ist dann der Schaden behoben. Ich scheue in der Tat die Neuistallation von XP mit Hunderten von Programmen; außerdem hat meine Installations-CD noch kein SP, ich habe aber mittlerweile SP3 installiert.

Ich hatte noch eine Beobachtung mitgeteilt: Vor einigen Tagen habe ich festgestellt, daß die aktivierte XP-Firewall nach XP-Neustart deaktiviert wird. Ich muß nach jedem Neustart die FW neu aktivieren; zwischenzeitlich kann über DSL schon längst Malware auf dem PC gelandet sein. Ich denke an den Sober-Virus und habe ein Sober-Tool von Symantec laufen lassen - ohne Befund. Dann habe ich mit Knoppix-CD Kaspersky online suchen lassen - ohne Befund.

Herzliche Grüße
Ulli

Ich hatte vorgeschlagen, daß ich zuerst zu Beweiszwecken ein aktuelles Image von C: mit Acronis True Image ziehe und anschließend ein früheres funktionierendes Image zurückspiele. Vielleicht ist dann der Schaden behoben. Ich scheue in der Tat die Neuistallation von XP mit Hunderten von Programmen; Ich hatte noch eine Beobachtung mitgeteilt: Vor einigen Tagen habe ich festgestellt, daß die aktivierte XP-Firewall nach XP-Neustart deaktiviert wird. Ich muß nach jedem Neustart die FW neu aktivieren; zwischenzeitlich kann über DSL schon längst Malware auf dem PC gelandet sein. Ich denke an den Sober-Virus und habe ein Sober-Tool von Symantec laufen lassen - ohne Befund. Dann habe ich mit Knoppix-CD Kaspersky online suchen lassen - ohne Befund. Herzliche Grüße Ulli

Na bestens, du arbeitest mit Images.
Das aktuelle C: sichern und ein früheres zurückspielen ist der erste richtige Schritt.
Sicherheitshalber würde ich aber auch das zurückgesicherte System gründlich auf Malware prüfen, und das geht nur "von außen", d.h. ohne Start des verdächtigen Systems.
Man bedient sich hierzu einer Boot-CD mit darauf befindlichem Virenscanner; am besten von F-Secure, Avira (beide gratis runterzuladen) oder der Knoppecilin-CD.

Und wenn hier nichts gefunden wird, steht einer weiteren Nutzung des Systems nichts mehr im Wege, wenn die notwendigen allgemeinen Sicherheitsaspekte berücksichtigt werden (guter Virenscanner, Firewall, Router, eingeschränkter User und und...).

Zu deinen Hunderten von Programmen:
Falls du wirklich eine dreistelligen Zahl an Programmen installiert hast, dann hat der Rechner natürlich überhaupt nichts an einem Internetzugang zu suchen, denn dann wäre er das Malware-Einfallstor schlechthin.
Mit der steigenden Anzahl der installierten Programme steigt grundsätzlich auch das Infektionsrisiko. Jedes Programm weniger bedeutet ein Sicherheitsplus.

Gruß

Zu deinen Hunderten von Programmen: Falls du wirklich eine dreistelligen Zahl an Programmen installiert hast, dann hat der Rechner natürlich überhaupt nichts an einem Internetzugang zu suchen, denn dann wäre er das Malware-Einfallstor schlechthin.

Na ja, Hunderte war leicht übertrieben. Wenn ich alle Einträge unter C:\Programme zähle, komme ich auf 120. Darunter sind aber auch Ordner wie WACOM-Tablett, T-DSL-Manager usw. Aus diesem Grund verwende ich ja zum Surfen meist Sandboxie. Wie sicher das wirklich ist, weiß ich nicht.

Ich werde es also zunächst mit einem früheren Image versuchen. Dann spare ich mir zumindest das XP-Update auf SP3, denn meine XP-Inst.-CD enthält nur SP1. Muß oder sollte ich dazu vorher format C: anwenden, also auch wenn ich Acronis zurückspiele? Wenn ja, reicht die Schnellformatierung?

Das T-Online-Team schlägt weiter vor, sämtliche Partitionen zu formatieren. Ist das wirklich nötig? Auf den anderen Partitionen und Platten habe ich nur eigene Daten und deren Backups (Office-Doks, JPEGs, MPEGs, AVIs, MP3s, WAVs usw.). Muß ich die alle formatieren? Auch die ext. HDDs? Auch die USB-Sticks?

Fragen über Fragen... Ich hoffe, ich nerve nicht zu sehr. Gut, daß es hilfreiche Engel gibt. Ach ja, ich muß ja auch noch schauen, ob irgendwelche Daten nur auf C: gespeichert sind, z. B. Onlinebanking, WISO-Steuerprogramm mit fast fertiger Steuererklärung usw. Die muß ich vorher sichern!

Gruß
Ulli

Zu deinen Hunderten von Programmen: Falls du wirklich eine dreistelligen Zahl an Programmen installiert hast, dann hat der Rechner natürlich überhaupt nichts an einem Internetzugang zu suchen, denn dann wäre er das Malware-Einfallstor schlechthin.

Na ja, Hunderte war leicht übertrieben. Wenn ich alle Einträge unter C:\Programme zähle, komme ich auf 120. Darunter sind aber auch Ordner wie WACOM-Tablett, T-DSL-Manager usw. Aus diesem Grund verwende ich ja zum Surfen meist Sandboxie. Wie sicher das wirklich ist, weiß ich nicht.

Ich werde es also zunächst mit einem früheren Image versuchen. Dann spare ich mir zumindest das XP-Update auf SP3, denn meine XP-Inst.-CD enthält nur SP1. Muß oder sollte ich dazu vorher format C: anwenden, also auch wenn ich Acronis zurückspiele? Wenn ja, reicht die Schnellformatierung?

Das T-Online-Team schlägt weiter vor, sämtliche Partitionen zu formatieren. Ist das wirklich nötig? Auf den anderen Partitionen und Platten habe ich nur eigene Daten und deren Backups (Office-Doks, JPEGs, MPEGs, AVIs, MP3s, WAVs usw.). Muß ich die alle formatieren? Auch die ext. HDDs? Auch die USB-Sticks?

Fragen über Fragen... Ich hoffe, ich nerve nicht zu sehr. Gut, daß es hilfreiche Engel gibt. Ach ja, ich muß ja auch noch schauen, ob irgendwelche Daten nur auf C: gespeichert sind, z. B. Onlinebanking, WISO-Steuerprogramm mit fast fertiger Steuererklärung usw. Die muß ich vorher sichern!

Gruß
Ulli


Hallo Ulli,

alle Partitionen zu formatieren bringt natürlich immer einen höheren Sicherheitsgewinn. Ich denke, die Entscheidung ist anwenderabhängig.

In den Datenpartitionen möglicherweise befindliche (ist selten) Maleware ist grundsätzlich harmlos, da nicht installiert. Der spätere Doppelklick darauf installiert natürlich die Böslinge, und das Spiel geht von neuem los.
Wenn man nach dem Zurückschreiben des Image ein sauberes System hat und scannt alle Datenpartitionen mit einem guten Virenscanner, kann eigentlich nix passieren.

Außerdem gibt es eine weitere, seltener vorkommende Gefahr:
Es gibt Rootkits, die schon den Bereich des MBR verbiegen. In solch einem Fall ist die saubere Lösung aber nicht das Formatieren aller Partitionen, sondern das Löschen und komplette Neuanlegen derselben.

In deinem Fall würde ich erst einmal C: mit deinem ACRONIS zurückschreiben. Ein vorheriges Formatieren ist hierzu nicht nötig.
Und wenn du dies gemacht hast, dann scanne dein System wie schon beschrieben "von außen" mittels aktuellem Virenscanner auf Boot-CD.

Und wenn dann nichts gefunden wird, kannst du erst einmal aufatmen.
Über Nacht würde ich dann noch alle Datenpartition scannen lassen, und natürlich auch alle externen Medien.
Benutze hierfür auch die Boot-CD, denn auf den externen Medien könnten mittels der Autorun-Funktion darauf befindliche Viren und Trojaner wieder installiert werden (z.B. der Conficker), wenn dies unter laufendem Windows gemacht werden würde.

Gruß

So, ich habe ein einen Monat altes Backup zurückgeschrieben. Alles sieht gut aus und funktioniert, nur besteht ein kleiner Schönheitsfehler: Die XP-Firewall muß nach wie vor nach jedem XP-Start aktiviert werden, und die Einträge für den DNS-Server sehen ukrainisch aus (beginnen mit 85...). Ich habe gleich auf "automatisch beziehen" umgestellt, doch ist die Malware wohl noch im PC. Ich habe noch zwei ältere Backups; mit jedem weiteren Schritt zurück in die Vergangenheit wachsen die Notwendigkeit der Nacharbeit und der Zeitaufwand. Schließlich werde ich wohl die Installations-CD suchen müssen...

Hat niemand Mitleid mit mir?

Gruß
Ulli

Hallo Ulli,

natürlich muss man Mitleid mir dir haben. Aber du hast ja auch einiges richtig gemacht, so z.B. das Erstellen von Image-Backups in mehreren Generationen.
Probiere die beiden älteren Images ruhig aus, vielleicht ist ja wenigstens das älteste (von welchem Datum?) schädlingsfrei. Ich drück dir die Daumen.

Interessant wäre natürlich der Infektionsweg, soweit dies überhaupt nachvollziehbar ist, sowie deine bisherige Sicherheitsstrategie und -konfiguration, denn von evtl. gemachten Fehlern können wir alle nur lernen.
Möglicherweise aber hast du auch gar keine Fehler gemacht und bist nur Opfer des uns alle betreffenden "Restrisikos".

Gruß

Vergiß es, ein Backup zurückzuspielen ist nur dann sinnvoll, wenn man (weitestgehend) sicher sein kann, daß das Backup auch sauber ist. Man muß die Backups also schon unter Ausschluß aller möglichen Risiken und Nebewirkungen angelegt haben.

Und ein sauberes System wirst Du damit nachträglich auch nicht sicherstellen können.
Olli.

Ein 100% sicheres Backup gibt es nur nach der Neuinstallation. Backups *nach* Beginn des Produktiveinsatzes beinhalten immer ein gewisses Restrisiko.
Sie haben aber trotzdem ihren Nutzwert, wenn man in der Lage ist, das Restrisiko einigermaßen einzuschätzen, das System gründlich zu untersuchen und/oder zeitliche Zusammenhänge zu erkennen oder auszuschließen.
Da dies sicher nicht jeder kann, muss es eine Individualentscheidung bleiben, die auch vom Nutzungsumfang und der Nutzungsbreite des Systems abhängig ist.

Gruß

Auf Ulli bezogen, Zustimmung.
Aber vielleicht ist ja sein ältestes Image direkt nach der ersten korrekten Installation erstellt worden (so sollte es ja auch sein). Dieses wäre dann brauchbar.

Gruß

Es tut wohl, mit Euch zu chatten. Einer lehnt in Bausch und Bogen Images ab (oder habe ich was falsch verstanden?), und der andere zieht zumindest theoretisch die Möglichkeit in Betracht, daß ich vielleicht gar nichts falsch gemacht haben könnte. Natürlich will man hundertprozentige Sicherheit, doch wer will behaupten, daß er diese Sicherheit zum gegenwärtigen Zeitpunkt hat und deshalb in diesem Augenblick ein Backup ziehen kann? Ich meine, es ist gerechtfertigt, wenn ich mich angesichts des gewaltigen Mehraufwands einer Neuinstallation so langsam mit meinen Images an den Punkt zurückarbeite, an dem offensichtlich noch keine Infektion vorlag. Und dieser Punkt scheint jetzt erreicht.

Gerade habe ich ein Image vom 10. März 2009 zurückgeschrieben. Und dies scheint auf den ersten Blick sauber zu sein, zumindest was die offen erkennbaren Punkte betrifft: Die Firewall bleibt stabil eingeschaltet, und die DNS-Server-Einstellungen werden automatisch bezogen. Mehr habe ich noch nicht geprüft. Mir ist klar, daß jede Überprüfung nicht erschöpfend sein kann und daß es Schädlinge geben kann, die sich nahezu perfekt tarnen. Aber es spricht doch einiges dafür, daß ein System sauber ist, wenn man nicht das Gegenteil feststellen kann. Ich werde kritisch weiter untersuchen, aber spare mir zunächst die Neuinstallation. Sonst wäre ich nicht so schnell wieder online.

Über den Infektionsweg kann ich naturgemäß nichts Genaues sagen. Ob über eine Website oder über einen E-Mail-Anhang, wer will das wissen? Mehrere Ärzte rätseln gerade im Krankenhaus darüber, woher meine Frau eine Entzündung haben könnte, da ihr CRP-Wert über 200 liegt. Es ist einfach kein Infektionsherd zu finden. Ähnlich ist es wohl auch in der Computerei.

Ich halte Euch beide, Oliver und Spargel, für ungewöhnlich gute XP-Experten (obwohl niemand hunderprozentig sicher sein kann, siehe oben). Vielleicht weiß einer von Euch eine Antwort auf ein Problem, das ich nicht auf Malware zurückführe: Oft kann ich das System nach dem Bootvorgang nicht benutzen, weil sich kein Programm (bis auf wenige, z. B. Pegasus) öffnen läßt. Auch der Startknopf läßt sich nicht drücken, so daß nur ein Neustart mit dem Hardwareschalter hilft. Es ist rein zufällig, ob der Fehler beim nächsten Booten auftritt. Ich habe in einem anderen Forum die verschiedensten Ratschläge erhalten, doch keiner half. Der interessanteste Hinweis besagte, daß es mit ziemlicher Sicherheit (wieder "ziemlich") um einen Hardwarefehler auf dem Mainboard handelt, und zwar sollen typischerweise ein oder mehrere Elkos des CPU-Controllers defekt sein; nach deren Austausch soll alles wieder in Ordnung sein. Ich habe diese Elkos auf Aufwölbungen überprüft - in dieser Hinsicht ist alles in Ordnung. Natürlich würde es einige Zeit kosten, das Board auszubauen, um an die Lötseite heranzukommen und die Elkos auszulöten und gegen neue zu auszutauschen. Diese Mühe möchte ich gern umgehen und suche noch nach anderen plausiblen Erklärungen.

Mein sechs Jahre alter PC soll nur noch bis Anfang nächsten Jahres durchhalten. Wenn Windows 7 rauskommt, werde ich mir einen neuen PC zusammenschrauben (vielleicht auch ausmahmsweise kaufen), der dann alle diese Fehler nicht mehr enthält. Vielleicht dafür andere.

Danke für Eure Geduld und Mitarbeit.

Ulli

Ach ja, Olli, was heißt "YMMV"?

Ich habe ergoogelt:

Possible Meanings Rank
Your Mileage Might Vary ****
Yam Mild Mosaic Virus **
yam mild mosaic potyvirus **
Yes Mum More Vanilla *
Yet More Manipulative Villains *

Paßt alles nicht.
Ulli

Gerade habe ich ein Image vom 10. März 2009 zurückgeschrieben. Und dies scheint auf den ersten Blick sauber zu sein, zumindest was die offen erkennbaren Punkte betrifft: Die Firewall bleibt stabil eingeschaltet, und die DNS-Server-Einstellungen werden automatisch bezogen. Mehr habe ich noch nicht geprüft. Mir ist klar, daß jede Überprüfung nicht erschöpfend sein kann und daß es Schädlinge geben kann, die sich nahezu perfekt tarnen. Aber es spricht doch einiges dafür, daß ein System sauber ist, wenn man nicht das Gegenteil feststellen kann. Ich werde kritisch weiter untersuchen, aber spare mir zunächst die Neuinstallation. Sonst wäre ich nicht so schnell wieder online. Ulli

Hallo Ulli,
ich glaube keinesfalls, dass Olli Images in Bausch und Bogen ablehnt (jeder Fachmann/Fachfrau arbeitet damit), sondern nur in deiner speziellen Situation; und dafür habe ich schon Verständnis.
Seine Frage lautet vielmehr, ob man dem jeweiligen Image trauen kann, malwarefrei zu sein.
Hier gilt: je älter das Image, um so vertrauenswürdiger ist es.
Das vertrauenswürdigste Image ist das, das direkt nach einer richtig durchgeführten Installation von BS und Progs. erstellt wurde.

Wenn man nicht weiß, ab welchem Zeitpunkt der Schädlingsbefall vorlag, wird es mit dem Vertrauen schwierig. Da sollte aus Sicherheitsgründen das Image schon einiges älter sein als nur ein paar Wochen.
Falls du ein noch älteres Image hättest, würde ich dieses vorziehen, auch wenn der Aufwand der Nachpflege etwas steigen würde. Ist aber eine Risiko-Nutzen-Abwägung.

Ich denke aber, dass das Wiederherstellen per altem Image (z.B. 2 - 4 Monate) in Betracht gezogen werden kann, wenn man über ein gewissen Wissen verfügt und zusätzliche Sicherheitsmaßnahmen ergreift:


Virenscan des Systems "von außen" mittels Boot-CD (Knoppicilin, F-Secure, Avira). Ich würde mit den beiden erstgenannten CD's checken; F-Secure hat eine sehr gute Rootkit-Erkennung.
Alternativ die Festplatte an einen garantiert virenfreien Gast-PC anschließen und mit dessem guten AV-Programm checken.
Noch besser, aber aufwändiger: beide Check-Varianten durchführen.

Diesen "Außenscan" würde ich in der nächsten Zeit wöchentlich ein- bis zweimal wiederholen und das System natürlich auch manuell so überprüfen, wie du dies bisher getan hast.

Das alles erscheint auf den ersten Blick recht aufwändig, ist es aber nicht. Wenn erst einmal etwas Routine damit hat, läuft es fast nebenbei.

Wer mit so etwas aber nicht klarkommt oder wer den PC intensiv für sicherheitsrelevante Anwendungen (z.B. Homebanking) nutzen will, dem kann nur eine Neuinstallation empfohlen werden.

Olli's Hinweis, sämtliche Passwortänderungen u.ä. jetzt nur mittels Boot-CD (Knoppix) durchzuführen und keinerlei Passworte, TAN's usw. auf dem PC zu speichern, kann ich nur dick unterstreichen.

Abwägen und entscheiden musst du aber selbst; evtl. auch prüfen, ob dein Rechner optimal abgesichert ist.

Gruß

 
Hallo Ulli,

Gerade habe ich ein Image vom 10. März 2009 zurückgeschrieben. Und dies scheint auf den ersten Blick sauber zu sein, zumindest was die offen erkennbaren Punkte betrifft: Die Firewall bleibt stabil eingeschaltet, und die DNS-Server-Einstellungen werden automatisch bezogen. Mehr habe ich noch nicht geprüft.

Wenn das System immer noch infiziert sein sollte, müssen sie davon
ausgehen, dass ein auf diesem kompromittierten System laufender
Virenscanner trotzdem nichts finden kann. Indem Sie den Rechner mit
Knoppix von CD-ROM starten, sieht das natürlich anders aus, weil der
Schädling dann nicht laufen kann. Erfolgte der Download von Knoppix und
das Brennen allerdings vom infizierten PC aus, wäre wiederum eine
Manipulation möglich. (Wir haben von einer solchen Funktion einer
Schadsoftware zwar noch nichts gehört und halten sie auch für eher
unwahrscheinlich, aber man weiß ja nie.)
Allerdings muss der unter Knoppix laufende Virenscanner natürlich vor
dem Scan hinsichtlich der Signaturen auf den neuesten Stand gebracht
werden. Haben Sie dies getan?

Mir ist klar, daß jede Überprüfung nicht erschöpfend sein kann und daß es Schädlinge geben kann, die sich nahezu perfekt tarnen. Aber es spricht doch einiges dafür, daß ein System sauber ist, wenn man nicht das Gegenteil feststellen kann. Ich werde kritisch weiter untersuchen, aber spare mir zunächst die Neuinstallation. Sonst wäre ich nicht so schnell wieder online.

Letztlich ist dies Ihre Entscheidung.

Über den Infektionsweg kann ich naturgemäß nichts Genaues sagen. Ob über eine Website oder über einen E-Mail-Anhang, wer will das wissen?

Per E-Mail-Attachment ist heute eher unwahrscheinlich, da Microsoft die
Lücken, die zur automatischen Ausführung von in Mails enthaltenen,
schädlichen Code führten, in seinen Mail-Clients Outlook Express,
Outlook und Windows Mail unseres Wissens schon vor längerem geschlossen
hat. Das erste Einfallstor dürfte heute die Webbrowser sein, daher ist
es auch von Bedeutung, eine Schutzsoftware mit Webfilter zu verwenden,
da solche Angriffe von OnAccess-Scannern nicht entdeckt werden können.
Noch wichtiger als der Webfilter sind aber regelmäßige Updates des
Betriebsystems, der Browser und aller Plugins. Adobe Flash und der Adobe
PDF-Reader (*) haben hier erst jüngst wieder Löcher aufgerissen, Suns
Java gehört auch dazu, hat zuletzt aber keine negativen Schlagzeilen
mehr gemacht.
(*) Beachten Sie hierzu http://www.heise.de/security/news/meldung/137309
    Das Problem besteht nämlich immer noch.

Vielleicht weiß einer von Euch eine Antwort auf ein Problem, das ich nicht auf Malware zurückführe: Oft kann ich das System nach dem Bootvorgang nicht benutzen, weil sich kein Programm (bis auf wenige, z. B. Pegasus) öffnen läßt. Auch der Startknopf läßt sich nicht drücken, so daß nur ein Neustart mit dem Hardwareschalter hilft.

Auch wir würden hier als erstes an "Hardwarefehler" denken, aber das ist
nicht zwingend so. Vielleicht wird dieses Problem ebenfalls durch eine
komplette Neuinstallation beseitigt. (Na? Jetzt motiviert?
Mit freundlichen Grüßen
Ihr T-Home-Team
--- --- --- --- --- --- --- --- --- --- --- --- --- --- ---
http://forum.t-online.de/ -> Service-Foren
--- --- --- --- --- --- --- --- --- --- --- --- --- --- ---

 
Hallo Ulli,

Ach ja, Olli, was heißt "YMMV"? Ich habe ergoogelt: Possible Meanings Rank Your Mileage Might Vary **** Paßt alles nicht.

Doch, "Your Mileage Might Vary" dürfte es sein. Zu Übersetzen ist
es jedoch mit "Dein Ergebnis (Dein Meinung) mag anders sein" oder noch
simpler mit "Das ist nicht allgemeingültig". Wo es herkommt, kann man
unter http://en.wiktionary.org/wiki/your_mileage_may_vary nachlesen.
Mit freundlichen Grüßen
Ihr T-Home-Team
--- --- --- --- --- --- --- --- --- --- --- --- --- --- ---
http://forum.t-online.de/ -> Service-Foren
--- --- --- --- --- --- --- --- --- --- --- --- --- --- ---

Hallo zusammen,

im Moment bewegen wir Helfenden uns doch etwas im Nebel, denn wir wissen weder, ob Ulli das zurückgeschriebene Image (aus meiner Sicht doch etwas zu jung) überhaupt schon mittels Virenscanner überprüft hat, noch ob er hierbei von außen oder vielleicht doch fälschlicherweise mit dem installierten gescannt hat.
Über seine Sicherheitskonfiguration wissen wir überhaupt nichts.

Aber Hilfe und Tipps haben wir sicher ausreichend gegeben, und eine Neuinstallation wegen der unbekannten hard- oder softwarebedingten Störungen wäre sicher nicht das Schlechteste.
Es muss ja nicht eine Komplettinstallation mit alle Progs sein, denn wenn der Rechner schon nach Installation des BS zickt, kann er sich den Rest schenken, es sei denn, er hat sich grundsätzlich für die Neuinstallation aus Sicherheitsgründen entschieden.

Gruß