Das könnte Sie auch interessieren
Kaufberatung anfragen
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Angebote anzeigen
Aktuelle Telekom Angebote für Mobilfunk (5G/LTE), Festnetz und Internet, TV & mehr.
vor 16 Jahren
Hallo 18arge12,
"18arge12" (Nickname) schrieb:
> auf meinem Rechner wurde der Schädling Trojan-downloader-popwin
> gefunden, welchen ich mitlerweile isolieren konnte.
Weiterführende Informationen zu diesem Trojaner finden Sie u.a. unter
<>.
Mit freundlichen Grüßen
Ihr T-Home-Team
--- --- --- --- --- --- --- --- --- --- --- ---
http://forum.t-online.de/ -> Service-Foren
--- --- --- --- --- --- --- --- --- --- --- ---
0
vor 16 Jahren
--------------------------------------------------------------------------------
> Hat jemand Erfahrung mit dem genannten Schädling.>
> Möchte ihn nach möglichkeit vollständig entfernen.
Hallo,
du schreibst leider nicht, bei welcher Gelegenheit der Schädling entdeckt worden ist.
Wenn er sich z.B. noch nicht installiert hat, sondern bisher nur als Anhang einer Mail vor sich hin schlummerte, löschen und erledigt.
Wenn er dagegen bereits installiert war, weißt du letzten Endes nicht, was er alles nachgeladen und nachinstalliert hat. Das sagt dir u.U. auch nicht dein Virenscanner, da die Biester teilweise Tarnmöglichkeiten haben.
Da hilft dann nur - wenn du auf der sicheren Seite sein willst - eine Neuinstallation.
Zuerst aber würde ich die Platte mal von "außen" scannen, also mittels Boot-CD + Virenscanner darauf. Dann haben die evtl. vorhandenen Tarnmechanismen keine Chance.
Gruß
0
vor 16 Jahren
Gefunden wurde der Schädling durch Webroot Spysweeper bei der tgl
Durchsicht.
Lt Spysweeper ist der Schädlinh derzeit Isoliert ab noch nicht gelöschst.
Vielleicht sagt dir das beigefügte Protokoll mehr.
Vielen Dank für die Unterstützung
FfG
18ARGE12
27.02.2009 06:34:01: Löschvorgang abgeschlossen. Abgelaufene Zeit 00:03:48
27.02.2009 06:34:01: Der Neustart des Computers wird vorbereitet. Bitte warten ...
27.02.2009 06:30:28: Alle Spuren werden isoliert: trojan-downloader-popwin
27.02.2009 06:30:12: Löschvorgang eingeleitet
27.02.2009 06:28:47: Gefundene Spuren: 8
27.02.2009 06:28:47: Benutzerdefinierte Suche wurde abgeschlossen. Abgelaufene Zeit 00:08:57
27.02.2009 06:28:47: Suchvorgang in Dateien abgeschlossen, Dauer:
00:07:39
27.02.2009 06:26:24: C:\WINDOWS\system32\ctfmon.exe (ID = 2940257)
27.02.2009 06:21:25: C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe (ID = 2940257)
27.02.2009 06:21:08: Suchvorgang in Dateien wird gestartet
27.02.2009 06:21:06: Suchvorgang in Cookies abgeschlossen, Dauer: 00:00:00
27.02.2009 06:21:06: Suchvorgang in Cookies wird gestartet
27.02.2009 06:21:04: Suchvorgang in Registrierung abgeschlossen, Dauer:00:00:08
27.02.2009 06:20:56: Suchvorgang in Registrierung wird gestartet
27.02.2009 06:20:56: Suchvorgang im Arbeitspeicher abgeschlossen, Dauer: 00:01:02
27.02.2009 06:20:07: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run || CTFMON.EXE (ID = 0)
27.02.2009 06:20:07: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run || CTFMON.EXE (ID = 0)
27.02.2009 06:20:07: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run || CTFMON.EXE (ID = 0)
27.02.2009 06:20:07: HKU\S-1-5-21-515967899-1801674531-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run || CTFMON.EXE (ID = 0)
27.02.2009 06:20:07: HKU\WRSS_Profile_S-1-5-21-515967899-1801674531-682003330-1006\Software\Microsoft\Windows\CurrentVersion\Run || CTFMON.EXE (ID = 0)
27.02.2009 06:20:06: Gefundene Bedrohung, die ausgeführt wird: C:\WINDOWS\system32\ctfmon.exe (ID = 2940257)
27.02.2009 06:20:06: Gefunden Trojan Horse: trojan-downloader-popwin
27.02.2009 06:19:54: Suchvorgang im Arbeitspeicher wird gestartet
27.02.2009 06:19:50: Benutzerdefinierte Suche starten
27.02.2009 06:19:50: Suchvorgang unter Verwendung der Definitionsversion eingeleitet. 1388
27.02.2009 06:19:36: ApplicationMinimized - EXIT
27.02.2009 06:19:36: ApplicationMinimized - ENTER
27.02.2009 06:16:49: Informationstyp: ShieldEmail: Start monitoring port 25 for mail activities
27.02.2009 06:16:49: Informationstyp: ShieldEmail: Start monitoring port 110 for mail activities
27.02.2009 06:16:47: Informationstyp: Loaded AntiVirus Engine: 2.83.3; SDK Version: 4.38E; Virus Definitions: 02/26/2009 18:36:10 (GMT)
27.02.2009 06:16:29: Lizenzprüfstatus (0): Erfolgreich
27.02.2009 06:16:13: Webroot Software 6.1.0.100 gestartet
27.02.2009 06:16:13: | Beginn der Sitzung, Freitag, 27. Februar 2009 |
***************
0
vor 16 Jahren
gem. der Logdatei ist dein Trojaner leider bereits installiert, und bei einem installierten Trojaner weiß man nie exakt, was der alles aus dem Internet nachgeladen hat; und dieser Trojaner lädt normalerweise weitere Schädlinge nach.
Wenn Trojaner installiert sind und bei jedem Booten aktiv werden, ist das System leider kompromittiert und nicht mehr vertrauenswürdig.
Dein Spysweeper hat leider zumindest teilweise versagt, denn seine Aufgabe wäre gewesen, die versuchte Installation des Trojaners zu verhindern.
Ich hab mal ein bischen gegoogelt: Spysweeper hat seine Stärken zweifellos bei Spyware, ersetzt aber keinen guten Virenscanner. Deshalb musst du damit rechnen, dass du noch mehr Schädlinge auf dem Rechner hast.
Deshalb bleibt der Rat meines ersten Beitrags:
Von "außen" scannen, d.h. den Rechner nicht mit seinem eigenen, trojanerbefallenen System hochfahren, sondern mittels einer Boot-CD (Live-CD), von Avira oder F-Secure.
Dadurch bleiben die auf deiner Platte befindlichen Schädlinge inaktiv und können somit die Qualität und Funktion des Virenscanners nicht beeinträchtigen, können sich nicht tarnen usw.
Unter
http://www.avira.de/de/support/support_downloads.html
findest du die komplette ISO-Datei für die Rettungs-CD (AntiVir Rescue System). Nehme die obere der beiden angebotenen Dateien (mit dem CD-Symbol).
Nach dem Herunterladen musst du sie unbedingt als "ISO-Datei" brennen, also nicht als normale Daten-CD.
Danach hast du eine bootfähige CD, mit der du deinen Rechner scannen kannst.
Unabhängig vom Ergebnis dieses Scans rate ich dir, den Rechner neu zu installieren, insbesondere, wenn du persönliche Daten drauf hast oder gar Homebanking oder Ebay-Geschäfte damit betreibst.
Aber jetzt wäre erst mal der Scan per Boot-CD notwendig.
Du kannst für den Scan von "außen" natürlich auch den "garantiert virenfreien" PC eines Bekannten verwenden, wenn der einen guten, tagesaktuellen Virenscanner drauf hat. Dann hängst deine Platte bei ihm als Gast dran und überprüfst sie so.
Gruß
0
vor 16 Jahren
ich hab es schon geahnt.
Dann werde ich nach langer Zeit mal den Rechner platt machen.
Womit prüfe ich am Besten meine Datenspeicher (wie USB Stick DVD etc)?
Nur zur Info Webroot nutze ich ohne Vierenscanner da ich NIS 2009 einsätze, aber der hat wohl dann versagt.
Noch einen schönen Abend.
Gruß
18ARGE12
0
vor 16 Jahren
--------------------------------------------------------------------------------
>
> Dann werde ich nach langer Zeit mal den Rechner platt machen.
.... Ich würde vor dem Plattmachen erstmal den "Außenscan" durchführen, zumal du die NIS 2009 einsetzt. Dass der auch versagt haben soll, wundert mich schon etwas.
Ich kann deshalb nicht zu 100 % ausschließen, dass dein Webroot vielleicht doch einen Fehlalarm produziert hat.
> Womit prüfe ich am Besten meine Datenspeicher (wie USB Stick DVD etc)?
Wenn dein PC wieder clean ist, mit dem darauf befindlichen NIS 2009.
> Nur zur Info Webroot nutze ich ohne Vierenscanner da ich NIS 2009 einsätze,
> aber der hat wohl dann versagt.
.... was noch zu beweisen wäre; deshalb "Außenscan".
>
> Noch einen schönen Abend.
.... dir auch.
Gruß
0
vor 16 Jahren
habe mir die ISO Datei (AntiVir Rescue System) heruntergeladen und mit Nero eine bootfähige CD gebrannt.
Nach Neustart mit CD erfolgt folgender Bildschirm:
Starting Caldera DR-DOS
EMM386 3.27 Copyright......
EMM386:Warning:Address line A20 already enabled
Frame=D 000 kb=
Curser blinkt, Eingaben nicht möglich.
Irgendwas übersehen??
Gruß
18ARGE12
0
vor 16 Jahren
--------------------------------------------------------------------------------
> Hallo Spargel66,
>
> habe mir die ISO Datei (AntiVir Rescue System) heruntergeladen und mit Nero eine
> bootfähige CD gebrannt.
.... Das war vermutlich der Fehler ("bootfähige CD");
Ich bin kein Nero-Anwender, und zum Brennen eines ISO-Image verwende ich das kinderleichte Prog. ImgBurner.
Ich füge mal einen Beitrag aus einem anderen Forum ein, der das richtige Brennen eines ISO-Images mit Nero beschreibt:
---Zitat:
"Dein Versuch scheitert offenbar schon im Ansatz, nämlich dem brennen mit Nero. Du darfst keine bootfähige CD brennen sondern gehst wie folgt vor.
Nero starten (aus der Programmgruppe nicht das Nero StartSmart)
Den Dialog zum erstellen einer CD brichst Du ab und gehst in der Menüleiste über REKORDER/IMAGE BRENNEN... und suchst die entsprechende *.iso Datei.
Im Brenndialog machst Du nun noch einen Haken bei CD ABSCHLIEßEN (kein weiteres brennen möglich) und stellst die Schreibmethode von TRACK-AT-ONCE auf DISC-AT-ONCE. Letzteres ist nicht unbedingt nötig, TAO statt DAO geht auch.
Somit erhältst Du aus der ISO Datei eine entsprechende bootfähige CD/DVD."
--- Zitatende
Das Ganze ist auch logisch, denn ein ISO-Image beinhaltet ja schon eine "bootfähige CD/DVD", deshalb darf man nicht zusätzlich "bootfähig" mit einem Brennprogramm auswählen.
Gruß
0
vor 16 Jahren
konnte nun Scan starten.
Keine Verdächtigen Dateien
Keine Funde
Keine Warnung
als letze Meldung wird angezeigt:
Checking the master boot record of drive 128
error(25) cannot read record
checking the master boot record of drive 129
error (2) cannot read record
auto excluding/sys/from scans (is a special fs)
auto excluding/proc/ from scans (is a special fs)
checking drive/path (list):mnt/
Für dich nützlich ?
Gruß
18ARGE12
0
vor 16 Jahren
ich habe den Verdacht, dass der Scan nur teilweise bzw. überhaupt nicht richtig durchgelaufen ist, zumindest bei den Laufwerken 128 u. 129.
Kannst du dir erklären, um was für Laufwerke es sich hierbei handelt? Vielleicht USB-Laufwerke, Sticks?
Falls es deine Festplatten wären, stellt sich natürlich die Frage, warum Avira hier den Masterbootrecord nicht lesen, dein Windows aber trotzdem normal hochfahren kann.
Früher gab es Viren, die den MBR verbogen haben; das war aber kurz nach dem Krieg. So etwas fing man sich insbesondere durch infizierte Disketten. Der berüchtigste dieser Art war der Parity Boot B Virus, der sich im MBR der Festplatte und in den Bootsektoren von Disketten einnistete.
Aber vielleicht sind diese beiden Laufwerke ja andere als Festplatten, das gilt es jetzt festzustellen.
Wie lange lief denn der Scan mit Avira (Minuten? Stunden?).
Gruß
0
Uneingeloggter Nutzer
Frage
von