Moin,

ich setze privat nur noch Macs ein, habe aber noch den ein oder anderen Kumpel die auf Windows arbeiten.
Einer der Kumpel hat von seiner Bank die Info bekommen, dass seine Onlinebankingdaten gestohlen wurden.

Daraufhin hat er mich angerufen und ich hab mir den Rechner mal angesehen.

Es ist ein P4 3Ghz von Dell mit Windows XP, anscheinend allen Updaten (Onlineupdates sind aktiviert).
Er hat DSL mit Telekom-Router und es läuft Free-AV von Avira.

Ich hab mir die Logs angesehen und es wurden 12 Viren und 1 gefährlicher Backdoor-Trojaner gefunden.
Ich hab also nochmal scannen lassen und wieder wurden in windows/system32/... die obigen Sachen
gefunden. Ich hab also nochmal durchlaufen lassen und es blieb nur einer übrig (vermutlich der Backdoor).

So was nun ?

Da alle unser mit Admin-account unterwegs waren, hab ich mal nen einfachen User erstellt und versucht die
Kiste dahingehen zu starten. Ergebnis=> Bleibt nach Anmeldung in Endlosschleife.

Gut hier steht viel drin, aber vielleicht gibt noch einen Tipp von anderen leidgeprüften Windowsusern ?
http://www.forum-3dcenter.org/vbulletin/showthread.php?t=96906

Ich möchte, wenn möglich der Neuformatierung aus dem Weg gehen, da das mich sehr viel Zeit kostet
und von meinem Kumpel nicht vorgenommen werden kann.

Bitte keine Vorschläge auf Linux oder ein anderes OS zu wechslen.

Bitte helft mir mal.

Danke Euch
Doc

http://virus-protect.org/artikel/tools/combofix.html

Nebenbei gefragt:
Wie kommt die Bank zur Annahme, dass die Daten gestohlen wurden?

Ich möchte, wenn möglich der Neuformatierung aus dem Weg gehen, da das mich sehr viel Zeit kostet
und von meinem Kumpel nicht vorgenommen werden kann.

Und wir möchten dem Rechner aus dem Weg gehen so lange er irgendwelches infiziertes Zeug verbreitet. Entweder Formatieren, oder vom Internet trennen.
Und erzähl nix von wegen "is ja jetzt sauber" oder "aber der verteilt ja gar nichts". Bullshit. Entweder du kannst jede einzelne Datei des Betriebssystems und jede Einstellung per Prüfsumme mit einem sauberen System abgleichen (kleiner Tip: nein, kannst du nicht), oder du machst die Kiste halt platt.
Wenn dein Kollege das nicht kann, und du es nicht willst, dann muss er halt jemand anderen Suchen. Gibt sogar Leute die machen das für Geld.
Verhunzen kann er die Kiste, aber fürs saubermachen ist keine Zeit weil das ja so aufwändig ist... Das ist einer der Hauptgründe warum so viele verseuchte Kisten im Netz unterwegs sind. Was interessiert mich der Rest der Welt, ich hab keine Fehlermeldungen, also ist alles gut.

Ich sitze nicht an diesem Rechner und habe auch nicht daran gearbeitet als ich hier aktiv war und den thread gepostet habe! mich kotzt dieses windowsdreckssaumistzeugs auch total an und ich habe weder zeit noch muse diese kackkiste in gang zu kriegen.

mir ist völlig unklar, woher das mistzeugs gekommen ist und ich vermute ein geöffneter emailanhang oder icq- oder sonstwas.

zum thema bank:
die rechenzentren unterhalten selbst hacker und die hacken wiederum einschlägige server der phisher, sobald dort "bekannte" daten durchgehen gibt es ne sec-meldung und die bank wird darüber informiert, dass die zugangsdaten abgefischt wurden. die bank sperrt und bestellt neue daten.

Doc

du bist ja voll der profi.... was banken alles machen.. tztztz

Ich hab mir die Logs angesehen und es wurden 12 Viren und 1 gefährlicher Backdoor-Trojaner gefunden.
Ich hab also nochmal scannen lassen und wieder wurden in windows/system32/... die obigen Sachen
gefunden. Ich hab also nochmal durchlaufen lassen und es blieb nur einer übrig (vermutlich der Backdoor).

So was nun ?mmm...

1.) Herausfinden, welche Viren/ Trojaner es waren und wie sie sich verbreiten.
2.) Das System neu aufsetzen, auch wenn es 4 Stunden arbeit bedeutet.
3.) Benutzt er Firefox und Co. oder Internet Explorer und Outlook Express?

1.) ich muss eh die tage nochmal hin
2.) darauf hab ich ja echt keinen bock zumal das system die treiber nicht automatisch aus dem netz zieht und die treibercd's für veraschiedene maschinegenerationen waren (try and error halt)
3.) internet explorer und outlook express

mmm...

2.) Da kann ich nur den Tip geben, unbedingt die Treiber, die funktionieren, in einen eigenen Ordner zu packen und diesen auf CD zu brennen ;).
3.) Unbedingt durch Firefox (mit NoScript und Adblock als Addons) und Thunderbird ersetzen. Ich denke, er wird sich das meiste über den Internet Explorer gezogen haben. Aufgrund der Zero Days Exploits (http://de.wikipedia.org/wiki/Exploit#Zero-Day-Exploit), die es eher für IE als für Firefox/ Opera/ Safari/ sonstige Browser gibt, würde ich aufjedenfall einen Wechsel vorschlagen.

Wenn du keinen Bock hast ist das ja auch kein Problem, muss es halt jemand anderes machen. Wie schon erwähnt, andere Leute können das auch.
Aber erwarte bitte kein Verständnis von uns wenn du die Kiste halb zurechtwurschtelst und dann einfach wieder ans Netz nimmst. Das ist wie auf der Autobahn kurz anhalten, nen Eimer Sand auf den brennenden Motor kippen, und dann weiterfahren.

Wenn du keinen Bock hast ist das ja auch kein Problem, muss es halt jemand anderes machen. Wie schon erwähnt, andere Leute können das auch.
Aber erwarte bitte kein Verständnis von uns wenn du die Kiste halb zurechtwurschtelst und dann einfach wieder ans Netz nimmst. Das ist wie auf der Autobahn kurz anhalten, nen Eimer Sand auf den brennenden Motor kippen, und dann weiterfahren.

jaja, ist ja kein vorwurf an den nutzer, der kann nix dafür.
ich weis schon warum ich nur mac's einsetze ;)

@lokadamus
danke für die tipps

doc

jaja, ist ja kein vorwurf an den nutzer, der kann nix dafür.
ich weis schon warum ich nur mac's einsetze ;)

@lokadamus
danke für die tipps

doc

Dies hat nichts mit Windows zu tun, sondern rein mit dem Nutzverhalten deines Freundes. Windows ist nun mal die verbreiteste Platform --> mehr Schädlinge für dieses System.

Warum erkennt Free-AV die Schädling und trotzdem arbeiten die munter auf der Maschine,
wozu brauche ich den dann, ist doch für die füsse

Warum erkennt Free-AV die Schädling und trotzdem arbeiten die munter auf der Maschine,
wozu brauche ich den dann, ist doch für die füsse
In der aktuellen c't gibt's eine NOD32-Lizenz für umme.

In der aktuellen c't gibt's eine NOD32-Lizenz für umme.

soll ich einen unfähigen gegen den nächsten austauschen ?

Bei einem System was schon so angefressen ist hilft nur neu aufsetzen, alles andere ist Augenwischerei. Btw die info von der Bank das die Kontodaten gestohlen wurden kam nicht zufällig per email, oder? Das wäre nämlich ein waschechter :facepalm: (zusätzlich zu dem den dein Kollege für seine Ungeziefersamlung schon verdient hat).
Die Treiber sollte es bei dell online geben, war zumindest so als ich mein uralt-NB von denen mal neu aufgesetzt hab.

1. Bei einem System was schon so angefressen ist hilft nur neu aufsetzen, alles andere ist Augenwischerei.

2. Btw die info von der Bank das die Kontodaten gestohlen wurden kam nicht zufällig per email, oder? Das wäre nämlich ein waschechter :facepalm: (zusätzlich zu dem den dein Kollege für seine Ungeziefersamlung schon verdient hat).

3. Die Treiber sollte es bei dell online geben, war zumindest so als ich mein uralt-NB von denen mal neu aufgesetzt hab.

1. ich hab es geahnt
2. hat nichts mit seinem rechner zu tun
3. ja, aber automatisch geht das nix und wenn die innerhalb der modelle die board getauscht haben geht es schon los (nic, sound etc.)

Doc