helidoc

Ein Bekannter hatte/hat bei seinem Windows-Rechner wohl ein Problem mit einem Trojaner. Er hat das System daher mit "Spybot Search&Destroy" Version 1.6.2. "bearbeitet". Beim ersten Durchlauf erhielt er einige Fehler (siehe Anhang), beim 2. Durchlauf kam nur Meldung "Es wurden keine Spione gefunden".

Wie sicher ist diese Meldung? Sollte er sein System zusätzlich durch ein anderes Programm überprüfen, wenn ja, durch welches?

OS ist glaube ich Windows XP, ganz sicher bin ich mir aber nicht. Wenn es relevant ist, kann ich nachfragen.

Angehängte Grafiken

search_and_destroy_screenshot.jpg (49,0 KB, 19x aufgerufen)

Leonixx

Hi,

ja, System prüfen mit Malwarebytes. Wie gewohnt unter Tutorials in meiner Signatur. Poste das Logfile. Wenn Malwarebytes beim starten blockiert wird, dann im Programmordner Malwarebytes die mbam.exe umbenennen in mbam.com

helidoc

hier ist es...

Angehängte Dateien

mbam-log-2010-12-30.txt (1,8 KB, 4x aufgerufen)

Leonixx

Ok, nochmals Online Scan mit Eset durchführen.

Kostenlose Online Scanner

Anleitung bitte genau abarbeiten.

Anschließend soll er noch RSIT anwenden und dir beide Logfiles zusenden.

helidoc

...es hat leider etwas länger gedauert. Ich wollte es zuerst per Telefon dirigieren, aber wir wurden uns über den Takt nicht einig.

Hier das Ergebinss von Eset (als Dateianhang hätte sich das nicht gelohnt):
Infected files: 2
...und als Dateianhang das Ergebinss von RSIT.

Angehängte Dateien

rsitlog.txt (25,0 KB, 6x aufgerufen)

Leonixx

Diese beiden Einträge unbedingt fixen. Das eine sieht mir wie ein Umleitung aus.

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ????????? ????????
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:5577

Die Datei mal bei Virustotal checken lassen.

C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\ngslqiggi\vbbgqtptssd.exe

helidoc

Der Proxyeintrag war auch im Internet-Explorer in den Optionen als Internetverbindung aktiviert. Ich habe diesen Proxy im Internetexplorer dann ausgeschaltet, sonst hätte man mit dem ie keinen Zugriff aufs Internet gehabt. Das kam mir auch schon verdächtig vor.

Er ist nun schon wieder zuhause und wollte die Datei scannen lassen - findet die Datei "C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\ngslqiggi\vbbgqtptss d.exe" aber nicht. Ändert sich möglicherweise der Dateiname?

Das war ihm wohl dann alles zuviel und er wollte zunächst morgen einen Kollegen bitten, Windows neu zu installieren. Ich hab ihm als Notfalloption eine Slitaz LinuxLiveCD mitgegeben damit er seuchenfrei ins Internet kann - und er hat sich gerade nochmal bei mir gemeldet - ich werde morgen sein Notebook holen und ihm wohl ein Linux installieren. dann hat sich das ganze auf längere Sicht erledigt

Ich werde dann nochmal schauen, ob ich diese Datei finde, evtl. den Scan wiederholen, und wenn alles sauber ist, Windows als 2.System drauf lassen - mal sehen.

Vielen Dank für deine Mühe.

Leonixx

Die Frage ist ob er die Versteckten Ordner und Dateien eigeblendet hat bzw. geschützte Systemdateien eingeblendet hatte. Meistens sind diese Info versteckt.

Jopp, einen Neuinstallation ist auf jeden Fall besser, wenn er vermutlich schon umgeleitet wird. Einträge zu fixen löst nicht das Problem, sondern deaktiviert einen Registry Schlüssel.

Kein Problem. Wenn er Linux nutzt und in Verbindung mit Windows, wird er auf längere Sicht gut fahren.

Ich bin jetzt vollständig auf Win7 umgestiegen um muss sagen, habe es noch nicht bereut. Gib ihm den Tipp in Zukunft mit Sandboxie zu surfen.

helidoc

...ich vermute es läuft auf Linux-only hinaus, alleine schon, weil ich zu Windows auch inzwischen nicht wirklich Hilfestellung leisten kann. Er nutzt das Ding "nur" fürs Internet, und da merkt man, wenn das System eingerichtet ist, keinen Unterschied.

Leonixx

Für Internet und Office reicht Linux völlig aus.