[genkidama]

Hey Leute!

Ich habe leider ein Problem mit meinem Hauptrechner (sitze grad am Laptop). Ich habe einmal einen Viren Scan mit Free Avira machen lassen und dabei mehrere versteckte Objekte gefunden, als auch durch einen Anti-Malware-Bytes Scan auch ircBots und sowas gefunden (ja ich hatte mich infiziert mit einem Virus/Wurm).
Jedenfalls scheint es, nachdem ich durch Live-CDs von Kaspersky und Avira (hier bin ich grad noch beim Scannen) erfolgreich mehrere verdächtige Objekte gelöscht habe, tauchen immer wieder versteckte Objekte auf. Und irgendwie scheint es so zu sein, dass die versteckten Objekte von Scan zu Scan immer mehr werden. Avira meint, dass sie durch den Scan (nicht von der Live-CD, sondern im Betriebssystem selber) nicht identifizieren können, ob da was Verdächtiges ist oder nicht.
Bei dem Report, den ich mir mal durchgelesen habe, wurde auch gesagt, dass die Veränderung der Dateien, die nicht einzulesen waren oder zu identifizieren waren, auf einen versteckten Zugriff hindeuten könnten. Jetzt weiß ich nicht ob es was Schlimmes ist oder einfach nur Panik-Mache auf meiner Seite?
Was ich noch sagen wollte ist, dass Avira in der Registry auch viele "versteckte Objekte" gefunden hat oder auch Einträge. Als ich den Report durchguckte schien das alles in Ordnung zu sein, da kam vieles, was ich nicht einschätzen konnte, aber da gab es auch Einträge vom ATI's CCC oder ctfmon oder sowas.

Wie gesagt ich bin jetzt grade noch dran mit der Avira Rescue CD per CD-Boot zu scannen, da Avira das beim Scannen im Windows sagte, dass dann die versteckten Objekte identifiziert werden können bzw. ob sie gefährlich sind oder nicht.


Wegen dem versteckte Objekte Count, vorher hatte ich nur 3, dann hatte ich mal ein paar Sachen gelöscht, hatte auch probiert ein paar dll Dateien zu löschen, was aber komischerweise nicht ging weil ich keine Rechte hatte, obwohl ich die hatte (hatte in den Eigenschaften der dll's nachgesehen und gesehen dass ich alles machen darf). Jedenfalls danach kamen dann 52 versteckte Objekte hervor.

Könnt ihr mir bitte helfen bzw. mich beruhigen?

Ich benutze Windows7 64Bit.

[genkidama]

Ich habe eine Image-Datei (Windows-Partition Abbild) erstellt gehabt, die Frage ist jetzt nur, kann ich mir sicher sein, dass diese Malware nicht meine anderen Partitionen angegriffen hat? Weil leider habe ich diese Image-Datei nicht auf einer externen Festplatte, sondern auf einer der Partitionen (nicht auf der Windows-Partition). Es scheint mir ja eher so zu sein, dass alles was auftaucht nur auf der C Partition ist, also da wo mein Windows drauf ist.
Kann man denn nicht etwas machen? Ich hatte ja eigentlich da wo ich erst 3 versteckte Objekte hatte nichts verändert, ich hatte nur meine System Volume Information gelöscht, da ich dachte, dass wenn dann nistet sich die Malware dort ein und wenn was passiert, dann infiziert er von dort aus von Neuem. Und dann kamen erst Meldungen von 52 infizierten Objekten.

Also wenn ich bedenkenlos die Image-Datei benutzen kann oder ich irgendwie testen kann ob die Image-Datei beschädigt/verändert ist, dann mach ich einfach das Abbild drüber und gut ist. Aber man kann sich wohl nicht sicher sein, dass auf den anderen Partitionen (hab 2 Festplatten und 3 Partitionen) nichts von der Malware drauf ist oder funktioniert einfach Malware nur so, dass es die C Partition, wo Windows drauf ist, anfällt?


Edit: Nach dem ich jetzt den Avira Rescue CD Scan gemacht habe und die Meldungen durchgegangen bin, hat er mir nichts von verdächtigen Dateien gemeldet und auch nur harmlose Warnungen gemeldet (multiple Archive oder sowas, was einfach nur durch mehrfache Archivierung entstanden ist). Jedenfalls bin ich mir sicher bei den Warnungen, dass das nichts Schlimmes ist.

Deswegen die Frage, vll spinnt Avira im Scan während ich im Windows bin etwas und da ist eigentlich nichts?

Dieser Beitrag wurde von genkidama bearbeitet: 23. Oktober 2011 - 15:52

[Holger_N]

Ist es denn überhaupt Malware/Viren/Würmerzeugz oder handelt es sich lediglich um Warnungen, weil der Scanner "versteckte Objekte" gefunden hat, die er vieleicht aus irgendwelchen Einstellungsgründen nicht lesen kann. Es gibt ja auch versteckte Dateien, die zum System gehören.

[genkidama]

Ich hatte jetzt grad eben nochmal ein Scan im Windows gemacht und er sagte mir er hat jetzt 30 (vorher 52, nur jetzt hab ich rein gar nichts verändert/gelöscht) versteckte Objekte gefunden, ich hab auch jedes mal Avira als Administrator ausgeführt.

Also ich bin mir ganz sicher dass ich ein Malware oder sowas mir eingefangen hatte, da über Facebook zur Zeit son Link geschickt wird (irgendein Foto wo dann die Endung JPG.scr ist) und dann wurde da drauf geklickt von meiner Freundin und später stellte sich heraus ich hatte einen Trojaner ATRAPS.Gen2 und den hab ich auch gelöscht. Backdoor IRCBots wurden entdeckt, ebenfalls gelöscht. Ich habe mehrmls nen Avira Scan gemacht, dann Malwarebytes Anti-Malware und auch im abgesichterten Modus, als auch per Live-CD nach Dateien gesucht und versucht zu löschen und sowas.
Deswegen fragte ich mich was das jetzt mit diesen versteckten Dateien soll, ob ich mir da Sorgen machen sollte oder nicht. Denn jedes Mal wenn ich jetzt nach versteckten Objekten in den Partitionen und in der Registry suche, findet er in der Registry halt immer irgendwelche Einträge und sagt dass diese Speicherveränderungen benutzt werden können um Zugriff zu nehmen auf meinen Rechner. Und wenn ich dieses Malwarebytes Anti-Malware durchlaufen lasse, dann findet er jetzt gar nichts mehr, keine Backdoor oder sonst was.

[Holger_N]

Zitat (Volume Z: 23. Oktober 2011 - 16:35)

Hallo Holger, genkidama:

Im Avira-Vokabular ist "Versteckte Datei" gleichzusetzen mit Rootkit. Die Rootkit-Suche muß in der Konfiguration gesondert aktiviert werden und geht der Virensuche voraus. Funde in dieser Kategorie, auch noch in variierender Anzahl, würde ich als hochgradig alarmierend betrachten.

Gruß, VZ

Naja die ganze Wörter sagen mir jetzt soviel nicht aber ich erinnere mich noch an früher, wo eine dicke Warnung kam, wegen irgendwelcher Dateien, die Antivir nicht lesen konnte und dann waren das nur irgendwelche Archive harmloser Dateien, die ich selber gepackt hatte.

[genkidama]

Also ich hatte die Rootkit Suche ebenfalls an, habs grad auch seperat gemacht und alle Partitionen wurden mit einbegriffen während der Rootkit Suche, allerdings nur 3 Sachen gefunden und dass ein versteckter Treiber da ist, der aber versteckt ist (wie die anderen zwei Sachen) und dass da eben Zugriff genommen werden kann wegen einer Speicherveränderung. Dann siehts wohl so aus, dass ich einfach alles löschen muss und eine komplette Neuinstallation durchführen muss oder?

[Holger_N]

Zitat (Volume Z: 23. Oktober 2011 - 16:55)

Hallo Holger,

Warnung =/= Fund...

Jo davon rede ich ja.

[genkidama]

Hmm ich weiß nicht ob ich das probieren soll. Denn wie gesagt ich habe drei Partitionen und auf der dritten liegt diese Abbild-Image Datei und wenn die Malware sich auf alle Partitionen verbreitet (obwohl mir Antivir grad meistens nur irgendwelche Registry Einträge zeigt und sagt dass irgendwo ein versteckter Treiber ist), könnte das drauf spielen ja dann vll was bringen, aber dann infiziert die Malware einfach wieder mein System. Daher dachte ich auch dass ich alles komplett formatiere (ich meinte mit löschen formatieren) und halt ein neues Abbild auf einer externen Platte mache, so leid es auch einem tut.
Ich wollte nur versuchen zu retten was geht, vor allem weil ich alles wieder neu holen muss, auch was Unterlagen angeht und sowas (hab zwar ne Sicherungskopie, aber trotzdem).
Es ist schade, dass man nicht überprüfen kann ob sich etwas in die anderen Partitionen eingenistet hat oder nicht =/


Frage: Mir ist grad durch den Kopf gegangen, was passieren würde, wenn ich per Acronis Boot-CD mein Abbild draufspielen lasse und nicht ins Windows wechsle, sondern dann noch die anderen Partitionen formatiere. Das müsste doch auch reichen oder? Weil die Registry wird ja durch das draufspielen des Abbildes eh gelöscht bzw. ich kann auch die Windows Partition formatieren und dann per Acronis Boot-CD mein Abbild draufspielen. Würde das so funktionieren, dass ich dann die Neuinstallation nicht machen muss, aber dennoch alle Partitionen formatiert habe, nur dass ich eine Partition erst nach dem Draufspielen formatiere?
Ich hoffe ich habs verständlich aufgeschrieben.