ich wähle eigentlich immer "löschen" aus, und die Sache hat sich gegessen. Weiß allerdings nicht, ob das das zu empfehlende vorgene ist. Mal auf jemanden warten, der da ahnung hat.

such unter google nach smithfraudfix und damit kannste den Trojaner im abgesicherten Modus starten loschen!

also als mir solche meldungen mit antivir kamen und ich auf löschen gegangen bin, musste ich später formatieren wegen dem virus... ich würde empfehlen das ganze nochal mit einem anderen prog zu überprüfen

Wenn du ne aktuelle BootCD hast (Bspw. Ultimate Bootcd) kannst du unter Dos deinen Rechner checken lassen, da Antivir im Windows Modus nicht so in die Daetn eingreifen kann, wie es unter Dos möglich ist. Sollte also der Fix von Dopamin nicht helfen, würde ich so vorgehen. An sich ist es aber kein Fehler auf Löchen zu gehen, aber meist wird dann schließlich nix gelöscht oder der Virus befällt eine andere Datei...

Zusätzlich kann ich den Trendmicro HomeCall als sehr guten Onlinescanner empfehlen, der weitaus mehr löschen kann als Antivir...

Ich würd alles, was nicht ausführbar ist, irgendwohin sichern und Windows neu installieren. Mit "dldr" kennzeichnet Antivir Programme, die versuchen, aus dem Internet neuen Schadcode runterzuladen und zu installieren.

Den nachinstallierten Code müssen die Virenscanner nicht zwangsläufig kennen, deshalb wär mir persönlich das zu riskant, weiter mit dem System zu arbeiten, auch wenn da irgendein Removal Tool voller Stolz verkündet, dass jetzt alles in Ordnung wär.

Winlogin.exe wird übrigens gerne mal von allen möglichen Trojanern und co als Dateiname genommen, würd mich da also nicht an P2P als Verbreitungsweg festbeißen.

Naja, wenn alle so denken würden wie du, würden Virescanner ja überhaupt keinen Sinn mehr machen.
Sicherlich kann man sich nach dem Formatieren des Rechners sicher sein, dass nix drauf ist, aber sobald man völlig geschützt die Pforten des Internets wieder betritt ist man erneut der Gefahr ausgesetzt, dass man sich wieder etwas einfängt. Und somit mindestens jedes halbe Jahr formatieren? Wenn man sich bei den meisten Virearten ein bisschen damit auseinandersetzt, fällt einem schnell auf, dass manche recht simpel zu beseitigen sind und andere einfach nur durch einen Fehlalarm gemeldet wurden.(Bsp: Zlob).
Wenn man alle Schritte zum Beseitigen durchführt ist ein Formatieren des PCs nur notwendig, wenn Dateisysteme oder zu viele Sysdaten beschädigt sind und auch nicht mehr Repariert werden können:

Vorgehen:

• Google konsultieren, um Info zu erhalten
  
• voller Sysscan
  
• andere Scanplatform nehmen: Onlinescan
  
• nun am besten DOS-Scanner laufen lassen
  
• HiJackThis Log auswerten lassen
  
• AdAware und SpyBotSaD durchjagen
  
• ggf. nochmal nen Fullscan
  
• wenn es immernoch nicht geht(wenn zum Bsp was im WinRestore ist: Syswiederherstellung deaktivieren und die Prozedur wiederholen, dann wieder aktivieren)
  

oder

• Ein Programm wie Acronis True Image oder Drive Image verwenden und alle 1-2 Wochen Windows und Programme backuppen
  
• Bei Befall ein älteres Image zurückspielen
  

Machs so, wie cold[feetz] es beschrieben hat.

Beachte dabei, dass geladenen Prozessen zugrundeliegende Dateien nicht so einfach gelöscht werden können.

Wenn also ein Virus/Wurm sofort wieder auftaucht, obwohl du ihn doch gerade vom Antivirenprog löschen hast lassen, führe den Scan nochmal im abgesicherten Modus durch, wo er höchstwarscheinlich ungeladen auf der Platte liegt.

Ansonste empfehle ich auch, dass Du dich per Google über den Virus informierst und alle relevanten Einträge/Dateien im abgesicherten Modus manuell entfernst.
Das wäre IMO die sauberste Lösung.


In Deinem Fall ist u.A. die hosts Datei (im Ordner c:\windows\system32\drivers\etc) umgeschrieben.
Alleine hier scheitert jedes Antivirenprogramm.
Der einzige Eintrag, der sich darin befinden muss ist:

127.0.0.1 localhost

Benutze dafür Notepad, die Datei hat keine Endung.

Im abgesicherten Modus:
Autostarteinträge entfernen (Registry).
Winlogin.exe löschen.
Virenscan durchführen.


sophos.de/security/analyses/w32agobotix.html

Original von cold[feetz]
Naja, wenn alle so denken würden wie du, würden Virescanner ja überhaupt keinen Sinn mehr machen.

Meiner Meinung nach ist Brain 1.0 immer noch der beste Virenscanner. Aber nimm, welchen Du willst (Ich hab zusätzlich auch noch AVG installiert - warum Virenscanner meiner Meinung nach doch noch ein wenig Sinn machen, kommt gleich)

Original von cold[feetz]
Sicherlich kann man sich nach dem Formatieren des Rechners sicher sein, dass nix drauf ist, aber sobald man völlig geschützt die Pforten des Internets wieder betritt ist man erneut der Gefahr ausgesetzt, dass man sich wieder etwas einfängt. Und somit mindestens jedes halbe Jahr formatieren?

Nein, dafür hab ich ja den AVG: Damit ich einen Hinweis darauf kriege, ob und wann ich mein System neu installieren sollte. Wenn Schadcode gefunden wird, bevor er ausgeführt wird, muss ich auch nicht neu installieren. Bei Odin gibt es aber nun mal eine Datei auf dem Rechner, diewoda winlogin.exe heisst, und auf nem sauberen System nunmal nicht vorhanden ist. Das heißt, eine Infektion hat definitv stattgefunden, und (deinen späteren Tip mal vorwegnehmend) es handelte sich nicht "nur" um einen Virus, der irgendwann mal die Platte gelöscht hätte oder so, sondern um einen Trojaner, der versucht, weiteren Code nachzuladen.

Kurz: Ich setz mein System nicht alle zwei Wochen aus Prinzip neu auf, aber wenn es wie hier definitiv kompromitiert wurde und Gott und die Welt bei mir zu Gast hätten sein können, ist es mir den Abend Neuinstallation durchaus Wert. Wenn ich dann auch noch bei der Neuinstallation schön das Internet auslasse, bis ich alle Serverdienste ausgemacht hab, und dann hinter dem NAT-Moppel alle Betriebssystem-Updates installiert habe, dann ist die Restgefahr aus dem bösen Internet auch durchaus handhabbar.

Original von cold[feetz]
Wenn man sich bei den meisten Virearten ein bisschen damit auseinandersetzt, fällt einem schnell auf, dass manche recht simpel zu beseitigen sind und andere einfach nur durch einen Fehlalarm gemeldet wurden.(Bsp: Zlob).

s.o.: winlogin.exe gibts nicht auf nem normalen Rechner, die Wahrscheinlichkeit für nen Fehlalarm ist also in erster Näherung 0

Original von cold[feetz]
Wenn man alle Schritte zum Beseitigen durchführt ist ein Formatieren des PCs nur notwendig, wenn Dateisysteme oder zu viele Sysdaten beschädigt sind und auch nicht mehr Repariert werden können:

Vorgehen:

• Google konsultieren, um Info zu erhalten
  
• voller Sysscan
  
• andere Scanplatform nehmen: Onlinescan
  
• nun am besten DOS-Scanner laufen lassen
  
• HiJackThis Log auswerten lassen
  
• AdAware und SpyBotSaD durchjagen
  
• ggf. nochmal nen Fullscan
  
• wenn es immernoch nicht geht(wenn zum Bsp was im WinRestore ist: Syswiederherstellung deaktivieren und die Prozedur wiederholen, dann wieder aktivieren)
  

OK, ab hier kann man sich je nach Grad von Paranoia wieder streiten, ums kurz zu machen:
- Wird ein Virus/Wurm/Whatever gefunden, bevor er ausgeführt wird, löschen und gut, schon klar
- Hab ich mir das System so versifft, dass eine Backdoor offen ist, und Gott und die Welt bei mir spielen kann, wird das System neu installiert. Auch 100000 Scans können mich nicht davon überzeugen, dass alles gefunden ist, da nachinstallierte Code nicht notwendigerweise sonstwo grassiert und deshalb nicht unbedingt von Virenscannern gefunden wird (darum gehts im aktuellen Fall)

Einziger Streitfall ist der Befall mit einem "normalen" Virus, der grade im Umlauf ist - theoretisch reichts hier, mit deinen Methoden aufzuräumen, es gibt allerdings auch modifizierte Viren, die zwar als "Urversion" erkannt und beseitigt werden, aber noch weitere Funktionen "Huckepack" tragen. Da wirds aber echt schon paranoid, und man könnte diskutieren. Ist aber im aktuellen Fall nun mal nicht gegeben, hier hat definitv die Infektion mit einem klassischem Trojaner stattgefunden, der den Rechner von aussen fernsteuerbar macht, also auf jeden Fall Neuinstallation.
Wer das Risiko tragen will, mit einem "repariertem" System weiterzumachen ... bitte, in dem Fall behalte ich mir dann vor "Ich habs ja gleich gesagt" zu sagen.

Original von cold[feetz]
oder

• Ein Programm wie Acronis True Image oder Drive Image verwenden und alle 1-2 Wochen Windows und Programme backuppen
  
• Bei Befall ein älteres Image zurückspielen
  

Ist natürlich ein vernünftiger Plan, wenn festgestellt werden kann, ob das wiederhergestellte Image sauber ist. Hab ich auch zu Win95/Win98 Zeiten mal gemacht, aber inzwischen installier ich zu selten neu, und wenn, ist das in einem Abend getan, also wofür den Brassel.

Mit der Meinung, dass nach Infektion des Systems auf jeden Fall Restore vom System aus nem sauberen Backup oder Neuinstallation ansteht, stehe ich auch nicht ganz alleine.
Oliver Schad hat dazu nen besseren Text geschrieben, als mein Getipper heut abend:
oschad.de/wiki/index.php/Kompromittierung
Der gute Mann geht sogar noch weiter. Um nochmal ganz zum Anfang zu kommen: Ich finde Virenscanner nicht vollständig sinnlos, aber lest trotzdem mal:
oschad.de/wiki/index.php/Virenscanner

Kurz zusammengefasst:
Wenn mein Virenscanner nix meldet, kann ich mir nicht hundertprozentig sicher sein, dass kein Virus vorhanden ist.
Meldet mein Virenscanner einen Virus, ist auch nicht hundertprozentig sicher, dass es kein Fehlalarm ist, aber doch sehr wahrscheinlich.
Der Umkehrschluss, dass das Ereignis "Virenscanner meldet keinen Alarm" ein zuverlässiges Indiz für "Keine gefährlichen Programme vorhanden" ist, gilt aber nicht: Wenn ich ein Programm schreibe, dass Dir die Festplatte löscht, ich dir selbiges schicke, und Du führst es aus, wird deine Festplatte nun mal gelöscht, und deinen Virenscanner interessiert es nicht die Bohne.


Weiterführende Links:
dingens.org
ntsvcfg.de/linkblock.html
oschad.de/wiki/index.php

Der Beste Virenscanner ist noch immer "Gehirn einschalten"

Original von BAERserker
Meiner Meinung nach ist Brain 1.0 immer noch der beste Virenscanner.

...

Original von /bin/false
Der Beste Virenscanner ist noch immer "Gehirn einschalten"

Ei jo .... is schon spät
Aber bin ja froh, dass wir da einer Meinung sind

wenn ich das hier so lesen, nehme ich an dass du mit admin rechten unterwegs bist. sonst hätte der sich nicht so locker leicht in windows reinschreiben können, den ein normales benutzerkonto darf dort nix reinschreiben.
windows hat doch eine rechteverwaltung, ich frag mich nur warum die nicht benutzt wird.

weil als root zu arbeiten doch sooo viel angenehmer ist..

ständig sudo oder runas einzusetzen stört doch


btw: wenn ich mit sudo nen screen starte, hab ich dann innerhalb des screens root rechte?

ich habe es mal getest und wenn ich
sudo startx -- :1
mache, bin ich als rootuser unterwegs.

@BAERserker

Die Ausführungen die du angibst, sind durchaus nachvollziehbar und bekannt, trotzdem wiedern mich solche Puplikationen an. Wenn man in einer Firma nicht ein Firewallkonzept (Brain..., bzw. DMZ, Soft- Hardwarefirewall und und und) entwickelt, gehört man auf die Strasse gesetzt! Ich gebe dir mal ein assoziatives Beispiel:
------------------
Für den Menschen benutzt man Medizin, um Krankheiten zu stoppen oder zu heilen. Nun kommt ein Mensch mit Namen Baerserker daher und sagt, die Medizin ist wenig sinnvoll, da sie nicht alle Krankheiten heilen bzw. vorbeugen kann, besser ist, man gibt keinen Menschen mehr die Hand und geht am besten nicht mehr vor die Tür, ein bissle Medizin sollte man zu Hause haben, das eigene Gehirn ist zur Vorbeugung wichtiger.
------------------

Überleg doch mal, entweder du meinst wirklich, das über die Hälfte der Deutschen sich ein administratives Grundwissen[COLOR="#FF0000"]*[/COLOR] aneignen sollen oder du schliesst dich meiner Meinung an, lieber ein bischen geschützt, als gar nicht.

[COLOR="#FF0000"]*[/COLOR]z.B. aufsetzen eines neuen Systems, sperren von Ports, neugekaufte Software auf Hintertüren prüfen, abschalten von Diensten usw.

Für mich heisst das:
Eine Firewall, ein Virenscanner ist auf jedem System pflicht, um die Verbreitung bösartiger Software im www etwas einzudämmen!

Zitat von oschad
Und wieso benötigt man jetzt einen Virenscanner? Man benötigt keinen Virenscanner ... --> Solche Aussagen kenn ich auch von Firewalls, was nur dazu führt, das Kiddys die sich für oberschlau halten, dann meinen alles selber zu können. Das führt aber dazu, das am Ende grössere Löcher im System sind, als vorher mit diversen Utilitis.

Der einzige Eintrag, der sich darin befinden muss ist:

Zitat:127.0.0.1 localhost

wieso nur localhost, ich binde zb über /etc/hosts beim mir einen namen an eine interfaces, somit kann man bequem im internen netz namen anstatt ip-adressen verwenden.

ich habe auf meinem desktop keine firewall und auch keinen virenscanner.
diese würden mich nur zur unaufmerksamkeit verleiten.
meine emails werden vom emailserver geprüft das muss reichen,
für den rest habe ich ein router.
ausserdem verstossen virenscanner nicht gegen den datenschutz?
vielleicht stellen sie auch noch bei der aktualisierung, dem anbieter das ergebnis mit samt namen der durchforsteten dateinen auf der festplate zur verfügung. im schlimmsten fall sogar noch ein
muster über den inhalt.
da es sich bei der software meist um unfreie software handelt würde man sich ja strafbar machen das prüfen zu wollen.
es hat aber wohl was magisches die woerter

ihr computer wurde gescannt.

>wieso nur localhost, ich binde zb über /etc/hosts beim mir einen namen an eine interfaces, somit kann man bequem im internen netz namen anstatt ip-adressen verwenden.

Jo bei Ihm wird der localhost Eintrag reichen

>ich habe auf meinem desktop keine firewall und auch keinen virenscanner.
>diese würden mich nur zur unaufmerksamkeit verleiten.
>meine emails werden vom emailserver geprüft das muss reichen,

Dito, Antivir ist zwar installiert, der Guard aber deaktiviert. Auf Verdacht kann ich scannen.
Alternativ schau ich mit TCPView, Filemon und Procexp von Sysinternals, was grad abgeht.

>für den rest habe ich ein router.
>ausserdem verstossen virenscanner nicht gegen den datenschutz?
>vielleicht stellen sie auch noch bei der aktualisierung, dem anbieter das ergebnis mit samt namen der durchforsteten dateinen auf der festplate zur verfügung. im schlimmsten fall sogar noch ein

Das wäre zumindest in der EU aus Datenschutzgründen illegal. Wenn sowas auffliegen würde, also ein paar Minuten nach erscheinen der Software, könnte der Laden dicht machen.


>da es sich bei der software meist um unfreie software handelt würde man sich ja strafbar machen das prüfen zu wollen.
>es hat aber wohl was magisches die woerter

>ihr computer wurde gescannt.