Laptop und Desktop infiziert - oder nicht?

Dr.Death

Commodore
Registriert
Feb. 2002
Beiträge
4.891
Habe ein Dell-Notebook und einen selbst zusammen gebauten Desktoprechner, die sich seit etwa 10 Tagen merkwürdig verhalten. Da die Ergebnisse, die ich bisher habe, unschlüssig sind, wollte ich hier nach Eurer Meinung fragen.
Ich habe seit 6 Wochen kein DSL mehr und muss derzeit über einen ZTE SurfStick von 1&1 mit Join Air Software online gehen. Da ich auf beiden Rechnern Win Vista 32 Bit (Dell: Ultimate) (Desktop HP) samt a-suared Emsisoft Anti-Malware 5.0 verwende, was sehr häufig größere Updates zieht, dachte ich mir nichts dabei, dass die Windowswarnmeldung beim Booten kam, dass etwas mit den Sicherheitseinstellung nicht korrekt sei. Vorgestern habe ich dann doch mal genauer hingesehen und festgestellt, dass es seit rund 2 Wochen kein Update mehr auf beiden Systemen gegeben hat und im Virenprogramm der Wächter deaktiviert wurde, was definitiv nicht von mir eingestellt wurde. Dazu kam, dass der Desktoprechner in just dieser Zeit begann, ohne erkennbaren Fehler abzustürzen. Daher dachte ich mir: Klarer Fall, verseucht.

Habe dann auf beiden Rechnern den Virenscanner aktualisiert und vollständige Scans laufen lassen. Ergebnis: Kein Fund auf dem Dell, ein Fund in einer temporären Datei auf dem Desktoprechner. Diese hat das Programm gelöscht. Da ich diesem einen Programm allein nicht mehr vertrauen wollte, habe ich Antivir ebenfalls installiert und für diese Zeit Emsisoft deaktiviert. Ebenfalls habe ich das Firefox Plugin BitDefender Quick Scan diverse male ausprobiert, Spybot S&D mehrmals ausgeführt und zuletzt auf dem Dell-Book "Dr. Web CurIt" sowie Stinger aus dem CB-DL ausgeführt.
Ergebnis Dell-Book: keine Funde bei Emsisoft, Avira AntiVir, SpyBot, Stinger, BitDefender oder CureIt. Aber letztere will bei jedem Beenden festgestellt haben, das die HOSTS-Datei verändert wurde.
Ergebnis Desktop-PC: Nach diversen Komplettscans habe ich mich zur Neuinstallation von Win7 (statt Vista) entschieden. Seitdem läuft der Rechner soweit gut. Das dort ebenfalls wieder installierte AntiVir und SpyBot findet nichts, der Rechner läuft bisher klaglos.

Was mich aber wieder skeptisch macht: Join Air, die besagte Software für den ZTE-Surfstick von 1&1, fragt mich an meinem Dell sowie am Book meiner Freundin mit tödlicher Sicherheit immer nach der PIN (die Eingabe dieser lässt sich in der Software auch gar nicht deaktivieren). Auf dem Desktop-PC aber habe ich unter Win Vista und 7 beobachten können, dass das (identische!) Programm Join Air (Setup-File ist auf dem Stick gespeichert) ungefähr bei jedem dritten Start keine PIN haben will. Könnte da ein Dialer am Werk sein?

Gebt mir bitte mal Tipps, ich verlier nach all der Zeit vorm Bildschirm etwas die Übersicht.
PS: Ach ja, was auch seltsam war: Bevor ich am Dell-Book die Emsisoft-Lösung runtergeschmissen hatte, dachte ich, alles Updates ausgeführt zu haben und den Wächter wieder deaktiviert zu haben. Aber nach 10 Neustarts waren immernoch 3 davon mit deaktiviertem Wächter, also ganz sporadisch. Gut, könnte ein Fehler der Virensoftware sein - aber wenn ein überaus gefährlicher und damit peinlicher. Aber wenns Malware war, dann frage ich mich, warum die ganze andere Software, die ich übers Dell hab laufen lassen, nichts gefunden hat...:freak:

Danke schon mal für das Lesen dieses Romans.
 
Sobald der Rechner infiziert ist kannst du keiner Virensoftware trauen.
Brenn dir mal (woanders, nicht an einem dieser Rechner) eine Antivir Rescue CD, starte von der und mach einen Scan des ganzen Systems. Oder gleich neuinstallieren.
 
Versuch das ganze doch mal mit der Avira Rescue Disk.... (Linux Live CD mit AV)
Das Emsisoft Tool ersetzt übrigens nicht das Antivirusprogramm...

Die PIN-Abfrage sollte eigtl. immer nach Anstecken des Sticks erfolgen...
Bei erneuter Einwahl nicht...
 
Also die Rescue Disk war zwar ein netter Tipp aber auf meinem Book läuft das Programm nicht. Der Scanner bleibt hängen noch bevor er seine Arbeit aufgenommen hat. Der Mauszeiger bewegt sich noch aber angeklickt werden kann nichts mehr. Auf einem anderen Desktop-PC scheint der Scanner jedoch zu laufen, an der gebrannten CD dürfte es also nicht liegen. Allerdings zeigt dort der Scanner an, dass die Option "-z" in der Demo-Version nicht verfügbar ist. Ob das Programm an meinem Desktoprechner zu Hause was findet, kann ich erst später sagen.
 
Yup, hab den gleichen Link benutzt, natürlich die richtige Iso gebrannt (mit 24x, bin da eher konservativ).

Edit: Hier mal ein Screenshot... any ideas?
 

Anhänge

  • Avira.jpg
    Avira.jpg
    44,9 KB · Aufrufe: 123
Zuletzt bearbeitet:
Tja, weiß aber nicht genau, wonach ich suchen soll. Kann ich die Hosts-Datei (oder deren Inhalt) nicht einfach mal löschen? Wenn ich das richtig verstehe, sollte Windows diese wieder selber aufbauen, oder nicht?

Edit: Mir fällt gerade ein Hinweis in der Hosts-Datei auf - sie wurde manipuliert - aber nicht von Malware sondern von SpyBot, wahrscheinlich beim Immunisieren.
 
Zuletzt bearbeitet:
korrekt, spybot manipuliert die hosts-datei, indem es die malware auf 127.0.0.1 umleitet... mein typ mach die beiden rechner platt und mach ab jetzt regelmäßig backups mit z.b. acronis true image home.
 
@ hasenfranz:

Also der Desktoprechner hat ja erst seit gestern ein frisches Windows...
und warum konkret sollte ich das OS des Books neu installieren? Nur weil der Wächter des alten Virenscanners nicht zuverlässig gestartet ist? Ich will ja erst mit Sicherheit bestimmen, dass überhaupt was verkehrt ist damit.
 
Zurück
Oben