PC war vom Virus befallen - jetzt unbedingt alles neu aufsetzen?

Hallo!

Vor einigen Tagen wurde mein PC leider durch meinen Bruder mit einem Virus verseucht. Ich benutze AntiVir und dieses meldete mri den Virus als "WORM/PoeBot.81408.A", konnte allerdings keine weiteren Infos zu diesem Wurm liefern.
Der Wurm erwies sich nun als hartnäckig: Verschob ich ihn in die Quarantäne oder löschte ich ihn, so war er nach einem Neustart wieder da. Ich probierte also andere Virenscanner und suchte auch im Internet nach Lösung aber nichts half. Die besagten Dateien "vmcgcd32.dll" und "vmcgcd32.dl_" waren nach einem Restart wieder unter c:\windows\system32\ zu finden. Schließlich stieß ich dann darauf, dass der Poebot-Wurm auch etwas mit dem Virus "Sality" zu tun hatte, welcher sich auch in die system.ini einschreibt. Ich öffnete also diese Datei und löschte den Code. Dann ein Neustart und wieder das gleiche Ergebnis.
Ich wusste also überhaupt nicht wie ich den Virus wegbekomme. Dann hatte ich die Idee, die beiden Dateien zu löschen und einfach selber neue (natürlich leere) Dateien mit dem gleichen Dateinamen zu erstellen. Dann wieder in der system.ini und in der BackUp-Datei dieser (system.ini.backup) die Zeilen gelöscht und einen Restart gemacht. Nun die Überraschung: Meine Dateien mit dem gleichen Namen waren immer noch da und anscheinend nicht überschrieben, da die Dateigröße immer noch Null beträgt. Auch ein Durchlaufen des Virenscanners hat keine neuen Funde gezeigt.

Nun zu meiner Frage: Kann ich das System weiter benutzen oder sollte ich lieber alles formatieren und neu aufsetzen?

Letzteres würde ich eigentlich ungern machen, da ich das System quasi schon liebevoll über die Zeit genau meinen Bedürfnissen angepasst habe und ich alles nach einer Neuinstallation ja neu konfigurieren müsste. Andererseits will ich natürlich nicht, dass jemand meine gesamten Daten und Passwörter ausspioniert. Nutze auch Onlinebanking über PIN/TAN.

Wie ist euer Rat zu meiner Situation? Und natürlich vielen Dank fürs Lesen ;-) !

 

Hallo,
ohne HiJackThis-Log können wir das per Ferndiagnose nicht beurteilen. Poste den LINK zu deiner Auswertung, die Anleitung findest du hier:
http://www.pcwelt.de/forum/viren-tr...bedingt-lesen-posten-von-hijackthis-logs.html

 

Hier der angeforderte Link von Hijackthis: http://www.hijackthis.de/logfiles/8db18b7af7a30f7745a2cb82ce8bbe1a.html

Hoffe, dass ihr mir nach der Analyse eine Empfehlung geben könnt! Vielen Dank im Voraus schon mal!

 

Warum updatest du dein Windows nicht? Da ist ja nichtmal das SP1 drauf!

 

Ja, dass ist noch ne andere Geschichte :-). Ich werde demnächst alles updaten, da es ja auch ne Sicherheitslücke darstellt. Aber bitte guckt euch erstmal meine HiJackThis-logfile an und sagt was dazu :-)!

 

Eine Infektion ist durch das HJT-Log nicht zu erkennen. Trotzdem empfehle ich dir, dein System neu aufzusetzen, sämtliche Passwörter zu ändern (auch die PIN's unt TAN's für's Online-Banking), dass System Offline mit dem SP2 upzudaten und vor dem Onlinegang die Windows-Firewall zu aktivieren.

 

Das ist ja die Sache mit dem Onlinebanking. Selbst wenn jemand meine PIN hat, dann kann er damit alleine ja noch nichts anfangen. Es ist ja nur die PIN für's Onlinebanking und nicht für Geldautomaten usw.! Und online kann man mit der PIN nur was anfangen, wenn man auch die dazugehörige TAN hat. Diese TANs habe ja aber nur ich in gedruckter Form, sonst niemand. Daher stellt es doch auch im schlimmsten Fall (-->jemand kennt meine PIN) kein wirkliches Risiko dar oder täusche ich mich da jetzt grundlegend?

 

Grundlegend nicht aber es gibt Techniken um deine TAN nach der Eingabe abzufangen / umzuleiten.

 

@Wolfgang77:
Dies würde ja aber immer über falsche Bankseiten oder PopUps oder Ähnliches geschehen, ich denke mal, dass ich da fit bin, diese zu erkennen und von falschen zu unterscheiden (über falsche Adressen, Zertifikate, Sicherheitseinstellungen, usw.).

Du hattest doch die HiJackThis-Logfile angefordert, Wolfgang77, könntest du dann mal in den Link schauen und einschätzen, ob alles in der Hinsicht in Ordnung ist? Kannst du mir vielleicht einen weiteren Virenscanner empfehlen, welcher besonders gründlich ist?

 

Im Log ist nichts zu sehen, außer dass die Installation völlig veraltet ist (Sicherheitspatches, SP's). Dass der Rechner nicht völlig verseucht ist liegt nur an der scheinbar vorhandenen FritzBox (AVM Router) und / oder der ZoneAlarm. Die nächsten größeren Angriffs-Szenarien erfolgen wohl über den Server Dienst (Sicherheitslücke) der am letzten Patchday mit einem Update bedacht wurde.

Du kannst nochmal mit Kaspersky-Signaturen überprüfen, der Freeware-Scanner überprüft die Festplatten (kein Hintergrundwächter):

Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp

ftp://ftp.microworldsystems.com/download/tools/mwav.exe

 

Hmm stimmt, da ist ja noch ein ZoneAlarm-Eintrag drin. Seltsam, eigentlich benutze ich ZoneAlarm nämlich schon lange (bestimmt 2 Jahre) nicht mehr. Die FritzBox-Einträge stammen aber nicht von einem Router sondern nur von meiner FritzCard SL, die ich als DSL-Modem nutze.

 

Hallo,

also von deinem "Schutzschirm" her sieht das nicht so gut aus, du solltest schon in nächster Zeit auf einen Router mit integrierter Firewall umrüsten.. einen reinen DSL-Modem-Betrieb fährt man heute bei Breitband-DSL und Flatrates eigentlich nicht mehr. Router gibt es vom Provider meist kostenlos dazu oder sind preisgünstig zu erwerben.

In der Diensteverwaltung (Computerverwaltung) musst du einmal schauen ob der "vsmon" (ZoneAlarm) tatsächlich noch gestartet wird und aktiv ist.

Deine Kiste ist quasi offen und übersteht einen Angriff auf den Server-Dienst nicht. Warnungen gab es vom BSI, dem Heimatschutzministerium in den USA und auch hier in den Security News der PC Zeitschriften...
http://www.heise.de/security/news/meldung/76637
http://www.heise.de/security/news/meldung/76753/from/rss09

Der angesprochene Patch kann dich schützen wenn er ausgereift ist oder ein Router wie die FritzBox erledigt das auch selbst wenn Microsoft fehlerhaft bei dem Patch gearbeitet hat.

 

Wenn du dich für die gesellschaftlichen Auswirkungen von NAT (Network Address Translation) interessierst dann kannst du einmal diesen Artikel lesen, ist etwas anspruchsvoller als bei der PC Welt.. aber gelegentlich muss man halt seinen Horizont erweitern :
http://www.heise.de/tp/r4/artikel/16/16647/1.html