Verbindung mit google-analystiks.us und PWStealer

thorr · 22.12.2009, 23:39

Hi,

mir ist vor einiger Zeit die Adresse "google-analystiks.us" aufgefallen, da sie doch eine nicht gerade unauffällige Schreibweise des Google-Dienstes ist. Weiter gedacht habe ich mir damals aber dabei nichts - ich weiß auch nicht mehr, in welchem Zusammenhang ich die Adresse gesehen habe. Richtig zum Nachdenken gebracht hat mich sie erst, als am letzten Freitag beim Laden mehrerer Seiten in der Statusleiste im FF u.a. auch "Warten auf google-analystiks.us" auftauchte und das Laden von Seiten, da der Server anscheinend nicht erreichbar war (was für Profis), ewig lange dauerte. Komisch und gewiss wurde es dann, als ich das Gleiche auch beim Aufrufen meines localhosts beobachtet hatte.

Auch wenn die Datendiebe meine Passwörter für diverse Foren und E-Mailaccounts nicht weiter interessieren dürften, wurde es mir doch irgendwann ein wenig unangenehm, dass alle meine Formulareingaben an Dritte weitergehen. Daher hab ich jetzt vorübergehend die Adresse google-analystiks.us mittels der hosts-Datei mit 127.0.0.1 aufgelöst.

Das kann natürlich nicht so bleiben, da ja anscheinend mein Computer infiziert ist. In dem Rahmen ist auch zu erwähnen, dass BullGuard (das übrigens seit mehr als einem Jahr nicht mehr aktualisiert worden ist) mindestens einmal täglich meldet, dass der Zugriff auf oder aus einer Datei in einem Ordner vom Spyware Doctor durch eime Malware mit PWStealer im Namen (den genauen Namen werde ich mir nochmal merken und dann posten) geblockt wurde. Kurz darauf meldet dieser, dass kein Online-Update gemacht werden konnte. Diesen Spyware Doctor habe ich übrigens, so weit ich mich erinnern kann, nie installiert und ich bin mir ziemlich sicher, dass er nicht seit Anfang an auf dem Laptop ist, zumal auf der Packung des Laptops dieses Programm nicht aufgeführt ist. Allerdings finde ich beim gezielten Googeln auch nichts, was meinen Verdacht bestätigen würde, dass Spyware Doctor (oder die Version, die ich auf dem PC habe) ein getarnter Virus ist. Komisch ist allerdings dazu auch noch, dass, wenn ich das Programm über einen Klick auf "Verlassen" im Kontextmenü des Traysymbols, eine Abfrage von Vista kommt, ob ich fortsetzen möchte, obwohl ich ja nichts starten, sondern nur etwas verlassen möchte.

Da ich vermute, dass zwischen meinen Beobachtungen ein Zusammenhang besteht, obwohl sie zeitlich weit (mindestens ein halbes Jahr) auseinander liegen, möchte ich euch mal fragen, was ihr mir raten würdet. Soll ich ein Hijack This-Logfile machen? Zum Glück hab ich mir kein in dem Sinn bösen Virus eingefangen, dass ich Angst um meine (lokalen) Daten haben muss.

LG

grunzer · 23.12.2009, 00:21

Hi,

Wurde das wirklich so geschrieben?
google-analystiks.us
Dann würde ich mir wirklich Sorgen machen, denn die echte Datenkrake (also Google selber) nutzt:
google-analytics.com

Zitat:

Soll ich ein Hijack This-Logfile machen?

Ja, mach doch, ich schau dann mal drüber.

Zitat:

BullGuard (das übrigens seit mehr als einem Jahr nicht mehr aktualisiert worden ist)

Das kannst Du so vergessen. --> deinstallieren

Zitat:

Spyware Doctor ... nie installiert

Den gibt es wohl als gute und als böse Version, soweit ich das mitbekommen habe -->deinstallieren

Zitat:

Zum Glück hab ich mir kein in dem Sinn bösen Virus eingefangen, dass ich Angst um meine (lokalen) Daten haben muss.

Tja.... hmmm... Böse ist sehr relativ und mir ist es lieber ein Virus löscht mir alle meine Daten (ich besitze ja ein Backup) als daß es monatelang einen Rechner zum Versand von Spam verwendet oder alle meine Kennwörter (Onlinebanking, Bankdaten usw) mitschreibt und in die Welt versendet

Noch eine gute Möglichkeit um schnell aktiv zu werden wäre die RescueCD von Avira:
Lade Dir die runter Avira AntiVir Rescue System und brenne sie (als iso brennen!) auf eine CD.
Boote Deinen Rechner damit und starte einen Bereinigungslauf.
Der Vorteil von diesem Ding ist es, daß sich die Schädlinge nicht irgendwo in/hinter Systemdateien verstecken können, da das System von der CD gestartet ist!

Viel Glück
Grunzer

N-Traxx · 23.12.2009, 00:26

Google Analytics gehört zu Google. Es ist ein Dienst, welcher Daten über das Surfverhalten von Usern an einen Google Server weiterleitet.
Google nutzt diese Daten angeblich nur zur Marktforschung. Passwörter und Usernamen werden nicht übermittelt, also keine Panik.

Wie Du richtig erkannt hast, lässt sich Google Analytics auch blocken.
Am einfachsten gehts eben über die Hosts-Datei unter C:/windows/system32/drivers/etc/

In die Hostsdatei ist folgendes einzutragen:

Code:

127.0.0.1       www.google-analytics.com
127.0.0.1       google-analytics.com

Die Bezeichnung google-analystiks.us sieht aber schon dubios aus. Einen Hijackthis Scan würde ich daher auch vorschlagen.

Edit:
Hab mal eine Whois-Abfrage für google-analystiks.us gemacht.
Das Ergebnis:

Code:

GOOGLE-ANALYSTIKS.US - Domain Informationnew
Domain 	GOOGLE-ANALYSTIKS.US   [ Site Info  Traceroute  RBL/DNSBL lookup ]
Registrar 	DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois server 	whois.nic.us
Created 	20-Oct-2009
Updated 	20-Dec-2009
Expires 	19-Oct-2010
Time Left 	300 days 0 hours 22 minutes
Status 	serverHold
DNS servers 	NS1.X-CASINO.BIZ   69.65.40.26
NS2.X-CASINO.BIZ   69.65.48.216
GOOGLE-ANALYSTIKS.US - Whois Information

Domain Name:                                 GOOGLE-ANALYSTIKS.US
Domain ID:                                   D25493966-US
Sponsoring Registrar:                        DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Registrar URL (registration services):       www.publicdomainregistry.com
Domain Status:                               serverHold
Registrant ID:                               DI_6765526
Registrant Name:                             Alex Tramp
Registrant Organization:                     loads
Registrant Address1:                         st Lenina 56-234
Registrant City:                             Dnepr
Registrant State/Province:                   Dnipropetrovsk Oblast
Registrant Postal Code:                      49000
Registrant Country:                          Ukraine
Registrant Country Code:                     UA
Registrant Phone Number:                     +380.0979625314
Registrant Email:                            sh-kesha@ya.ru
Registrant Application Purpose:              P1
Registrant Nexus Category:                   C11
Administrative Contact ID:                   DI_6765526
Administrative Contact Name:                 Alex Tramp
Administrative Contact Organization:         loads
Administrative Contact Address1:             st Lenina 56-234
Administrative Contact City:                 Dnepr
Administrative Contact State/Province:       Dnipropetrovsk Oblast
Administrative Contact Postal Code:          49000
Administrative Contact Country:              Ukraine
Administrative Contact Country Code:         UA
Administrative Contact Phone Number:         +380.0979625314
Administrative Contact Email:                sh-kesha@ya.ru
Administrative Application Purpose:          P1
Administrative Nexus Category:               C11
Billing Contact ID:                          DI_6765526
Billing Contact Name:                        Alex Tramp
Billing Contact Organization:                loads
Billing Contact Address1:                    st Lenina 56-234
Billing Contact City:                        Dnepr
Billing Contact State/Province:              Dnipropetrovsk Oblast
Billing Contact Postal Code:                 49000
Billing Contact Country:                     Ukraine
Billing Contact Country Code:                UA
Billing Contact Phone Number:                +380.0979625314
Billing Contact Email:                       sh-kesha@ya.ru
Billing Application Purpose:                 P1
Billing Nexus Category:                      C11
Technical Contact ID:                        DI_6765526
Technical Contact Name:                      Alex Tramp
Technical Contact Organization:              loads
Technical Contact Address1:                  st Lenina 56-234
Technical Contact City:                      Dnepr
Technical Contact State/Province:            Dnipropetrovsk Oblast
Technical Contact Postal Code:               49000
Technical Contact Country:                   Ukraine
Technical Contact Country Code:              UA
Technical Contact Phone Number:              +380.0979625314
Technical Contact Email:                     sh-kesha@ya.ru
Technical Application Purpose:               P1
Technical Nexus Category:                    C11
Name Server:                                 NS1.X-CASINO.BIZ
Name Server:                                 NS2.X-CASINO.BIZ
Created by Registrar:                        DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Last Updated by Registrar:                   DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Domain Registration Date:                    Tue Oct 20 07:55:16 GMT 2009
Domain Expiration Date:                      Tue Oct 19 23:59:59 GMT 2010
Domain Last Updated Date:                    Sun Dec 20 02:43:16 GMT 2009

>>>> Whois database was last updated on: Tue Dec 22 23:32:13 GMT 2009

http://cqcounter.com/whois/

Ukraine, Russland, schon sehr dubios die Abfrage.

Gruß, Sebastian.

thorr · 23.12.2009, 16:52

Vielen Dank erst einmal für eure Antworten!

Es ist jetzt echt ernst geworden - heute morgen war noch nichts weiteres Verdächtiges zu erkennen, aber als ich gerade kurz weg, hat sich das angebliche Windows Security Center (auf Englisch) geöffnet und erwartet eine Eingabe (Ja oder Nein). Ich werd den Laptop jetzt erst einmal herunterfahren und nachher ein Hijack This Logilfe machen, das ich dann hier posten werde.

thorr · 23.12.2009, 20:31

Zitat:

Wurde das wirklich so geschrieben?
google-analystiks.us
Dann würde ich mir wirklich Sorgen machen

Zitat:

Hab mal eine Whois-Abfrage für google-analystiks.us gemacht.

Das dachte ich mir schon. So eine Schreibweise ist ja schon höchst unseriös, aber verfehlt auch irgendwie den Sinn - die ist so auffällig, da hätte ich als Computerkrimineller sogar fast eher eine komplett andere Domain genommen.

Zitat:

Den gibt es wohl als gute und als böse Version, soweit ich das mitbekommen habe

Danke, dann werde ich mal schauen, wie ich den loswerde. Kann ich aber auch davon ausgehen, dass der wirklich entfernt wird, wenn ich den über den Deinstaller deinstalliere?

Zitat:

Tja.... hmmm... Böse ist sehr relativ und mir ist es lieber ein Virus löscht mir alle meine Daten (ich besitze ja ein Backup) als daß es monatelang einen Rechner zum Versand von Spam verwendet oder alle meine Kennwörter (Onlinebanking, Bankdaten usw) mitschreibt und in die Welt versendet

Ich habe leider (noch) keine Kapazitäten für Datenbackups, da ist es mir lieber, dass jemand meine Formulareingaben ausspioniert, da ich (in diesem Fall zum Glück) kein Onlinebanking mache - von daher dürfte ich für die Diebe relativ uninteressant sein.

Auf einem anderen Rechner im Netzwerk war vor kurzem ebenfalls ein Virus gewesen, der wohl Spam versendet haben muss, denn wir haben Post von T-Online bekommen. Aber wenn man seinen Rechner bei einer Infektion immer brav auslässt und nur zur Bekämpfung des Schädlings nutzt, dann sollte auch dies kein großes Problem sein. Kann es denn eigentlich sein, dass der Virus sich über das (W)LAN verbreitet hat? Das hatte ich eigentlich für so gut wie ausgeschlossen gehalten, aber es gelten ja innerhalb des Netzwerks nicht so große Sicherheitseinschränkungen.

Ich habe übrigens noch seit ein paar Tagen beobachtet, dass beim Herunterfahren des Computers im normalen Modus eine Reihe an kritischen Fehlermeldungen für viele Prozesse erscheinen, die besagen, dass irgendwas einen Speicherkonflikt verursacht hat (s. Screenshot).

So, hier sind die HijackThis-Logfiles - einmal im normalen und einmal im abgesicherten Modus erstellt:

Spoiler:

-----Doppelpost zusammengeführt am 23.12.2009 um 20:48:47-----

Da ich die 15 Minuten gerade eben verstrichen waren, als ich den geänderten Beitrag absenden wollte, sind nun hier in einem Extrapost die Screenshots:

[Kein Bild? Bitte lesen!] [Kein Bild? Bitte lesen!] [Kein Bild? Bitte lesen!]

thorr · 23.12.2009, 23:02

Mh, der automatische Logfileauswerter sagt mir, dass alle Einträge in Ordnung sind und auch ich kann keine Unregelmäßigkeiten erkennen. Beim letzten Start (und dem Zeitpunkt, zu dem das Logfile erstellt wurde) hat der Virus sich auch nicht mehr bemerkbar gemacht - beim Herunterfahren war eine angebliche Windowssicherheitsmeldung auf Englisch zu sehen. Soll noch einmal auf Risiko gehen und den Computer normal verwenden, um evtl. den Virus zu erwischen? Der wird sich ja nicht in Luft aufgelöst bzw. aufgegeben oder sich wieder deinstalliert haben.

Warum sind Viren eigentlich so auffällig? Es wäre doch viel schlauer, alles möglichst versteckt im Hintergrund zu machen...

grunzer · 24.12.2009, 02:07

Guten Abend/Morgen,

Zitat:

Kann es denn eigentlich sein, dass der Virus sich über das (W)LAN verbreitet hat?

Schadsoftware macht vor nichts halt.

Zitat:

C:\Program Files\Apache Software Foundation\Apache2.2\bin\httpd.exe

Ist Dir klar, daß auf dem Rechner ein Webserver läuft?
Vermutlich ja, da auch mysql rennt...
Und sogar ein Filezilla-FTP-Server!!
Wenn Du nicht weißt, daß Dein Rechner das alles drauf hat, dann bleibt ausschließlich eine Neuinstallation, ohne wenn und aber!

Das allerdings ist mehr als nur seltsam:

Zitat:

O1 - Hosts: 78.46.78.140 bplaced.net
O1 - Hosts: 78.46.78.140 forum.bplaced.net
O1 - Hosts: 78.46.78.140 google-analystiks.us

Unbedingt auch löschen:

Zitat:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)

Unbekannt und deshalb mal grundsätzlich dubios:

Zitat:

O4 - HKCU\..\Run: [notepad] rundll32.exe C:\Users\ThoRr\ntload.dll,_IWMPEvents@0
O4 - Startup: scandisk.dll

Das erste der beiden wird von ein paar Seiten als Trojaner gebranntmarkt, was für mich ebenfalls zu einer Neuinstallation führt. Und das hat jetzt weniger mit Deiner eigenen Sicherheit zu tun, sondern mit einem allgemeinen für alle wichtigen Thema! So leicht wie Du kann man es sich nicht machen in einer solch verbundenen Gesellschaft!!!

Genauso der zweite Eintrag:
What is scandisk.dll, How to remove scandisk.dll | HT Logs. Tips, FAQs, Analyze.

Du kannst Dein Glück noch mit Malewarebyte probieren (oder/und mit der oben schon genannten AviraRescueCD), aber ganz ehrlich, ich bin der Meinung solche Rechner sollten bis zur Bereinigung, durch den Provider vom Netz genommen werden (auch wenn ich generell gegen Zensur bin und Eingriffe von außen!), wenn die Nutzer, die davor sitzen so wenig Verantwortung zeigen wie Du.
Wirklich - Aussagen wie:

Zitat:

Ich habe leider (noch) keine Kapazitäten für Datenbackups, da ist es mir lieber, dass jemand meine Formulareingaben ausspioniert, da ich (in diesem Fall zum Glück) kein Onlinebanking mache - von daher dürfte ich für die Diebe relativ uninteressant sein.

lasse mich einfach nur erschaudern!

Zitat:

Warum sind Viren eigentlich so auffällig? Es wäre doch viel schlauer, alles möglichst versteckt im Hintergrund zu machen

Und es ist genau anders herum!
Die Dinge, die so eine Schadsoftware macht sind so auffällig, nicht der Schädling selber! Zum Glück ist Spamversand (wenn sogar die Telekom schon auf euch aufmerksam geworden ist!!!) keine systemschonede Tätigkeit...
Und auch Tastatureingaben aufzeichnen ist aufwendiger als man denkt

Erschrockene Grüße
Grunzer

thorr · 24.12.2009, 12:04

Hi,

vielen Dank, dass du dir das Log angeschaut hast!

Der Webserver und der dazugehörige MySQL- und FTP-Dienst sind mir bekannt - die hab ich selbst installiert. Daher rührt wahrscheinlich auch O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing), denn ich musste damals unter Vista ziemlich rumwerkeln, bis alles funktionierte und zusammenarbeitete, und da sind sicher einige "Datenleichen" übrig geblieben.

Die Eintragungen in der Hostsdatei sind ebenfalls sicher - die habe ich alle selbst angelegt.

Folgende Einträge habe ich jetzt mittels "Fix checked" repariert/gelöscht:

Zitat:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [notepad] rundll32.exe C:\Users\ThoRr\ntload.dll,_IWMPEvents@0
O4 - Startup: scandisk.dll

Ich bekam die Meldung, dass ich alle (Internet-)Explorerfenster schließen soll, damit der oberste Beitrag bereinigt werden kann. Das erste, was nach der Bereinigung passierte, war, dass alle Prozesse abstürtzten und nur noch das Hintergrundbild zu sehen war, inzwischen scheint aber wieder alles zu laufen. Mal schauen, wie sich das jetzt weiterentwickelt - ich werde auf jeden Fall noch einmal HijackThis laufen lassen und schauen, ob die Einträge auch wirklich immer noch weg sind.

Zitat:

ich bin der Meinung solche Rechner sollten bis zur Bereinigung, durch den Provider vom Netz genommen werden (...), wenn die Nutzer, die davor sitzen so wenig Verantwortung zeigen wie Du.

Zitat:

(wenn sogar die Telekom schon auf euch aufmerksam geworden ist!!!)

Das war nicht mein Laptop, sondern der PC meines Vaters, der ihn auch nach dem damaligen Virusbefall noch permanent verwendet hat. Ich lasse meinen Laptop brav aus und vom Internet getrennt. Nur als mein Laptop lediglich von der Spyware befallen war, habe ich ihn noch ab und an benutzt, da ich irgendwie an meine Daten rankommen musste.

Zitat:

Wirklich - Aussagen wie:

Zitat:

Ich habe leider (noch) keine Kapazitäten für Datenbackups, da ist es mir lieber, dass jemand meine Formulareingaben ausspioniert, da ich (in diesem Fall zum Glück) kein Onlinebanking mache - von daher dürfte ich für die Diebe relativ uninteressant sein.

lasse mich einfach nur erschaudern!

Worin liegt da das Problem für die Gesellschaft? Ich musste meinen PC aus schulischen Gründen verwenden und da war mir dann nicht so wichtig, wenn die Diebe nebenbei ein paar Forenposts von mir etc. erhalten. Ob Spam von meinem Mailkonto aus gesendet wird, habe ich auch schon überprüft. Ich habe dann ja auch vorsichtshalber die Adresse der Datendiebe mittels der hosts-Datei auf eine falsche IP umgeleitet (s. oben), denn die Daten wurden ganz simpel mit einer zusätzlichen Zieladresse von Seitenaufrufen im Firefox abgefangen.

Vielen, vielen Dank noch einmal!

-----Doppelpost zusammengeführt am 24.12.2009 um 12:25:10-----

Ich hab jetzt mal gerade den Link mit dem scandisk.dll angeklickt - den Eintrag habe ich jetzt schon mittels HijackThis entfernt. Hätte ich den wirklich mit einer Antivirus/-spywaresoftware entfernen müssen?

-----Doppelpost zusammengeführt am 24.12.2009 um 12:26:20-----

Noch eine Ergänzung: Mit google-analystiks.us wird sich jetzt auf jeden Fall nicht mehr versucht, zu verbinden - also schon einmal ein kleiner Erfolg.

grunzer · 24.12.2009, 13:06

Zitat:

Ob Spam von meinem Mailkonto aus gesendet wird, habe ich auch schon überprüft.

Da hast Du leider alles falsch verstanden. Die versenden nicht über Dein Mailkonto, sondern (falls das so ein Versender ist!) nutzen nur Deine Leitung und Deine Rechenkraft des Rechners um mit eigenen Programmen das Zeug zu verschicken!

Zitat:

Worin liegt da das Problem für die Gesellschaft?

Tja, es gibt zB reichlich Schadprogramme, die sich Deine Adressbücher, ICQ Kontakte usw kopieren um diese Leute auch zu belästigen (Spam, Schädlingsverbreitung...).
Oder die lassen über Deinen Rechner DoS Attacken laufen und schädigen so Regierungen oder Firmen.....

Und wenn Du glaubst, nur weil Dein Rechner vermeintlich jetzt grad nicht schlimmes mehr macht. Heutige Schadsoftware kann man nur mit viel Wissen komplett vom Rechner entfernen. Die Starteinträge mittels HijackThis zu entfernen kann und sollte nur ein erster Schritt sein, damit sich die Software erst mal nicht mehr startet.
Die wird wiederkommen, da sicherlich Hintertüren auf Deinem System geöffnet wurden, die in kürze wieder Schädlingen ein Einfallstor bieten!

Nutze die Ruhephase um ein Backup Deiner Daten und Einstellungen zu machen. Und dann installiere Dein System neu.

Wenn ich Dich jetzt immer noch nicht überzeugt habe, dann lasse wenigstens Malewarebytes und/oder die RescueCD von Avira drüber laufen, denn die Dateien müssen unbedingt noch entfernt werden!!!

Ansonsten noch viel Glück,
Grüße Grunzer

PS:
Lasse vielleicht Deinen Vater diesen Thread hier lesen, denn offenbar klaffen bei euch daheim einige IT Wissenslücken, die unbedingt gestopft gehören

grunzer · 24.12.2009, 13:19

Ach ja und wenn Du shirocko bist und Andreas Dir offenbar nicht helfen konnte (bzw nur temporär), der wirklich Ahnung hat und sehr geduldig alles Macht um Dir zu helfen, dann solltest Du aber wirklich verstehen warum ich Dir die Neuinstallation so ans Herz lege:
PC wahrscheinlich infiziert, bitte um Hilfe und Prüfung - Trojaner-Board

Und ich frage mich, warum Du die Rückantwort des Schädlings auf Deinen Webhoster überträgst. Dafür nimmt man im Normalfall die Adresse 127.0.0.1, damit es nicht nach draußen geht...

Aber egal...
Schönes Fest heute Abend und gute Feiertage hernach

thorr · 24.12.2009, 15:18

Nein, shirocko bin ich nicht - aber den kenne ich vom selben Webhoster. Ich hatte da übrigens erst einmal eine andere IP genommen, da ich nicht genau wusste, was passieren könnte, wenn ich es nun auf meinen lokalen Rechenr umleite, aber das hab ich im Anschluss daran doch so konfiguriert.

Zitat:

Da hast Du leider alles falsch verstanden. Die versenden nicht über Dein Mailkonto, sondern (falls das so ein Versender ist!) nutzen nur Deine Leitung und Deine Rechenkraft des Rechners um mit eigenen Programmen das Zeug zu verschicken!

Nein, das ist mir bewusst. Allerdings kann ich das ja nicht weiter überprüfen. Allerdings für den Fall, dass die Diebe eventuell dadurch, dass sie meine E-Mailpostfachzugangsdaten haben, dieses ausnutzen, hab ich das überprüft.

Zitat:

Tja, es gibt zB reichlich Schadprogramme, die sich Deine Adressbücher, ICQ Kontakte usw kopieren um diese Leute auch zu belästigen (Spam, Schädlingsverbreitung...).
Oder die lassen über Deinen Rechner DoS Attacken laufen und schädigen so Regierungen oder Firmen.....

Das hatte ich überhaupt nicht bedacht, danke für den Hinweis. Und ich lasse mir eine Neuinstallation auch einmal durch den Kopf gehen, da ich heute zu Weihnachten eine externe Festplatte mit 1,5 TB geschenkt bekomme (ehrlich!). Vielleicht behalte ich das System aber auch erstmal, bis ich mir einen neuen Laptop mit 500GB-Festplatte kaufe, denn der Festplattenplatz ist hier ziemlich beschränkt (160 GB) und ich muss ständig darauf achten, dass C nicht komplett voll ist.

Wenn ich mir nun ein Backup machen möchte, wie mache ich das am Besten? Ich möchte ja nicht nur die Daten sichern, sondern ein komplettes Abbild der Rohdaten auf der Festplatte. Wird dabei das Schadprogramm nicht mitgesichert?

Vielen, vielen Dank für deine Hilfe und Unterstützung, sogar am heutigen Tag, bei meinem Problem! Auch dir frohe Weihnachten und schöne Feiertage!

grunzer · 24.12.2009, 16:34

Zitat:

Wenn ich mir nun ein Backup machen möchte, wie mache ich das am Besten? Ich möchte ja nicht nur die Daten sichern, sondern ein komplettes Abbild der Rohdaten auf der Festplatte. Wird dabei das Schadprogramm nicht mitgesichert?

zur ersten Frage: Nicht, mit einem Imageprogramm!
zur zweiten Frage: Nein, es wird mitgesichert!
Ich hoffe, Du kommst mit der doppelten Verneinung klar

Backup:

Sichere alle Deine Daten (wo die so liegen mußt Du wissen) (copy-paste).
Schreibe Dir raus, welche Programme so installiert sind und schau ob Du die Installationsquellen wieder findest.
Schau Dir die Programme an, gibt es hier besondere Einstellungen (Mail, Benutzernamen, Lesezeichen, Passwörter, Lizenzschlüssel...), dann schreibe Dir die Dinge raus oder exportiere diese Einstellungen (wenn es in dem jeweiligen Programm geht!).

Neuinstallation:
Von BetriebssystemCD starten und komplette Formatierung wählen, wenn Du danach gefragt wirst.
Danach nach Möglichkeit erst alle Betriebssystempatches einspielen und den Antivirenscanner installieren bevor Du anfängst die Programme wieder zu installieren!
Außerdem solltest Du bevor Du Deine Dateien wieder zurück spielst diese mit dem hoffentlich dann aktuellen Virenscanner (ein Virenscanner ist nie aktuell nach der Installation - erst ein update machen!) auf dem noch sauberen Rechner überprüfen lassen. Es könnte sogar sein, daß sich das Schadprogramm in einer Datei (oder mehreren) versteckt!

Zitat:

Und ich lasse mir eine Neuinstallation auch einmal durch den Kopf gehen, da ich heute zu Weihnachten eine externe Festplatte mit 1,5 TB geschenkt bekomme

Dann hast Du keine Ausrede mehr

Und sei Deinen Eltern dankbar dafür

Wenn Du noch konkrete Fragen zum Backup hast, dann immer her damit! Ansonsten bin ich jetzt raus aus dem Thema

cu Grunzer