Grüßt euch

ich hab ein Problem

Vorhanden:
Win XP SP 2 Rechner
Trend Micro Office Scan
aktuelle Pattern und Updates

Problem:
Der Rechner war stark mit Ad- und Spyware infiziert. Diese wurden alle entweder mit Ad Aware, Hijack oder Spybot SD entfernt. Ich habe den Rechner danach wieder aufgestellt und an das Netz angeschlossen. Keine 4 Stunden später hat mir der OfficeScan wieder Meldungen über neue Viren und Trojaner gebracht. Diese auch wieder entfernt und das System läuft wieder stabil und ohne Probleme. Nachdem der Rechner aber wieder am Netz war, sind wieder die ersten Viren gemeldet worden.

Ich bin am verzweifeln. Ich habe den Rechner mit TrendMicro Systemcleaner, Ad Aware, Spybot, Hijackthis und TrendMicro Rootkit Buster gescnant. Alle Scanner haben keinerlei Viren, AD - und Spyware, Rootkits oder Trojaner gefunden. Jedoch bekomme ich immer wieder Viren wenn der Rechner am Netz hängt.

Ich denke im Hintergrund läuft irgendein Programm das ein Hintertürchen für schädliche Software offen hält. Ich komm aber nicht drauf was das sein könnte.

Eine Neuinstallation will ich wenn möglich vermeiden da auf diesem Rechner ein Warenwirschafts Programm läuft das ich nur sehr ungerne neu installieren möchte.

Ich danke jetzt schon mal für ihre Antwort.

Ehem

Ohne Hijackthis-Logfile (siehe FAQ) lässt sich nur spekulieren. Möglicherweise (!) findest du die Lösung hier bzw. hier.

Hier das fehlened logfile.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 13:38:44, on 12.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\inst\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.kreuzer-dachbau.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ADKD.LAN
O17 - HKLM\Software\..\Telephony: DomainName = ADKD.LAN
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ADKD.LAN
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ADKD.LAN
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

Nun, ein Anzeichen für ein Backdoorprogramm kann ich nicht erkennen (was selbstverständlich nicht bedeutet, dass keines da ist). Der Rechner steht hinter einem Router? Mit NAT? Die Windows-Firewall ist aktiviert? Was geht denn dem immer neuen Befall voraus? Werden Seiten angesurft, von denen man sich besser fernhält? Welche Internet-Software wird verwendet (ich sehe nur den Internet-Explorer)?

Also Windows Firewall ist zwar aktiv wird aber nicht benörigt da vor Ort eine Hardware Firewall installiert ist (Astaro). Viren treten auch auf wenn überhaupt nich gesurft wird, sprich wenn der Rechner nur am Internet hängt.
Benutzt wird der Internet Explorer 7. Das ist die Situation Vor Ort.

Hier bei mir ist der Rechner in einer DMZ und hnter zwei Astaro Firewalls mit zusätzliche Windows Firewall.

Die letzte Seite die mit dem Rechner angesurft wurde war die weltbild.de

An diesem Rechner beis ich mir langsam aber sicher die Zähne aus.

Hallo,

scan dein System einmal mit folgendem tool und poste das Ergebins:
http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

und/oder mit Blacklight
http://www.f-secure.com/blacklight/try_blacklight.html


und poste das Ergebis (log-File)


Gruß
Oskar

Zitat:

Zitat von Ehem

Viren treten auch auf wenn überhaupt nich gesurft wird, sprich wenn der Rechner nur am Internet hängt.

Wenn das wirklich genau so ist, fällt mir meine erste Idee wieder ein. Aber dazu vielleicht später.
Da "Astaro" mir nichts sagt, noch mal die Frage: Mit NAT oder ohne?
Hältst du eine der folgenden Optionen für realistisch:
1. Eine dritte Person hat Zugriff auf den Rechner und tut Dinge, die sie nicht sollte
2. Es wurde/wird Shareware installiert, die Spy- bzw. Adware mitbringt
3. Infektion über Datenträger (Diskette/CD/DVD...)?