Hallo zsuzsa, was du gemacht hast war sicherlich die beste Lösung, da hat HerrKautz schon recht, mir ging es um die Rettung deiner Daten und mein Weg währe viel zeitaufwendiger gewesen als Formatieren und da aus der Ferne, nicht einmal zu 100% sicher, aber das hatte ich ja schon geschrieben.
Natürlich kann man die Sachen die escan gefunden hat von Hand löschen, dass steht hier aber auch schon hundert mal und andere Freescanner wie a² und Ewido, schaffen bei dem was du auf platte hattest, das auch mit links.
Aber das richtige Problem liegt halt immer darin, was die nicht finden.
Wie du nun dein win konfigurierst, dass sollen hier mal andere schreiben die da mehr Ahnung haben, denn ich bin eigentlich Linux-User, ich müsste das Zeug erst mühsam suchen und testen.
Was mich aber wundert ist; wie du dich infiziert hast, da du ja schon immer deinen Kopf benutzt hast, mehr kann man ja eigentlich nicht machen?!
Also, dein IN- Aufritt war ja wirklich so, wie man das sich hier wünscht.
Na ja, nun ist ja alles erst mal in Butter.
Liebe Grüße, Charlie

Na, hier hast du ja schon eine richtige Antwort.
@ SD, hat sich halt wieder mal überschnitten.
LG, Charlie

@ charlie1

Zitat:

Zitat von charlie1

Also, dein IN- Aufritt war ja wirklich so, wie man das sich hier wünscht.

--> Charlie1 wer wünscht sich das? Sehen wir so schadenfroh aus? Nein, das wünscht von uns niemand einem anderen. Wir treffen uns nur auf diese Weise hier ..

__________________
Pflichtlektüre:

- Vorbeugende Maßnahmen
- Browser-Sicherheit
- Mit Firefox per Du
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- Entfernung von Schädlingen und Kompromittierung unvermeidbar?
- Hijacker-Entfernung
- Cidre's Rat

Falsch verstanden, sie hat doch alles, auch im Vorfeld, als sie noch nicht infiziert war richtig gemacht, mehr Vorsicht geht fast nicht.
Liebe Grüße, Charlie

Zitat von zsuzsa:
Ich bin ehrlich gesagt VÖLLIG VERZWEIFELT :-((( .
Ich öffne keine unbekannte eMails, Mails mit Anhang generell nicht, bin nicht auf unbekannten Seiten, gehe nie ohne Firewall und Antivirenprogramm ins Nezt und rufe Mails nur über Webserver ab. Installieren auch nur mit bedacht und selten neue Programme und scanne sie immer vorher auf Malware :-((. Klar weiß ich, daß es generell keine grundsätzliche Sicherheit gegen so eine Kram gibt, nur frage ich mich halt trotzdem wie das einem vorsichtigen Menschen wie mir (na hoffe ich doch...) passieren konnte und was es genau ist :-(( .

Was will man mehr?
Wenn das erst mal jeder IN-User machen würde!

Hallo charlie1,

ach SO hattest Du das gemeint. dann hattest Du natürlich recht. Ja, ich hatte mir zsuzsa's Posting vorhin ganz durchgelesen und mich auch gewundert, wie man bei all der Vorsicht an ausgerechnet solche viesen Würmer geraten kann. Ich denke, wenn man sein System und den richtigen Browser stets geupdatet hält und sich an einige vernünftige Regeln hält, dass dann eigentlich kaum etwas passieren kann. Der IE ist eben zu einem sehr unsicheren Instrument geworden. Was ein Glück, dass es Ersatz gibt, der besser, genauso schnell und sicherer ist.

-> charlie1 ..

(FIREFOX statt IE hatte ich ja schon eh, hat sie ja gepostet und man sieht es ja auch im HJT.
Es ist mir einfach nicht klar, wie dann so was geschehen kann, dass ist mein Problem, sie hat ja alles richtig gemacht!
Ich weiß da einfach mal nicht weiter.
LG, Charlie

es wäre nicht verkehrt zu wissen, wo die Würmer gefunden worden sind. Ich frage mich auch, wozu man eigentlich den NAV auf dem System hat. Eigentlich verwendet man ein Virenprogramm ja, um sich gegen Viren zu schützen. Wenn ich mir die Logfiles unserer User durchschaue, so verwenden sehr viele NAV ... ohne NAV wären sie vielleicht vorsichtiger. Sie verlassen sich auf einen Schutz, der nicht richtig funktioniert.

@ all
010010010111001001110010011001010110111000100000011010010111001101110100001000000110110101100101011011100111001101100011011010000110110001101001011000 110110100000101100001000000110000101100010011001010111001000100000011101010110110100100000011100100110100101100011011010000111010001101001011001110110 010101101110001000000100110101101001011100110111010000100000011110100111010100100000011000100110000101110101011001010110111000101100001000000110001001 110010011000010111010101100011011010000111010000100000011011010110000101101110001000000111001101100011011010000110111101101110001000000110010101101001 011011100110010101101110001000000101000001000011

Und damit kann man das übersetzten:
http://www.adcott.net/binary/
Liebe Grüße, Charlie

uups .. jetzt wird's mathematisch ;-) Na, ich glaube, ich hatte eh noch etwas zu tun ...

Morgen Shadowdance, Morgen Charlie!

Danke für die Beiträge :-). Habe mir alles durchgelesen und denke das bringt mich weiter. Finde ich sehr nett, daß es Profis wie euch gibt, die auch anderen Tipps geben und helfen! Danke!

-> Shadowdance:

"Welches BS hast Du denn jetzt? Wenn Du WindowsXP hast, solltest Du Dir das SP2 runterladen. Im SP2 ist eine Firewall integriert. Eine Firewall reicht voll aus: Firewall - Rubrik. "

Ich habe Windows 2000.

-> Charlie:

Oh, danke, danke der Blumen ;-)) ! Als Computer-Anfänger hört man von Erfahrenen sonst meist immer nur, zumindest um die Ecke herum, daß man ein Depp sei ;-))), auch wenn man beruflich und hobbymäßig mit ganz anderen Sachen zu tun hat - zumal dann noch als Mädel, hehe.

Ich habe wieder einen HJT-Durchlauf gemacht und diesen Log hier - vielleicht könntet ihr euch ja mal anschauen, ob alles in Ordnung ist? Sieht eigentlich gut aus, oder?

Logfile of HijackThis v1.99.0
Scan saved at 07:25:06, on 12.01.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Remote Master\Remote Master.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINNT\System32\internat.exe
C:\Programme\SECRETMAKER\secretmaker.exe
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINNT\System32\smiehlp.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Remote Master] C:\Programme\Remote Master\Remote Master.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: SECRETMAKER.lnk = C:\Programme\SECRETMAKER\secretmaker.exe
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Ach so, Shadowdance hat eben geschrieben, daß ja NAV dazu verleite "sich sicher zu fühlen". Genau schriebe er:
"Wenn ich mir die Logfiles unserer User durchschaue, so verwenden sehr viele NAV ... ohne NAV wären sie vielleicht vorsichtiger. Sie verlassen sich auf einen Schutz, der nicht richtig funktioniert."
Also da muß ich doch Protest anmelden ;-)) : Klar denke ich, daß NAV vielleicht zumindest ein wenig meine Sicherheit erhöht, sollte es doch wohl zumindest, aber ich bin mir natürlich durchaus dessen bewußt, daß man gegen bösartige und kranke Menschen einerseits, die einem mutwillig Daten klauen, ausspionieren oder das System zerstören wollen, oder gegen (leider natürliche) unvermeidliche und uneabsichtigte menschliche Fehler und menschliches Versagen (z.B. bei einer Software o.ä.) leider NIE gefeit ist. Ich denke, da kann man "die besten" (das werden wohl verschiedene Leute unterschiedlich sehen...) Sicherheitsvorkehrungen treffen, im Endeffekt kann man nie hundertprozentig sicher sein.
NAV verleitet mich also durchaus NICHT dazu, mich sicher zu fühlen ;-). Sagen wir, es nimmt mir, in Verbindung mit anderen Sicherheitsvorkehrungen, zumindest EIN WENIG Unruhe ;-)))...

Schönen Tag noch! Grüße,

Zsuzsa

Servus zsuzsa,

guck mal auf der www.windowsupdate.com nach, ob es zu Windows 2000 SP2 (WinNT 5.00.2195) ein Update gibt. Desweiteren solltest Du im abgesicherten Modus diese beiden Einträge fixen:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

.. es wird zumindest empfohlen, sie zu fixen.

100% Sicherheit gibt's nicht. Man muss halt aufpassen, welche Seiten man besucht, wo man Programme runterlädt und Musikfiles sind auch so eine Sache ... wo habe ich denn jetzt wieder den Link? Ah ja .. bitteschön: Musiktauschprogramm --> bitte lesen.

Zitat:

Als Computer-Anfänger hört man von Erfahrenen sonst meist immer nur, zumindest um die Ecke herum, daß man ein Depp sei ;-))), auch wenn man beruflich und hobbymäßig mit ganz anderen Sachen zu tun hat - zumal dann noch als Mädel, hehe.

Jo, das kann passieren. Viele Mädels tragen allerdings fleissig dazu bei, dass man sie nicht so ganz für voll nehmen kann, zumindest mir gelingt es nicht, aber ich bin ja auch kein Mann.

Lass Dich lesen, wenn Du noch Tipps oder Hilfe brauchst.

Shadowdance

01010011010001000010000001101000011000010111010000100000011001000110000100100000010100100110010101100011011010000111010000100001

... pass nur auf, dass ich nicht mit Fremdsprachen anfange ;-)

Ja, dass sollte ich überdenken, ich kann ja nur die slawischen und die germanischen Sprachen, bei den gotischen bin ich raus und halt ASCII
Liebe Grüße, Charlie