Inwieweit bin ich über meine E-mail-Adresse eigentlich angreifbar, wenn ich online (und offline) bin???? Leider habe ich vor ein paar Tagen unüberlegterweise meine E-mail-Adresse an jemanden rausgegeben, den ich nicht kenne. Ein paar Aussagen die hinterher von ihm kamen haben mich jetzt etwas stutzig gemacht, ob es sich nicht um einen Hacker handeln könnte. Für den Moment habe ich nun zumindest einmal von einem anderen PC aus vorsichtshalber alle Passwörter geändert bzw. die E-mail-Adresse ganz gesperrt. Reicht eine Änderung der E-mail-Adresse aus?

Und Frage Nr. 2.
Gestern habe ich nun einen Virenscan mit escan gemacht und siehe da, drei Dateien sind von einem Wurm befallen (ob das jetzt mit meiner E-mail-Adresse zusammenhängt weis ich nicht). Den Namen des Wurms weis ich jetzt leider nicht mehr (irgendein Backdoor), da ich im Moment an einem anderen PC sitze. Habe mich aber gestern abend und heute noch durch die Foren hier und auch durch andere durchgekämpft und bin nun soweit, dass wohl das einzige was hilft, eine Formatierung der Festplatte ist. Da, so wie ich das gelesen habe, trotz aller Formatierei aber anscheinend es keine Garantie ist, dass der Hacker nicht irgendwo noch seine Spuren und unsichtbaren Hintertüren hinterlassen hat, werde ich wohl eine neue, grössere Festplatte kaufen – das hatte ich eh in nächster Zeit vor. Nun aber meine Frage. Auf meinem PC ist eine zweite Festplatte, die laut escan nicht befallen ist. Kann ich Daten, die dort abgelegt sind ohne Gefahr dann wieder benutzen??

Hi Mung,

mich würde mal interessieren wer den Unsinn Dir in den Kopf gepflanzt hat, dass man wegen Malwarebefall eine neue Festplatte bräuchte

Den Computer von(!) einem garantiert virenfreien schreibgeschützten Medium starten und die HD neu partitionieren und formatieren ist ausreichend, je nach BS bzw. Virus auch den MBR der HD neu schreiben lassen.

Die zweite Festplatte, bzw. die Daten darauf wäre(n) eine echte Gefahr, auch wenn eScan nichts findet, kein Programm ist 100%ig.

Du solltest Dir aber bewusst sein was ein Backdoor-Programm ist.

Nein, über Deine E-Mail-Adresse hat niemand Zugriff auf oder irgendeine Kenntnis über Deinen Computer, ausser dieser wäre der Mailserver selber. Aber natürlich kann via E-Mail Malware zu Dir und Deinem Computer geschickt werden.

Das mit der neuen Festplatte kaufen habe ich mir selber eingepflanzt . Da mir die andere ja eh zu klein ist und ich sowieso ne neue kaufen wollte irgendwann, dachte ich eben, das wäre jetzt der ideale Anlass dafür . Aber gut, mal sehen. Vielleicht schon wieder Geld gespart ;o).

Das hört sich ja alles schön und gut an, mit formatieren und partionieren und HD und dem ganzen. Nur leider bin ich in dem Punkt noch absoluter Laie und weis nicht, ob ich das auf Anhieb alles so hinbekomme . Habe mir jetzt schon einiges von den ganzen links hier dazu ausgedruckt, aber für mich hört sich das im Moment nach einem Schloss mit sieben Siegeln an.
Was bedeuten denn die ganzen Abkürzungen HD usw. . Steh gerade irgendwie auf dem Schlauch, sorry .
Spybot, Antivir, und Adaware habe ich bereits installiert und drüber laufen lassen. Die finden den Wurm nicht. Nur escan.
Sollte ich hier noch einen HJT-Logfile posten?

HD = HardDisk = Festplatte

Ich hoffe Du hast Dir keinen Spybot installiert, allerdings dagegen hilft u.a. das Programm Spybot Search & Destroy. Heisst im übrigen so, weil es Spybots sucht (search) und(&) vernichtet/zerstört (destroy).

Die Programme Spybot Search & Destroy und AdAware sind übrigens nicht gegen Würmer gedacht, auch wenn sie u.U. auch welche finden können, also dies ist nicht verwunderlich.
Antivir findet auch nicht alles (kein Programm findet alles), es kommt auch stark auf die Sucheinstellungen an. Ich halte Antivir nicht für das allerstärkste AV-Programm.
Und eScan findet manches was keiner findet , ich halte es für sehr "meldefreudig"
Du kannst ja auch noch mal andere frei Scanner ausprobieren bevor du die Kiste plättest oder einen Online-Scan durchführen, z.Bsp.:

http://de.bitdefender.com/scan/licence.html
http://www.pandasoftware.com/actives..._principal.htm
http://www.ravantivirus.com/scan/indexie.php
http://de.trendmicro-europe.com/ente...secall_pre.php

hoffe die Links stimmen noch alle.

Ach ja, natürlich kannst Du ein HJT-Log hier posten, aber vorher kannst Du es mal auch automatisch*) hier => www.hijackthis.de auswerten lassen und die Tipps befolgen, bei Unklarheit hier posten.

*) die automatische Auswertung ist auch nicht fehlerfrei, aber tendenziell recht brauchbar.

Mit Spybot meinte ich die Software Spybot search &destroy - war nur falsch ausgedrückt bzw. nicht zu Ende geschrieben .
Das mit den Scannern probiere ich noch - DANKE!
Und ´mit dem automatischen auswerten des Logfiles werde ich dann auch noch in Angriff nehmen.

Zitat:

Zitat von Mung

Mit Spybot meinte ich die Software Spybot search &destroy - war nur falsch ausgedrückt bzw. nicht zu Ende geschrieben .

Zitat:

Zitat von Mung

Und ´mit dem automatischen auswerten des Logfiles werde ich dann auch noch in Angriff nehmen.

Der Vorteil ist, wenn man sich selber ein bisserl Gedanken darüber machen muss, lernt man auch was für das nächste mal. (was hoffentlich nicht kommt)

Stimmt, da haste (leider) recht. Aber gut, learning by doing, auch wenn man in so einem Fall drauf verzichten könnte.
So, aber nun wieder zum Wurm.
Also heißen tut das nervige Teil (Wurm)
Backdoor win32.rbot.gen

Die online Virenscanner funktioniern leider net. Entweder heißt es, kann die Seite nicht finden oder die Zeit wurde überschritten oder es passiert gar nichts.
Die automatische Auswertung habe ich allerdings gemacht. Eine böse "Datei" wurde gefunden und habe ich gleich gefixed.
Allerdings bringt er noch zwei unbekannte laufende Prozesse. Eine davon ist die Datei, die escan als "infected" meldet.
Und jetzt vielleicht noch ne ganz dumme Anfängerfrage. Wenn der PC über einen WLan Router läuft, dann ist der Haupt-PC, an dem der Router hängt, doch auch gefährdet, oder?

Hier jetzt mal die aktuellen Logfiles von HJT und escan:

Logfile of HijackThis v1.99.0
Scan saved at 19:10:51, on 19.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\binetc.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Eigene Dateien\programme\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Bin Personal Firewall] binetc.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Bin Personal Firewall] binetc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Bin Personal Firewall] binetc.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104681905593
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe


Escan:

Wed Jan 19 17:17:16 2005 => File C:\WINDOWS\System32\binetc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed Jan 19 17:17:48 2005 => File C:\WINDOWS\system32\binetc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed Jan 19 17:20:42 2005 => File C:\WINDOWS\System32\TFTP4440 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

@Mung
bei dem hier
http://www.sophos.de/virusinfo/analyses/w32rbotot.html
hilft nur noch dein system neu aufzusetzen.

hier eine anleitung
http://www.trojaner-board.de/showthread.php?t=12154

sry
chaosman

Na ok, habe ich mir ja schon fast gedacht und hatte es auch vor . Trotzdem danke für die Antwort.

Aber wie sieht es denn jetzt mit dem PC aus, der an dem Router noch mit dranhängt. Ist der auch in Gefahr?????

@Mung
überprüfe den mit escan um sicher zu gehen

download
anleitung
chaosman

habe ich bereits, hat nix gefunden und auch die anderen programme haben nix gefunden. wenn ich zeit habe, mache ich aber auf jeden fall noch eine automatische auswertung mit dem HJT.

Zitat:

Zitat von Mung

Die online Virenscanner funktioniern leider net. Entweder heißt es, kann die Seite nicht finden oder die Zeit wurde überschritten oder es passiert gar nichts.

Habe alle Links überprüft, sie gehen => Deine Malware verhindert vermutlich eine Verbindung dorthin **

Zitat:

Zitat von Mung

Und jetzt vielleicht noch ne ganz dumme Anfängerfrage. Wenn der PC über einen WLan Router läuft, dann ist der Haupt-PC, an dem der Router hängt, doch auch gefährdet, oder?

Äh...
Wieso Hauptcomputer an dem der Router hängt?
Normalerweise im Heimnetz:
Router = Verteilung ins lokale Netz, nix Hauptcomputer, was hast Du für ein System? Gibt es vielleicht noch einen PC mit InternetConnectionSharing?

Ist auch fast egal, natürlich sind ALLE Computer deutlich(!) im lokalen Netz gefährdet (Verbreitungsweise dieses Wurmes: Netzwerkfreigaben )

Zitat:

Zitat von Mung

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

schon mal was von ServicePack 2 gehört? gibt es erst seit August

Zitat:

Zitat von Mung

C:\WINDOWS\System32\binetc.exe

löschen wenn Du keine "Bin Personal Firewall" kennst, Google und ich kenne sie nicht. Auch eScan mag es wohl nicht.
Könntest aber die Datei einzeln noch einmal (auch die TFTP4440) zum testen einsenden zu:
Kaspersky => http://www.kaspersky.com/de/remoteviruschk.html
(sollte aber nichts anderes zeigen wie eScan, da eScan Kaspersky nutzt)
McAfee => http://www.webimmune.net/default.asp
(musst Dich aber erst registrieren lassen.)

Bedenke aber unbedingt:

Backdoor.Win32.Rbot.gen

• Schaltet Antiviren-Anwendungen aus (siehst Du ja oben **)
• Ermöglicht Dritten den Zugriff auf den Computer
• Lädt Code aus dem Internet herunter
• Reduziert die Systemsicherheit
• Speichert Tastenfolgen