Hallo, ich habe folgendes Problem:
Obwohl ich inzwischen sehr viel gelesen, gelernt und an Hilfsprogrammen von trojaner.de installiert habe, bleibt es bei Störungen durch Trojaner und andere Eindringlinge. Vor allem im Ordner *Gemeinsame Dokumente* tauchen immer wieder Dateien auf, die AVWIN erst nach Aufrufen desselben überhaupt meldet.
Ich kann mich leider nicht intensiv genug mit dem Thema beschäftigen und erbitte daher hier Tipps, was ich noch tun kann, um meine beiden Rechner (einer Host, einer Client) irgendwie abzusichern. Hierzu poste ich das Hijack-Log und das letzte AVWIN-Log. Es tut mir leid, daß dadurch alles so lang wird. Ich gehe mit DSL auf einem IBM-Rechner mit WinXP rein, keine Firewall, IE, Opera, Overnet, TS, ICQ und MIrc nutze ich... tja, bitte fragen, wenn ich was vergessen habe.

Logfile of HijackThis v1.97.7
Scan saved at 01:24:22, on 21.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
D:\Drag'n Drop CD\BinFiles\DragDrop.exe
C:\Programme\Apoint2K\Apntex.exe
D:\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Java\j2re1.4.2_01\bin\jusched.exe
D:\Trojancheck 6\tcguard.exe
C:\Programme\WeatherCast\Weather.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
C:\WINDOWS\System32\rundll32.exe
C:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\AVPersonal\AVGUARD.EXE
D:\Microsoft Office\Office10\OUTLOOK.EXE
E:\bot remover\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trojaner-info.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.hausfrauenseite.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://web.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [Drag'n Drop CD] D:\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime6\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "d:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect /keeploaded
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [WeatherCast] C:\Programme\WeatherCast\Weather.exe /q
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/30c3d63a...dxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...63/mcfscan.cab

AVWINLOG:
C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Dokumente
Setup.exe
[FUND!] Enthält Signatur des Wurmes Worm/Pinom.C
Nach Rückfrage nicht gelöscht!

C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP267
A0021506.exe
[FUND!] Enthält Signatur des Wurmes Worm/Gobot.U
Nach Rückfrage nicht gelöscht!


C:\Dokumente und Einstellungen\All Users\Dokumente
Setup.exe
[FUND!] Enthält Signatur des Wurmes Worm/Pinom.C
Nach Rückfrage nicht gelöscht!

Ende des Suchlaufs: 20.06.2004 20:12

Hallo!

</font><blockquote>Zitat:</font><hr />Original erstellt von susiebond:
Obwohl ich inzwischen sehr viel gelesen, gelernt und an Hilfsprogrammen von trojaner.de installiert habe, bleibt es bei Störungen durch Trojaner und andere Eindringlinge.</font>[/QUOTE]Programme helfen auch weniger, effektiven Schutz zu erreichen. Besser sind (Grund-)Wissen und dementsprechendes Handeln. Auch wenn du wenig Zeit hast, nimm dir hierfür eine ruhige Minute, es lohnt sich:

http://www.mathematik.uni-marburg.de...ompromise.html

Bedenke auch, dass du jetzt mit der Entfernung der Schadsoftware Zeit verbringen musst, Zeit, die aber besser in Vorbeugung investieren solltest.

</font><blockquote>Zitat:</font><hr />Vor allem im Ordner *Gemeinsame Dokumente* tauchen immer wieder Dateien auf, die AVWIN erst nach Aufrufen desselben überhaupt meldet.</font>[/QUOTE]Das muss nicht immer auf eine aktiven Schadsoftware hindeuten. Z.B. Outlook speichert Dateianhänge beim Öffnen von Mails in temporären Ordnern zwischen (ohne dass diese Anhänge dabei ausgeführt werden würden). Alledings gibt es auch Schadsoftware, die sich explizit in dieses Verzeichnis schreibt, ja.

</font><blockquote>Zitat:</font><hr />Ich kann mich leider nicht intensiv genug mit dem Thema beschäftigen und erbitte daher hier Tipps, was ich noch tun kann, um meine beiden Rechner (einer Host, einer Client) irgendwie abzusichern.</font>[/QUOTE]- Systeme stets aktuell halten, regelmäßig Service-Packs und Patches installieren -&gt; http://windowsupdate.com
- XP Verbindungsfirewall für DFÜ-Verbindungen aktivieren.
- Auf dem Internet Explorer komplett verzichten. Entweder nur noch Opera verwenden, und/oder ergänzend Mozilla / Firefox:
http://mozilla-europe.org/de


Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dringend updaten!


Das ist eine Adware. Versuche eine Deinstallation über &gt;Systemsteuerung &gt;Software &gt;Wheathercast &gt;Entfernen.
C:\Programme\WeatherCast\Weather.exe

D:\Microsoft Office\Office10\OUTLOOK.EXE

Besser wäre es, ein Mailprogramm zu nutzen, welches die Darstellung im Plaintext (Nur-Text) erlaubt. Das könnte durchaus auch ein aktuelleres Outlook sein, aber so ist das deutlich zu unsicher.

Falls sich diese Adware nicht über die Systemsteuerung deinstallieren lässt: diesen Eintrag mit HijackThis fixen (markieren, "Fix checked" wählen) und die Datei im Programme-Ordner löschen.
O4 - HKCU\..\Run: [WeatherCast] C:\Programme\WeatherCast\Weather.exe /q


</font><blockquote>Zitat:</font><hr />C:\Dokumente und Einstellungen\All Users\Dokumente
Setup.exe
[FUND!] Enthält Signatur des Wurmes Worm/Pinom.C
Nach Rückfrage nicht gelöscht!

C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP267
A0021506.exe
[FUND!] Enthält Signatur des Wurmes Worm/Gobot.U
Nach Rückfrage nicht gelöscht!


C:\Dokumente und Einstellungen\All Users\Dokumente
Setup.exe
[FUND!] Enthält Signatur des Wurmes Worm/Pinom.C
Nach Rückfrage nicht gelöscht!
</font>[/QUOTE]Das sind Netzwerkwürmer. Nur eine Bestätigung desssen, was ich eingangs erwähnte:
- Patches fehlen
- Dienste sind nach außen hin verfügbar und somit auch "verwundbar".

Hallo mmk!
Vielen Dank erstmal für Deine Tipps, der link war sehr informativ und amüsant. Es ist nun bei mir so, wie sicher bei vielen anderen langjährigen usern auch - ich beschäftige mich durchaus gern mit meinem Rechner und seiner Pflege und habe auch gern einen detaillierten Überblick über das, was er tut und läßt. Allerdings sind meine Fähigkeiten beschränkt, manche Zusammenhänge verstehe ich einfach nicht mehr. Das ist ein bißchen so, wie an einem Käfer und an einem aktuellen Mercedes schrauben - was früher noch einfach und überschaubar war, ist inzwischen so verzweigt und ausufernd, daß man schon Spezialist werden muß, um selbst noch effektiv handeln zu können.

Also zusammengefaßt:
Ich bin gerade dabei, mich vom IE zu entfernen und nur noch Opera zu benutzen, vor allem, da ich den IE seltsamerweise trotz vieler Versuche nicht mehr mit Sicherheitsupdates upgraden kann (auch eine Schadsoftware am Werk?). Dennoch bin ich z.T. auf ihn angwiesen, da ich Websites baue und auf den div. Browsern ausprobieren muß. Also kommt auch ab und zu der Netscape zum Einsatz, den Mozilla hab ich schon auf der Liste zum Installieren.

Outlook ist bei mir so konfiguriert, daß generell keine email automatisch geöffnet wird. Generell vermeide ich HTML-mails, es sei denn, sie kommen von vertrauenwürdigen Anbietern (web.de ist hoffentlich so einer, oder versprechen die auch zuviel?) Außerdem durchlaufen alle emails sowohl den web.de-Filter als auch den SpamCloud auf Outlook. Ein Wechsel ist schlecht möglich, da ich mit Kollegen und Kolleginnen ein kleines Netzwerk aufgebaut habe, viele von ihnen wissen grad mal, wie sie ihren Rechner anschalten und emails lesen können.

Was die XP-Firewall angeht - ich hatte sie lange Zeit an, was mir lediglich bescherte, daß ich keine Daten mehr mit Freunden über ICQ, MIrc austauschen konnte, dennoch ständig Trojaner und anderes Gesindel in "Gemeinsame Dokumente" und anderswo fand. Ich würde gern eine Firewall benutzen, die mir als user etwas durchschaubarer erklärt, wie ich Ports freigeben und gleichzeitig überwachen kann, und die ansonsten ihren Job zuverlässiger macht.

Da Du nichts über die gefundenen Viren sagtest, werde ich sie jetzt offline löschen und c: defraggen, in der Hoffnung, daß das effektiv ist.

Vielleicht hast Du oder jemand anderes noch weitere Tipps, ansonsten, danke ich Euch erstmal für die Hilfe! [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von susiebond:
Also zusammengefaßt:
Ich bin gerade dabei, mich vom IE zu entfernen und nur noch Opera zu benutzen, vor allem, da ich den IE seltsamerweise trotz vieler Versuche nicht mehr mit Sicherheitsupdates upgraden kann (auch eine Schadsoftware am Werk?). Dennoch bin ich z.T. auf ihn angwiesen, da ich Websites baue und auf den div. Browsern ausprobieren muß. Also kommt auch ab und zu der Netscape zum Einsatz, den Mozilla hab ich schon auf der Liste zum Installieren.</font>[/QUOTE]Es ist gut möglich, dass die Schadsoftware auch das Updaten von Windows verhindert. Evtl. klappt es, wenn die Schadsoftware vollständig entfernt ist. Updaten solltest Du in jedem Fall auch den IE, auch wenn Du ihn nicht fürs Internet verwendest, da er für viele Funktionen des Betriebssystems verantwortlich ist.

Mozilla und Netscape sind übrigens seit Netscape 6 fast das gleiche, nur Mozilla ist aktueller.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie