Hallo
Also ich hab da mal eine frage. Die Freundin von meiner Mutter hat sich mal bei ebay einen Pc bestellt und hatte mit dem nur probleme gehabt mit Viren etc. und beschloß sich dann (weil das CD laufwerk auch hinüber war) sich einen neue/nicht gebrauchten Rechner zu holen.
Ich half ihr dann heute beim anschließen und spielte Windows darauf. Danach hab ich noch Office installiert, I-net eingerichtet und microsoft Outlook für sie eingestellt und mit Antivir runter geladen (benutzt die blaue Version). Kurz nach dem ich Antivir drauf gespielt hatte fing es schon nur noch an zu piepsen von fehlern wie system32\GSLBWZGB.exe Backdoor programm BDS/PoeBot und noch einige anderen mehr. Probiert die dann runter zu bekommen aber vergebens. Dann kam auch noch die fehler meldung des öfteren das mein System in xx sekunden herrunter fährt. Hab dann spy Bot S&D drauf gespielt und konnte bei intensiver suche, einige sachen finden, aber scheinbar nicht genügend, denn es piepste noch immer noch. der internet explorer war nach kurzer zeit auch voll mit pop ups und ich dachte mir benutz ich ad aware mal. Wenn ich mit ad aware jedoch nen scan machen wollte fuhr der rechner runter oder blue screen kam oder schmierte einfach ab. Hab dann mit TUne Up utilities geschaut was alles gestartet wird und da waren 3 ereignisse drinn die als gefährlich angezeigt wurden w32 und irgendein local dienst. Hab die häckchen weggemacht damit es nicht mehr geladen wird aber weg bekomm ich des irgendwie nicht. Hab mir den sasser scanner von norton und symantec runter geladen aber die finden nix. unter STRG+ALT+ENTF konnt ich 2 dinge erkennen die mir fremd waren: popkapopka63.exe und Toadimon.exe.
Wie auch immer, hab mich am ender beschlossen nen Hijack log zu machen den ich hier unten jetzt poste. Ich versteh nur nicht wieso sie immer sofort voll mit Viren ist??? Der rechner ist frisch neu ausm laden und windows war frisch drauf gespielt und kurz nachdem ich Internet und antivir eingerichtet hatte war des teil voll... Für mich unbegreflich und ich weiss nicht was ich machen soll.. Hoffe hier auf rat

Danke schonmal,
Charmin

-----[Hijack Log]----


Logfile of HijackThis v1.99.1
Scan saved at 21:01:38, on 21.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonalPremium\AVGUARD.EXE
C:\Programme\AVPersonalPremium\AVESVC.EXE
C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
C:\Programme\AVPersonalPremium\AVMAILC.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Renate\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.1800searchonline.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.1800searchonline.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.1800searchonline.com/sp2.php
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonalPremium\AVGNT.EXE" /min
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1124649327013
O17 - HKLM\System\CCS\Services\Tcpip\..\{52B95D6F-F49C-4C85-A83A-028907E842BD}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\Programme\AVPersonalPremium\AVMAILC.EXE
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\Programme\AVPersonalPremium\AVGUARD.EXE
O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\Programme\AVPersonalPremium\AVESVC.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

nach einer backdoorinfektion sollte neuinstalliert werden, denn ist eine solche sicherheitslücke vorhanden ist es warscheinlich das sie auch für anderen aktivitäten ausgenutzt werden kann. auch der bot konnte bereits für soetwas verwendet werden. kurz: das system ist nicht mehr vertrauenswürdig.
das dieser wurm darauf kam, was einfach; die gefährlichen ports von dcom waren offen und wegen einer sicherheitslücke im rpc-dienst (remoteprozeduraufruf) kann ein angreifer ins system über diesen fälschlich geöffneten port eindringen.
halte dich an diese anleitung während der Neuinstallation und das problem sollte nicht mehr auftauchen. auch hattest du kein sp2 drauf, was auch ein grund dafür ist (mit sp2 wird das sicherheitsleck geschlossen ebenso wie eine mit sp2 integrierte firewall aktiviert)

Zitat:

Zitat von Chris14

nach einer backdoorinfektion sollte neuinstalliert werden, denn ist eine solche sicherheitslücke vorhanden ist es warscheinlich das sie auch für anderen aktivitäten ausgenutzt werden kann. auch der bot konnte bereits für soetwas verwendet werden. kurz: das system ist nicht mehr vertrauenswürdig.
das dieser wurm darauf kam, was einfach; die gefährlichen ports von dcom waren offen und wegen einer sicherheitslücke im rpc-dienst (remoteprozeduraufruf) kann ein angreifer ins system über diesen fälschlich geöffneten port eindringen.
halte dich an diese anleitung während der Neuinstallation und das problem sollte nicht mehr auftauchen. auch hattest du kein sp2 drauf, was auch ein grund dafür ist (mit sp2 wird das sicherheitsleck geschlossen ebenso wie eine mit sp2 integrierte firewall aktiviert)

Danke für die schnelle antwort
Aber wie soll ich mir sp2 drauf installieren ? Muss doch dazu vorher bei ihr ins internet und die ganzen updates saugen da ihre Windows XP CD ohne SP" daher kommt. Oder kann ich das auch vorher von wo besorgen und auf cd brennen und dann nach der Neuinstallation auf ihrem Rechner den patch drauf packen?
Danke
Charm!n

@Charmin
bestellst du hier
http://www.microsoft.com/windowsxp/d...e/default.mspx

chaosman

Zitat:

Zitat von chaosman

@Charmin
bestellst du hier
http://www.microsoft.com/windowsxp/d...e/default.mspx

chaosman

hey danke für den Link!
Kann ich es auch von hier herrunter laden? http://www.microsoft.com/downloads/d...DisplayLang=de

Charm!n

Hallo,
ja klar, das geht auch, sichere es dann auf CD und dann kann es mit der Neuinstallation losgehen.


Grüße Wildone

ok danke allerseits für die hilfe, klasse forum
Werd mir das SP2 mal runter laden und dann nach der anleitung am dienstag probieren es mal sicher eingerichtet zu bekommen
lg
Charmin