Rechner kompromittiert?

hilli

Hallo,
seit vorgestern drehe ich am Rad ... Habe nach etwas längerer Zeit mal wieder einen Totalscan meines Rechners mit Antivir gemacht und prompt einen Virus an drei Stellen gefunden:

Worm/Robobot gefunden in:

C:\Aktuell\AP SSB\install.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\install.exe
C:\Netzwerk\install.exe

Die drei Dateien hatten übrigens das Datum 13.12.2005. Ich habe sie zunächst mit Antivir gelöscht und in Quarantäne verschoben. Dann etwas gegoogelt und bei Kaspersky folgendes gefunden:

Worm/Robobot

Aliases

Backdoor.Win32.Robobot.b (Kaspersky Lab)
auch bekannt als:
Trojan.Proxy.106 (Doctor Web),
Troj/ Bdoor-T (Sophos),
DDoS:Win32/Boxed.T (RAV),
Worm/Robobot (H+BEDV),
Backdoor.Robobot.B (SOFTWIN),
W32/Dedler.R.worm (Panda),
Win32/Webus.C (Eset)

Datum: Wann entdeckt? 15 Jan 2005
behavior: Backdoor
Für dieses Schadprogramm gibt es keine Beschreibung.

Beim Weitersuchen bin ich auf eure Site gelangt und habe dort stundenlang gelesen (nur leider nicht alles kapiert - halt typischer ONU).

Als erstes habe ich meinen PC aus dem Netz genommen (LAN-Verbindung daktiviert) und bei deaktivierter Systemwiederherstellung in den abgesicherten Modus gebracht. Ich schreibe im Moment vom Notebook aus (das möglicherweise auch verseucht ist, obwohl Antivir nichts gefunden hat, aber darum kümmere ich mich dann später ...).

Dann einen eScan durchgeführt (dauerte mehr als 6 Stunden - ist das normal?) Der hat den Robobot-Wurm zwar nicht mehr gefunden, dafür aber folgendes:

Virus Protokoll Information:

Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\$NtServicePackUninstall$\logonui.exe infiziert von "Trojan.Win32.Agent.on" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Alte HDD\Boot (C)\Dokumente und Einstellungen\Eva\Lokale Einstellungen\Temp\fna03464.txt infiziert von "Virus.MSWord.Marker.fq2" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Alte HDD\Boot (C)\WINDOWS\ServicePackFiles\i386\logonui.exe infiziert von "Trojan.Win32.Agent.on" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Alte HDD\Boot (C)\WINDOWS\system32\logonui.exe infiziert von "Trojan.Win32.Agent.on" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Backup Alt-PC\Laufwerk D\T-Online 3.0\EMAIL2\1WLEZ1PG.5CH\Ablage.dat infiziert von "Virus.MSWord.Marker.fq2" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Backup Alt-PC\Laufwerk D\T-Online 3.0\EMAIL2\BACKUP\Ablage.dat infiziert von "Virus.MSWord.Marker.fq2" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Ich kann auch gerne noch die relevanten Ausschnitte aus dem Logfile posten.
Insgesamt hat er 7 Viren (s.o.) und 14 Fehler (was ist das?) gefunden.

Den Marker habe ich schon lange im System und werde ihn nicht los, weil er in meinen alten Email-Backups hängt - von wo aus er hoffentlich keinen Schaden anrichten kann.

Über den Trojaner habe ich folgendes gefunden:

Trojan.Win32.Agent.on
Andere Version: .cp
Datum: Wann entdeckt? 04 Feb 2006
Behavior: Trojan
Für dieses Schadprogramm gibt es keine Beschreibung.


Heißt das, er ist am Tag seiner Entdeckung schon bei mir untergekrochen? Kreisch!

Danach habe ich auch noch den HJT Scan gemacht. Hier das Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 23:04:34, on 04.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\1\LOKALE~1\Temp\mexe.com
C:\DOKUME~1\1\LOKALE~1\Temp\kavss.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Works\MSWorks.exe
C:\WINDOWS\system32\notepad.exe
C:\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [routcnf] C:\Programme\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [WiseFTP] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\HP OfficeJet G85\AiO\hp officejet g series\Bin\hpoavn07.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {86B28C72-357E-4C1C-94C1-DB17F056C11A} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53BE4BDC-88AF-4149-BF7E-622395A2BD9B}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{6631B81C-758E-4047-991E-C9302C5B308B}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{53BE4BDC-88AF-4149-BF7E-622395A2BD9B}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{53BE4BDC-88AF-4149-BF7E-622395A2BD9B}: NameServer = 192.168.1.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Noch ein paar Infos, die evtl. interessant sind:

• Als Browser benutze ich auf dem PC Opera (Version 7) und den IE nur, wenn eine Seite sich nicht mit Opera öffnen lässt.
• Ich nutze keinerlei Outlook bzw. Outlook Express (wurde aber wohl zwangsweise installiert), sondern das Email-Programm von T-Online 4.0.
• Bei einem Portscan habe ich vor einigen Tagen einen offenen Port in meinem DSL-Router (in meinem Netzwerk?) gefunden und geschlossen. Jetzt sind alle Ports zu.
• Ich bin normalerweise supervorsichtig mit Emails und Downloads und aktualisiere fast täglich meinen Antivir.
• Leider bin ich bisher immer als Administrator in Win XP unterwegs gewesen, das will ich auf jeden Fall ändern.
• Datensicherung mache ich nur sehr sporadisch, z.T. aufs Notebook, z.T. auf eine 2. Festplatte, die ich in meinem PC habe.

Wer bis hierhin durchgehalten hat: Vielen Dank für die Geduld! Ich hoffe, ihr könnt mir weiterhelfen, wie ich jetzt am besten weiter vorgehe.

Liebe Grüße Hilli.