Probleme nach Änderung des Providers - Trojaner etc

Loopexpert

Hallo und guten Tag!

Ich betreibe in meinem Büro ein kleines Netzwerk mit insgesamt fünf Geräten. Lediglich ein Gerät davon ist berechtigt, ins Internet zu gehen. Gelöst wurde das so, dass dieses Gerät (quasi der "Server") mit zwei Netzwerkkarten ausgerüstet wurde, von denen eine über einen entsprechnden Switch das interne Netz bedient, während die andere Karte nur das Internet verbindet.

Alle Geräte laufen seit mehreren Jahren an sich gut und stabil mit Windows 2000 prof SP4.

Da es mit meinem bisherigen Provider (A-on) in der letzten Zeit Probleme gab und auch bei der Preisgestaltung für das alte Paket nichts zu machen war, wechselte ich nunmehr zu Inode auf einen xDSL Business Silver 2048/512 account in der Hoffnung, dass nun alles besser, schneller (und billiger ) funktionieren wird.

Ach ja, neben diverser Schutzprogramme (McAfee, Zone Alarm, SpyBot, AdAware etc.) hatte ich in der Leitung zwischen Netzwerkkarte und altem ADSL-Modem noch eine Hardware-Firewall (ZyXell Zywall2) installiert.

Bisher gab es mit der Internetverbindung keine Probleme, das alte ADSL war zwar nicht besonders schnell, aber kaum Viren, Trojaner und andere Schädlinge in all den vergangenen Jahren. Ich hatte ja auch die Sicherheitsstufen entsprechend hoch gestellt, weil ich mir Störungen im Netzwerk und am "Server" nicht leisten konnte oder wollte.

Nun, jetzt nach der Umschaltung auf Inode xDSL - ich habe die Hardware-Firewall dabei entfernt, angeblich sei sie bei Inode nicht mehr erforderlich - habe ich massive Probleme mit meinem Computer. Einige Zeit davor hatte ich den McAffee durch das neue Programm Bit Defender Intern Security 10 ersetzt, mein Browser ist seit einiger Zeit Firefox 1.5. Auch hiermit gab es in der Vergangenheit keine Probleme.

Der Computer ist generell plötzlich extrem langsam, stürzt aus mir unerfindlichen Gründen ab - so z.B. soeben mit einem Fenster, dass automaisch heruntergefahren wird - ohne Möglichkeit, hier irgendwie einzugreifen. Die neue schnelle xDSL-verbindung ist wesentlich langsamer als die alte ADSL-Verbindung, aber es werden permanent irgendwelche Daten ins Netz gesendet, ich weiß nicht wohin.

Hier jetzt die Zusammenfassung des letzten Logfiles von Bitdefender, der auch Dinge gefunden hat:


//-----------------------------------------------------------------
//
// ProduktBitDefender Internet Security v10
// Produkt10.0
//
// Erstellt am: 18/09/2006 19:20:42
//
//-----------------------------------------------------------------

Zusammenfassung:

C:\WINNT\system32\TFTP1000 Infiziert mit: DeepScan:Generic.Sdbot.10436AC4
C:\WINNT\system32\TFTP1000 Desinfizieren fehlgeschlagen
C:\WINNT\system32\TFTP1000 Verschoben
C:\WINNT\system32\.exe Infiziert mit: DeepScan:Generic.Sdbot.730D9FFE
C:\WINNT\system32\.exe Desinfizieren fehlgeschlagen
C:\WINNT\system32\.exe Verschoben
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{809E8D90-17A3-489A-8288-4206975D992B}\Microsoft\Outlook Express\BESCHALLUNG.dbx=>(message 327) Infiziert mit: Trojan.Tchechen.A
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{809E8D90-17A3-489A-8288-4206975D992B}\Microsoft\Outlook Express\BESCHALLUNG.dbx=>(message 327) Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities\{809E8D90-17A3-489A-8288-4206975D992B}\Microsoft\Outlook Express\BESCHALLUNG.dbx=>(message 327) Verschieben fehlgeschlagen
C:\Programme\Softwin\BitDefender10\Quarantine\winIogon.exe Infiziert mit: Trojan.Poebot.A
C:\Programme\Softwin\BitDefender10\Quarantine\winIogon.exe Desinfizieren fehlgeschlagen
C:\Programme\Softwin\BitDefender10\Quarantine\winIogon.exe Verschieben fehlgeschlagen

Soweit ich das analysieren konnte:
2 x in der System32 einen "Generic.Sbot" - könnte der gefährlich sein?
1 x in den Emails der Trojaner TchechenA, offenbar in einem Attachment zu einen Mail aus dem Unterordner "Beschallung" - solange ich dieses Mail nicht öffne (bzw. den Anhang) sollte nichts passieren.
1x in winIogon ein Poebot.A

Ich habe diverse Löschversuche gesartet, vergeblich.

Somit habe ich noch hijackthis über den Computer laufen lassen, hier das Protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 09:29:27, on 20.09.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

[Warum hier nicht Firefox aufscheint, ist mit nicht klar]

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\APC\APC PowerChute Personal Edition\mainserv.exe
C:\WINNT\system32\crypserv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\msvbn.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\tcpsvcs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Softwin\BitDefender10\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\WINNT\system32\ctfmon.exe
D:\WinZip\WZQKPICK.EXE
D:\ADOBE\ACROBAT\Distillr\acrotray.exe
C:\Programme\APC\APC PowerChute Personal Edition\apcsystray.exe
E:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.acs-akustik.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ADOBE\ACROBAT\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\ADOBE\ACROBAT\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\ADOBE\ACROBAT\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [msci] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\2006829103624_mcinfo.exe /insfin
O4 - HKLM\..\Run: [Cleanup] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\2006829103625_mcappins.exe /v=3 /cleanup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: APC UPS Status.lnk = C:\Programme\APC\APC PowerChute Personal Edition\Display.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\WinZip\WZQKPICK.EXE
O4 - Global Startup: Acrobat Assistant.lnk = D:\ADOBE\ACROBAT\Distillr\acrotray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{67322C86-76AE-4103-8442-D2EC738BD8C2}: NameServer = 195.58.160.194,195.58.161.122
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Programme\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINNT\SYSTEM32\crypserv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: msvbn - Unknown owner - C:\WINNT\msvbn.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Leider bin ich hier nicht sattelfest genug, die kritischen Dinge herauszulesen.

Jedenfalls vermeide ich es derzeit mit diesem Rechner ins Netz zu gehen, er scheint mir sehr verwundbar, es gehen auch - im Gegensatz zu früher - immer wieder Fenster von BitDefender auf, die vor Viren warnen. Gottseidank habe ich auf meinem Notebook noch einen UMTS-Anschluss, mit dem schreibe ich auch diese Zeilen.

Ich habe zwar durchaus akzeptable Grundkenntnisse in EDV-Technik, aber hier geht es mir entschieden zu weit in die Tiefe.

Ich ersuche um Hilfe:
Wo liegen meine Probleme, seit dem Anschluss an Inode?
Welche "Nettigkeiten" habe ich auf meinem Rechner?
Was kann ich tun dagegen?

Ich bedanke mich schon jetzt herzlich für hoffentlich viele Tipps und Tricks, damit ich wieder gut ins Netz kann - ist heutzutage ja leider unumgänglich.

Liebe Grüße aus Wien

ALFRED
[Loopexpert]