Brauche DRIGEND Hilfe von den Profis hier!
Seit gestern morgen sendet bzw. empfängt (auf jeden Fall blinkt die "Daten" Anzeige ununterbrochen!) mein DSL Modem ständig Daten sobald ich kurze Zeit online bin.
Ich bin vollkommen ratlos, habe Virenscans mit AVG 7.5, AntiVir und AdAware gemacht, es wurden auch teilweise Trojaner gefunden, diese dann aber gelöscht. Als das Problem immernoch bestand, habe ich versucht ein Windows Update durchzuführen (benutze Windows XP SP2), bei einem dieser Updates wurde dann ein Sicherheitsscan durchgeführt und ein "Backdoor Win32" (in tcpip.sys) oder so gefunden.
Alle folgenden Windows Updates konnte ich nichtmehr installieren, die Installation brach jedes mal ab
Also, bitte bitte helft mir, hat hier jemand Zugriff auf meinen Rechner (Passwörter etc.)?? Hier mein HijackThis logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:23:13, on 30.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Grisoft\AVG7\avgwb.dat
C:\Programme\Internet Explorer\iexplore.exe
C:\download\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.cfos.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos1\cFosDNT.exe
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\AOLMIcon.exe
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Programme\1&1 Programme\cFos1\setup.exe -tipoftheday 0 -type5
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: uMOlFo - {2496AFEE-8E3C-0544-2470-2D3C5BE15AC9} - C:\WINDOWS\system32\amw.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Ich bin für jede Hilfe absolut dankbar, nach dem einen Windows Sicherheitscan hat das DSL Modem für ca. 10 Minuten nichtmehr geblinkt (nachdek z.B. eine Seite komplett geladen wurde) , es ging dann aber wieder von vorne los
Bitte helft mir

Bitte, irgendjemand muss mir doch helfen können

Hallo

Zitat:

Bitte, irgendjemand muss mir doch helfen können

Die meisten haben evtl. auch mal andere Sachen aufm Plan, z.B. Arbeiten....

Mach bitte alle versteckten Dateien und Ordner sichtbar und lass diese Dateien :
C:\WINDOWS\system32\amw.dll
C:\WINDOWS\system32\svchost.exe:exe.exe
hier Virustotal
hier virscan.org
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Hi,

mir der C:\WINDOWS\system32\svchost.exe:exe.exe wird das nicht funktionieren, das ist ein ADS. Um den Scannen zu können, muss er erst in eine normale Datei extrahiert werden. Das geht unter anderem mit Catchme. Das Programm am besten nach C:\ schreiben, die benötigte Befehlszeile für die Eingabeaufforderung lautet dann:

Code: Alles auswählenAufklappen

ATTFilter

C:\catchme.exe -c C:\WINDOWS\system32\svchost.exe:exe.exe C:\bad.file
         

die kopiert den ADS nach C:\bad.file, die sich dann online scannen lässt.

Vermutlich ein Sdbot, der auch eine gute Ursache für den Traffic wäre.

Gruß, Karl

Vielen, vielen Dank für eure Hilfe ... momentan funktioniert (für mich) keine der 3 Scan-Seiten, gibt es da noch andere?
Diese "svchost.exe:exe.exe" Datei habe ich auch in Verdacht! Als ich wieder dieses Problem hatte, haber ich TcpView mitlaufen lassen, und da waren über 30 Prozesse die von dieser Datei ausgingen! Kann es etwas damit zu tun haben?

Hallo

und vielen Dank Karl für die Erklärung

@nameless91 versuch dann mal hier
Virus.Org :: Malware Scanning Service
die Dateien ünerprüfen zu lassen.

MFG

Vielen Dank nochmals für den Link, aber ich kann die Datei "amw.dll" einfach nicht hochladen! Jotti ist überlastet, und alle anderen Seiten brechen bei dieser Datei entweder ab oder laden sie einfach nicht hoch.
"amw.dll" ist 32KB gross und "svchost.exe" 17KB, jedoch hat diese Datei heute morgen wieder angefangen wie wild zu senden, habe diesen Prozess dann mit TcpView beendet und da war erstmal Ruhe ... was kann ich denn nun bloss tun?

Im Grunde solltest du deinen Rechner neu aufsetzen. Zur schnellen Hilfe, damit du Daten usw sichern kannst und vor allem dein Rechner nicht mehr Daten versendet, solltest du SDfix nehmen: HijackThis.de Support Board - Einzelnen Beitrag anzeigen - backdoor.ciadoor

Nachtrag: Aus neugier. Hat die Malware dir Antivir gekillt?

Vielen Dank nochmals für die Hilfe, habe soeben SDFix ausgeführt, hier das Ergebnis (Modem sendet momentan nicht, bleibt das so?):


SDFix: Version 1.113

Run by **** on 31.10.2007 at 12:41

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
ICF

ImagePath:
C:\WINDOWS\system32\svchost.exe:exe.exe

ICF - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\Dokumente und Einstellungen\****\spooldr.ini - Deleted
C:\WINDOWS\system32KBRunOnce2.tm_ - Deleted
C:\WINDOWS\system32KBRunOnce2.t__ - Deleted
C:\WINDOWS\system32\8_exception.nls - Deleted
C:\WINDOWS\system32\KBRunOnce2.t__ - Deleted
C:\WINDOWS\system32\kr_done1 - Deleted
C:\WINDOWS\system32\svcp.csv - Deleted
C:\WINDOWS\system32\winsub.xml - Deleted
C:\WINDOWS\Temp\$_2341233.TMP - Deleted
C:\WINDOWS\Temp\$_2341234.TMP - Deleted
C:\WINDOWS\Temp\$b17a2e8.tmp - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
: ADS Found!

svchost.exe: deleted 24064 bytes in 1 streams.

Checking for remaining Streams

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2007-10-31 12:48:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ESENT]
"EventMessageFile"=str(2):"c:\windows\system32\ESENT.dll"
"CategoryMessageFile"=str(2):"c:\windows\system32\ESENT.dll"

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Valve\\Steam\\SteamApps\\****\\counter-strike source\\hl2.exe"="C:\\Programme\\Valve\\Steam\\SteamApps\\****\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"C:\\Programme\\Azureus\\Azureus.exe"="C:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"D:\\mule\\emule.exe"="D:\\mule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\DC++\\DCPlusPlus.exe"="C:\\Programme\\DC++\\DCPlusPlus.exe:*:EnabledC++"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealOne Player"
"C:\\Programme\\ReGetDx\\regetdx.exe"="C:\\Programme\\ReGetDx\\regetdx.exe:*:Enabled:ReGet 4.2"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:svchost"
"C:\\Programme\\Valve\\Steam\\Steam.exe"="C:\\Programme\\Valve\\Steam\\Steam.exe:*:Enabled:Steam"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Tue 24 Jul 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Wed 31 Oct 2007 108 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys"
Tue 30 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f318bade90cc090b31a507f2d14a9cc8\BIT25.tmp"
Tue 24 Jul 2007 4,348 ...H. --- "C:\Dokumente und Einstellungen\****\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Tue 24 Jul 2007 20 A..H. --- "C:\Dokumente und Einstellungen\****\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Tue 24 Jul 2007 312 ...H. --- "C:\Dokumente und Einstellungen\****\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Tue 24 Jul 2007 1,536 A..H. --- "C:\Dokumente und Einstellungen\****\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2lic.bak"

Finished!


Kann mir jemand hierzu eine Auswertung geben? Und bedeutet "Rachner neu aufsetzen" = C: formatieren bzw. Neuinstallation? Würde gerne alles so lassen, natürlich nur falls das Problem nun behoben ist ... also, ich danke erstmal sehr für die Hilfe, was nun?

edit: AntiVir habe ich wieder deinstalliert, das war nicht die Malware.

Du hast noch das Problem mit der tcpip.sys, denke ich? Das Problem ist, das bei dir auch noch ein Zhelatin/Stormwurm aktiv (ist?) war. Ich wuerde deinem Rechner nicht mehr so viel anvertrauen, was Passworte und aehnlichem angeht.
Aendern solltest du deine Passworte auf jeden fall, die du auf dem REchner genutzt und gespeichert hast. Mache das bitte nicht auf diesem Rechner, da dieser noch infiziert sein koennte.

Neu aufsetzen bedeutet Forimatieren und co. Irgendwo gab es eine schoene Anleitung dazu. Ich glaube es war diese: http://www.trojaner-board.de/12154-a...sicherung.html

Wie gesagt, diesen Schritt solltest du meiner Meinung nach machen.

Die "tcpip.sys" wurde bereinigt, davon scheint nichts mehr übrig ... was ist ein "Zhelatin/Stormwurm" und ist dieser denn noch aktiv? Ist das irgendwie nachprüfbar?
Besteht nun noch eine Gefahr? Meinem Modem geht es nun wunderbar und ich könnte ja noch ein Virenprogramm drüberlaufen lassen ... was ist mit onlinebanking bzw. Kreditkarteninformationen? Kann hier etwas geklaut worden sein? Für eine weitere Meinung wäre ich nochmals sehr dankbar!

Gehe davon aus, das alle Passworte und Zugangsdaten, die auf dem Rechner gespeichert waren und die waerend der infektion benutzt wurden alle geklaut wurden!

Wenn der Sturmwurm noch aktiv waere,k wuerde dein Rechner wieder Daten verschicken... Kontrollscans sind nie falsch! Escan und HijackThis log auch nicht.

Nochmal gesagt, plattmachen waere das beste...

Wie sieht es mit dem onlinebanking, eBay Passwörtern usw. aus, ist die Wahrscheinlichkeit wirklich so gross, dass diese (gerade über eine verschlüsselte Verbindung!) Daten an Dritte weitergeleitet worden sind?

Zitat:

(gerade über eine verschlüsselte Verbindung!)

Die verschlüsselte Verbindung ist da irrelevant, da über die Backdoor des Sdbot oder wasauchimmer-bot längst schon ein Cracker den Vollzugriff auf deinen Rechner hatte und dadurch einen Keylogger installieren konnte. Die Möglichekeit jedenfalls besteht. Willst du das Risiko eingehen? Ich würde es nicht und auch wie mein Vorredner "raman" dir empfehlen, das System neu aufzusetzen.

OK, ich verstehe ... aber nach Änderrung aller meiner Passwörter wäre ein Zugriff doch nichtmehr möglich (vorrausgesetzt der Virus ist entfernt), oder? Was würde da eine komplette Neuinstallation des Systems bringen?