Hi!
Hab grad den PC einer Freundin hier und ca. von 97.000 Trojaner befreit.
Nun wollte ich mal einen Onlinevirenscanner nutzen (in diesem Fall pandasoftware.com) doch die Seite pandasoftware.com wird garnicht mehr aufgebaut (wird nicht gefunden).
Dann wollte ich über windowsupdate ein paar updates einspielen aber es erscheint immer nur eine weiße Seite...

Hijack sagt das:

Logfile of HijackThis v1.97.7
Scan saved at 23:55:48, on 30.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\WINDOWS\System32\oodag.exe
\Pc1\C\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: LBBHO - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [restrictanonymous]

O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKCU\..\Run: [MSN Messenger] ufapwmw.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\RunServices: [MSN Messenger] ufapwmw.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E77E518D-A2FD-4FFC-B4B3-1CE645A649C5}: NameServer = 192.168.0.1


Lässt sich noch was retten oder muss ich alles neu raufspielen? wollt ich eigentlich vermeiden

Achso, außerdem komme ich in der Systemsteuerung nicht mehr in die Benutzerverwaltung... Da kommt auch immer nur ne weiße Seite zum vorschein...

Das Programm Desktop Messenger enthält Spyware.
Also am besten deinstallieren.

Im abg. Modus fixen:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: LBBHO - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - C:\WINDOWS\lbbho.dll
O4 - HKCU\..\Run: [MSN Messenger] ufapwmw.exe (wenn du den Messenger deinstallierst)
O4 - HKCU\..\RunServices: [MSN Messenger] ufapwmw.exe (auch)

Danach C:\WINDOWS\lbbho.dll suchen und löschen.

Zum Schutz gegenüber solcher Unangenehmlichkeiten verwende einen anderen Browswer: www.firefox-browser.de ist schnell, sicher und kostenlos.

So, und jetzt kannst du www.windows-update.com nutzen.

Zitat:

Zitat von *Christian*

So, und jetzt kannst du www.windows-update.com nutzen.

Nur ein kleiner Tipp!
Bevor Du Rechner und InternetExplorer aktualisierst, solltest Du mit einem anderen Virenscanner als Norton (also z.B. mit einem Onlinescanner oder mit eScan) mal überprüfen, ob und ggf. was noch an Malware gefunden wird. Da der Patch-Stand des Rechners sehr alt ist ( Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000)), kommt da einiges an Downloads zusammen. Wenn Du den Rechner gestern von '97.000 Trojanern' befreit hast, solltest Du imho lieber über eine Neuinstallation des Systems nachdenken und erst anschließend aktualisieren.

Hi! Also ich habs genauso gemacht wie Christian es gesagt hat, aber das Windowsupdate geht immernoch nicht! Genausowenig wie ich einen Active-X Onlinescanner benutzen kann.
Also werd ich es jtzt mit diesem e-scan versuchen, wobei ich schon Antivir benutzt hatte und das hat ja einiges entfernt.

Das neuinstallieren besser wäre weiß ich, nur das will sie nicht. Also muss ichs irgendwie so hinkriegen.
Hat sonst nich einer ne Idee?

Es gab übriegens keine C:\WINDOWS\lbbho.dll sondern nur eine inf mit dem gleichen Namen...

Mag vielleicht eine blöde Frage sein, aber wie sind denn die Einstellungen für Active-X in den Internetoptionen? Da auf dem PC Norton IS drauf ist, wird Active-X ja vielleicht auch dort einfach geblockt?

Ich will Norton ja auch runterschmeissen, nur lässt es sich nicht deinstallieren. Und mit dem Removal von der Symantecseite geht es auch nicht.

Dieses e-scan ist echt gut, bis jetzt hat es schon 5 Backdoors gefunden die sonst kein Scanner gefunden hat...

Das mit den Deinstallationsproblemen hat man leider häufig, da kann ich allerdings im Moment auch nicht viel helfen. Kannst du denn wenigstens überprüfen, ob das Active-X-Problem eventuell daher rührt?

Also Norton ist nicht aktiv, also sollte der damit wenig zu tun haben (wobei ich natürlich nicht weiß inwieweit Norton an sein muss wenn es installiert ist). Früher wars bei mir jedenfalls so wo ich Norton auf meinem PC hatte musste es auch an sein, sonst kam ich nicht ins Internet.

Und sonst sind die Active-X Einstellungen alle ok.

Zitat:

Zitat von Bluebird

Dieses e-scan ist echt gut, bis jetzt hat es schon 5 Backdoors gefunden die sonst kein Scanner gefunden hat...

Ein Grund mehr, lieber gleich den Rechner neu zumachen. Es kann Dir, bzw. der Freundin mittlerweile alles mögliche untergeschoben worden sein. Unter anderem Dinge, die für das Fehlverhalten verantwortlich sind.
Selbst wenn Du die Backdoors 'sauber' entfernt bekommen solltest und 'irgendwann' activeX und somit das WIndowsupdate wieder funktionieren sollte, weißt du nicht, ob das System wirklich wieder sauber ist.

Deswegen nochmal:
Ich würde relevante Daten sichern (brennen, wenn möglich), das System komplett neu aufsetzen, dann aktualisieren und im günstigen Fall ein Image davon erstellen. Alles andere ist potentiell unsicher!

Da du ja schon erfolglos eine Deinstallation versucht hats, weiss man natürlich nicht, inwieweit Norton jetzt überhaupt noch funktioniert oder reagiert, wie siehts denn im Taskmanager aus, sind da auch tatsächlich keine Einträge davon zu sehen?

Ich würde auch sagen, dass eine Neuinstallation dir wahrscheinlich viel Zeit erspart hätte und nach wie vor das beste wäre, auch wenn ich verstehe, dass man das nicht gern macht, vor allem, nachdem du jetzt schon so weit gekommen bist. Wichtig wäre auf jeden Fall auch, dass man überlegt, wie die vielen Viren auf den PC gekommen sind. Hinweise für das Surfverhalten, Verwendung alternativer Browser, unnütze Dienste beenden usw. wären zwar jetzt nicht akut aber mittelfristig dann auch noch notwendig.

Ich werd jetzt formatieren... Ich weiß genau wie die Viren da raufkommen, da sie n Modem hat und trotzdem ca. 4 GB an Musik auf dem PC Alles über Kazaa wie es aussieht... Außerdem war da keine Firewall aktiv und kein Virenscanner.
Zieh den ganzen Kram grad bei mir auf den PC (werd da dann vorsichtshalber auch n Virenscanner drüber laufen lassen). Und dann wird formatiert, ob sie das nun will oder nicht.
Gibts ne Empfehlung für euch welche Programme ich hinterher zum absichern nehmen soll? Hab eigentlich an Antivir gedacht zusammen mit Norman Personal Firewall (von ner PC-Welt CD). Sollte möglichst kostenlos sein!

Nach der Neuinstallation wäre es gut, VOR dem ersten Onlinegehen, für die entsprechende Verbindung die XP-Firewall zu aktivieren und danach sofort per Windowsupdate alle entsprechenden Patches zu installieren. Noch besser ist es, gleich alle Dienste, die nicht benötigt werden, zu deaktivieren, siehe www.dingens.org somit schliesst du schon mal in Verbindung mit der XP-Firewall Sasser, Blaster und Konsorten aus, bis du die dafür nötigen Patches drauf hast. Eine weitere "Firewall" ist dann auch im Prinzip überflüssig, Antivir ist als kostenloser Scanner ok, solange er regelmäßig aktualisiert wird, E-Scan kann ja zusätzlich zu Überprüfungen immer mal verwendet werden.

Außerdem sollte man außer für das Windowsupdate auf den IE verzichten und lieber einen der sichereren und besseren Alternativbrowser wie Firefox, Mozilla und Opera (gibt es jetzt auch mit IE-Setup, so dass der Umstieg leichter fällt) verwenden, auch Outlook kann gut durch ein anderes Programm ersetzt werden, Thunderbird oder Foxmail beispielsweise. Diese (Browser) dann noch entsprechend konfigurieren (Java-Script deaktivieren ausser für absolut vertrauenswürdige Seiten beispielsweise) und der PC ist schon um einiges sicherer als bisher. Zudem sind Dinge wie Popupblocker bereits integriert, so dass man auch hier keine Extrasoftware benötigt.

Zitat:

Zitat von MountainKing

Nach der Neuinstallation wäre es gut, VOR dem ersten Onlinegehen, für die entsprechende Verbindung die XP-Firewall zu aktivieren und danach sofort per Windowsupdate alle entsprechenden Patches zu installieren. Noch besser ist es, gleich alle Dienste, die nicht benötigt werden, zu deaktivieren, siehe www.dingens.org somit schliesst du schon mal in Verbindung mit der XP-Firewall Sasser, Blaster und Konsorten aus, bis du die dafür nötigen Patches drauf hast. Eine weitere "Firewall" ist dann auch im Prinzip überflüssig, Antivir ist als kostenloser Scanner ok, solange er regelmäßig aktualisiert wird, E-Scan kann ja zusätzlich zu Überprüfungen immer mal verwendet werden.

Außerdem sollte man außer für das Windowsupdate auf den IE verzichten und lieber einen der sichereren und besseren Alternativbrowser wie Firefox, Mozilla und Opera (gibt es jetzt auch mit IE-Setup, so dass der Umstieg leichter fällt) verwenden, auch Outlook kann gut durch ein anderes Programm ersetzt werden, Thunderbird oder Foxmail beispielsweise. Diese (Browser) dann noch entsprechend konfigurieren (Java-Script deaktivieren ausser für absolut vertrauenswürdige Seiten beispielsweise) und der PC ist schon um einiges sicherer als bisher. Zudem sind Dinge wie Popupblocker bereits integriert, so dass man auch hier keine Extrasoftware benötigt.

Also bei mir ist ihr PC eh an einem Router mit echter Firewall, somit sollte da nicht allzuviel passieren können. Grade läuft das Update für die wichtigsten Datein und es geht sogar
Also Outlook nutzt sie nicht, das war zwar drauf aber sie hat immer nur Online bei web.de ihre Mails gelesen.
Firebird hatte ich ihr Gestern auch raufgepackt, werd ich dann gleich nochmal machen. Das Problem dabei ist nur das einige Seiten nicht richtig angezeigt werden...

Wenn ich dann zum Schluß wenn ich den PC aus meinem Netzwerk nehme, diesesProgramm von dingens.org starte und den PC als Einzel PC einstelle und die XP Firewall anschalte, dann brauche ich sonst keine Firewall mehr? Und wenn sie sich dann doch noch mal wieder n Trojaner einfangen sollte, dann kann der nicht raustelefonieren bzw auf ihn kann nicht zugegriffen werden?

Naja, es geht bei diesen Vorkehrungen ja darum, dass man verhindert, dass ein solcher Schädling überhaupt auf das System gelangt, denn das passiert ja nahezu immer durch Fehlverhalten des Nutzers, an dem angesetzt werden muss. Wenn sie sich ständig obskure Dateien herunterlädt und alles mögliche installiert, ist es nur eine Frage der Zeit, bevor das System wieder infiziert wird. Wenn du eine Firewall installierst und sie dann glaubt, jetzt kann ich wieder alles mögliche installieren, bin ja gesichert, wäre der -geringe- Effekt der Firewall auch wieder dahin. Wenn man die genannten Dinge beherzigt und Brain 1.0 verwendet ist eine solche Firewall eben überflüssig. Ansonsten, wenn es denn unbedingt sein muss , die Kerio-Firewall wird am ehesten positiv erwähnt. Aber wie gesagt, Brain 1.0 kann man nicht ersetzen.