Zitat:

Grund für Entwarnung aber nicht, denn die Netzwerkwürmer waren bei Dir definitiv aktiv.

Jetzt interessiert mich aber schon, was genau die gemacht haben. Könntest du mir die Stelle mal zeigen?

Zitat:

Zitat:
Und hier nun der Link zum filelisting (ich hoffe, das ist alles richtig so...):
http://www.file-upload.net/download-1304885/folder.htt.html

Das ist leider falsch, Dir ist da ein Fehler unterlaufen. Mit der Datei folder.htt kann ich nichts anfangen, ich brauche die listing.txt!

Ok, ich poste das hier gleich nochmal.

Zitat:

Code:
C:\Programme\Internet Explorer\IEXPLORE.EXEDen solltest Du auf keinen Fall mehr weiterverwenden, viel zu unsicher, lässt sich unter Windows 2000 auch nicht mehr auf die sicherere Version 7 updaten, M$ will das wohl nicht.
Nimm besser Firefox oder Opera in stets aktuellen versionen.

Während der Bereinigung habe ich Firefox gelöscht...(Ja, absichtlich)
Weil der immer so langsam lief, und wenn man was schreiben wollte, dauerte es ewig, er hat dann auch so laut gearbeitet.. Meinst du, das ginge jetzt wieder anständig? Dann lad ichs mir gleich nochmal runter. Mein Antivirus versucht auch grad sich zu updaten. Bin gespannt, ob das jetzt klappt!

Zitat:

Combofix - Scripten

Jep, moment!

Zitat:

Jetzt interessiert mich aber schon, was genau die gemacht haben. Könntest du mir die Stelle mal zeigen?

Dieser msupdate32.exe scheint vom W32.Spybot zu stammen, muss aber nicht! Der ist schon recht alt, aber da die Dinger neue Lücken reißen kann auch weiteres noch Unentdecktes Zeuch auf Deinem System schlummern.
Netzwerkwürmer versuchen sich immer weiter zu verbreiten. Die kippen Deine Internetleitung mit Kopien von sich zu, um weitere verwundbare Systeme zu infizieren, oder die Leitung von Dir wird dichtgekippt mit Spam, sodass Dein System für einen kleinen Teil der Abermillionen Junkmails in Postfächern weltweit ist.
Eigentlich kann da die ganze Palette drin sein, alles ist möglich, Du solltest auch davon ausgehen, dass alle Eure Passwörter nun bekannt sind, denn die Dinger können Passwörter mitloggen bei der Eingabe.

Naja, das mit Firefox kann ich nicht so ganz nachvollziehen, welche Version war das und was für Hardware hast Du? Interessant sind besonders CPU und RAM. Da Du noch Windows 2000 hast, würde ich vermuten, dass der PC schon älter ist.

Zitat:

Der ist schon recht alt, aber da die Dinger neue Lücken reißen kann auch weiteres noch Unentdecktes Zeuch auf Deinem System schlummern.

Tja, dann ist Neuaufsetzen wohl unumgänglich...

Zitat:

Die kippen Deine Internetleitung mit Kopien von sich zu, um weitere verwundbare Systeme zu infizieren, oder die Leitung von Dir wird dichtgekippt mit Spam, sodass Dein System für einen kleinen Teil der Abermillionen Junkmails in Postfächern weltweit ist..

Bekomm auch immer wieder dieselben Junkmails. Herr X in Afrika ist gestorben und will mir seine Millionen vermachen. Damit alles glatt geht, soll ich denen meine Kontodaten übermitteln (Echt, keine Sorge, SO DAUig bin ich auch nicht!) Aber es ist schon komisch, dass ich so ca einmal in der Woche mindestens eine Mail davon im Postfach habe. Es geht immer um das gleiche, nur der Name, das Land und die Summe ändern sich. Ich bekomme fast ausschliesslich solche unerwünschten Mails. Habe aber nie nen Link geklickt in ner Mail, oder so, aber ich dachte vor ner Weile schonmal, dass das vielleicht zusammenhängen könnte? Aber nur durch das Öffnen einer Mail (nicht den Anhang) kann doch schadprogrammmäßig nichts passieren?

Macht sich der Besitzer dieses Pcs eigentlich strafbar, wenn so was auf dem Pc abläuft?

Zitat:

Du solltest auch davon ausgehen, dass alle Eure Passwörter nun bekannt sind, denn die Dinger können Passwörter mitloggen bei der Eingabe.

Zum Glück macht bei uns keiner Onlinebanking, nur ich hab nen Ebay account. Ist aber nichts auffälliges dort passiert. Ich nutz das Konto nur zum gucken. Brauches auch garnicht, werds wohl gleich löschen.

Zitat:

Naja, das mit Firefox kann ich nicht so ganz nachvollziehen, welche Version war das und was für Hardware hast Du? Interessant sind besonders CPU und RAM. Da Du noch Windows 2000 hast, würde ich vermuten, dass der PC schon älter ist.

Puh, die Version.... Das war erst vor ca zwei Wochen. Ich glaube ich habs bei zdnet geladen, bin mir nicht ganz sicher. War aber die aktuellste Version, die für Windows 2000 zu haben war. (3.0.4.??)
Ja, die CPU und RAM Werte würde ich auch gerne wissen. Nur leider weiss ich noch nicht, wo ich das auf dem System ablesen könnte. Ich weiss zwar, dass das irgendwie geht, aber wie noch nicht... Gebrauchsanweisung und sowas, wo das drinsteht, haben wir hier natürlich auch nicht... (Schluder, schluder) Der Pc ist so sechs oder sieben Jahre alt. Ich interessiere mich auch für Windows XP, aber das muss ja auch mit der Hardware passen.

Zitat:

Bekomm auch immer wieder dieselben Junkmails.

Ich meinte eher die andere Richtung. Spam bekommen und Spam versenden (ohne wirkliche Kenntnis des Benutzers darüber) sind zwei Paar Schuhe. Dass man Spam empfängt, dagegen kann man kaum was tun bis auf ein paar Regeln, die das Spamaufkommen im eigenen Postfach auf ein Minimun reduzieren.

Aber dadurch, dass die eigene Kiste infiziert ist und deswegen der Rechner womöglich noch gleich in ein Botnetz ist, wird man selbst zum Gefahrenherd, da die aktive malware Spam versendet!

Zitat:

Macht sich der Besitzer dieses Pcs eigentlich strafbar, wenn so was auf dem Pc abläuft?

Naja, rein theoretisch schon. Der Provider kann auch in Notfällen den Internetanschluss sperren wenn nichts anderes mehr greift. Ob es deswegen schon zu Verurteilungen gekommen ist, weiß ich nicht. Bei dem Spamaufkommen weltweit wird aber auch nicht überprüft, welche Mail da von wem genau gekommen ist. Ich denke das ist auch schon weitgehend bekannt, dass viele ONUs vor ihren versifften Kisten sitzen und davon garnichts wissen, dass "ihre" aktive Malware munter rumspammt.

Zitat:

Ja, die CPU und RAM Werte würde ich auch gerne wissen. Nur leider weiss ich noch nicht, wo ich das auf dem System ablesen könnte.

Eigenschaften von Arbeitsplatz stehen gleich Informationen über den Computer. Noch genauer gehts mit Everest Home

Zitat:

Eigenschaften von Arbeitsplatz stehen gleich Informationen über den Computer. Noch genauer gehts mit Everest Home

Motherboard : AMD-K6-2, 400MHz (4x100)
Arbeitsspeicher : 64MB
Grafikkarte : 3dfx Interactive, inc. Voodoo3 (16MB)
Monitor : 17"CRT
Festplatte : 8GB 5400 RPM

Also, wenn ich das mit aktuellen Werbeprospekten vergleiche, dann ist der schon ziieemlich alt

Der ist uralt, das war so ziemlich genau vor 10 Jahren mal in

So, jetzt habe ich die richtige Datei verlinkt:

http://www.file-upload.net/download-...sting.txt.html

Ok, ein "Link" ist das trotzdem nicht geworden....(Editiert)

Na, jetzt versteh ichs endlich!!

Ich warte noch auf das Combofix - Scripten

Hmm, das ist komisch, ich wollte gerade das Combofix - Scripten starten, und meinen Antivir Guard deaktivieren, doch der ist nicht zu finden! Der taucht auch nicht im Statusmenü in der Übersicht auf. Im Expertenmodus kann ich ihn auch nicht finden und bei Rechtsklick auf den Schirm in der Taskleiste finde ich ihn auch nicht.... Der Schirm ist auch geöffnet. Als ich den runtergeladen habe, war der Guard noch überall zu finden. Das ist echt komisch, werde den eben noch mal neu runterladen.

Ist der noch installiert?
Wenn nicht, und der auch nirgendwo im Taskmanager auftaucht, kannst Du den später nachinstallieren. Mach das dann erst mit Combofix.

Also, ich fasse mal kurz zusammen, was die letzten Stunden passiert ist:

Als erstes kam meine Schwester bei mir an, und erzählte mir, sie hätte nen Link über ICQ bekommen, wie alle ihre Freunde dort, den sie dann natürlich auch anklicken musste! Sie wurde dann auf eine Seite namens versaute Klassenfahrt umgeleitet(Ja, ich habe sie gebeten, nie wieder Links bei iCQ anzuklicken!). Das war vor zwei Tagen. Und ich wundere mich, das der PC heute Probleme beim runterfahren hat, und das sich das Internet nicht automatisch trennt, wie sonst immer!

Dann habe ich grade den Combofix ausgeführt und als er den Logfile angezeigt hat, kam die Meldung

Zitat:

Combofix muss Malware zur weiteren Analyse zur Verfügung stellen

und zwar war das "C:/Quoobox/Quarantäne/[4]-Submit".
Also, beim ersten Mal ist diese Meldung nicht gekommen, haben wir uns jetzt schon wieder was eingefangen? (Vielleicht dank ICQ?)Neuer Hijackthis?)

Naja, dann ist da noch das Problem, das der Logfile nicht zu finden ist? Der alte ist noch da, aber mit Datum von gestern(dachte, vielleicht hätte sich der neue da mitreingestellt, aber kann ja eigentlich auch nicht...). Werde mal weitersuchen. Der kann ja nicht einfach weg sein. Aber musste auch wieder neu starten, weil der komplett eingefroren ist. Wenn ich ihn gleich finde, poste ich ihn.

Saublöd das ganze.
Konsequenz: Der Schwester die Adminrechte entziehen oder gleich PC-Verbot.
Wenn Ihr daran nicht nachhaltig was dran verändert, dann werdet Ihr immer wieder Opfer von Malware, dann bringt auch das ganze Neuaufsetzen nix mehr, wenn Ihr Euch ständig neu infiziert.

Du kannst im Grunde mit der Liste von vorne anfangen. Bitte alle Logfiles der Liste nach neu erstellen und hier mit Codetags umschlossen posten.

Zitat:

Saublöd das ganze.
Konsequenz: Der Schwester die Adminrechte entziehen oder gleich PC-Verbot.
Wenn Ihr daran nicht nachhaltig was dran verändert, dann werdet Ihr immer wieder Opfer von Malware, dann bringt auch das ganze Neuaufsetzen nix mehr, wenn Ihr Euch ständig neu infiziert.

Echt zum kotzen, habe mir gedacht, ich richte Benutzerkonten ein, nachdem wir neuaufgesetzt haben! Wusste ja nicht, dass innerhalb von zwei Tagen gleich wieder was neues draufkommt... Habe grade für jeden ein Konto eingerichtet und nur noch die werden genutzt.

Zitat:

Du kannst im Grunde mit der Liste von vorne anfangen. Bitte alle Logfiles der Liste nach neu erstellen und hier mit Codetags umschlossen posten.

Sorry, mein erster Gedanke war: OH NO.... Aber gut, was solls, gleich alles nochmal. So lernt man auch neues, indem man alles wiederholt
Mit Codetags umschlieesen oder doch lieber als Link setzten (nach deiner Anleitung)?

Ähm, die letzte listing.txt kann ich einfach nicht mehr finden.

Sieh aber auch zu, dass die Konten nur Benutzer- und keine Adminrechte bekommen! Auch keine Hauptbenutzerrechte! Das Administratorpasswort sollte auf keinen Fall leer oder zu einfach zu erraten sein und am besten nur Du wissen oder zumindest der, der sich mit der Materie auskennt. Denn nur der kann systemweit Programme installieren oder das System manipulieren.

Die alte listing.txt ist jetzt egal, Du solltest eh nun neue Logfiles erstellen. Soweit es geht, bitte um Codetags umschlossen posten (keine Zitat-Tags!!).

Zitat:

Sieh aber auch zu, dass die Konten nur Benutzer- und keine Adminrechte bekommen! Auch keine Hauptbenutzerrechte!

Alles eingeschränkte Benutzerkonten!

Zitat:

Das Administratorpasswort sollte auf keinen Fall leer oder zu einfach zu erraten sein und am besten nur Du wissen oder zumindest der, der sich mit der Materie auskennt.

Soll ich das als Kompliment auffassen???

Zitat:

Soweit es geht, bitte um Codetags umschlossen posten (keine Zitat-Tags!!).

Oha, den Fehler habe ich garnicht bemerkt...!
Dann mache ich das hier jetzt hoffentlich mit dem neuen Hijackthis-Logfile richtig:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:09:34, on 09.12.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\LXSUPMON.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AGFEO\ISDN Guard\agfguard.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tkmedia.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\cidaemon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MSConfig] C:\Dokumente und Einstellungen\egal\Desktop\msconfig.exe /auto
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228092357738
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.130 212.6.108.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.130 212.6.108.131
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Health Center Service (HCenterSer) - Unknown owner - c:\RECYCLER\tesktog.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINNT\SYSTEM32\slserv.exe
O24 - Desktop Component 0: (no name) - h*tp://w*w.richard-universum.de/blog/wp-content/uploads/2006/05/blumen.jpg

--
End of file - 4589 bytes