Bei Zeus!
Ich muss leider ganz von vorne Anfangen.

Mein System:
Win XP Professional SP1
Internet Explorer 6.0

Gestern Abend begann das Problem damit, dass nach Anwahl eines Googel Eintrags mal wieder ununterbrochen Popups aufgingen. Während ich dabei war diese zu schließen meldete mir AnitVir das ein Trojaner gefunden worden wäre, gleichzeitig gelangte ich an ein Popupfenster welches sich nicht mehr schließen ließ. Erst ließ ich AntiVir die Datei in die Quarantäne stecken. Aber ich bekam von da an ununterbrochen Trojaner Meldungen.
Welche ich daraufhin löschen ließ (die Trojaner meine ich).
Keine Ahnung ob das die korrekte Bezeichnung ist aber, aber der Trojaner wurde als :
TR/Java.ByteVerify angegeben.

Mit Hilfe des Task Managers bekam ich dann auch endlich das Popupfenster geschlossen.
Nachdem ich dann erneut den IE startete hatte ich folgende Seite als Startseite: [http//hozbmm.outhost.info]
Diese Seite lies keine Anwahl einer anderen mehr Seite zu.
Auch über Internetoptionen lies sich diese Seite nicht mehr ändern da alle Buttons grauhinterlegt waren.

Ich versuchte über den Windows Explorer im Startverzeichnis Plötzlich neu aufgetauchte Kopie der Verknüpfung mit dem IE zu entfernen. Die war nicht möglich da sich der Explorer immer wieder schloss wenn ich das Symbol mit der rechtern oder Linken Maustaste anklickte.
Darauf hin versuchte ich den Registrierungseditor zu öffnen. Dieser schloss sich aber immer wieder nach zwei Sekunden.

Daraufhin tat ich wohl das dümmste was ich machen konnte.
Ich versuchte zur letzten Lauffähigen Version zurück zu kehren.
Nach dem Neustart des Rechners brach dann ein Sturm von Popupfenstern auf mich herein.
Nach dem ich mich wieder mit dem Task Manager Beholfen hatte, versuchte ich erst einmal AntiVir laufen zu lassen. Zunächst bekam ich mehrer Trojaner gemeldet.
Außerdem wurde mir eindauernd das laut AV „bösartige“ Backdoorprogramm: BDS/HacDef.073.B1 gemeldet.

Unter anderem in den Dateien: “hxdefdrv.sys“ und in Archivdateien im Verzeichnis welches für das Recovern zuständig ist.
Außerdem wurden Cax.cap und andere Dateien als Verseucht angezeigt.
Ich trennte die Verbindung zum Netz durch abtrennen des Netzwerkkabels.

Ich versuchte den Rechner nun im Abgesicherten Modus zu Starten.
In der Registry versuchte ich es nun zunächst einmal über : HKEY_CURRENT_USER\Sotfware\Policies\Microsoft\InternetExplorer\Controlparameter.
Und veränderte den Wert hier auf Null.
Ich habe dann versucht alle Einträge Gründlich zu löschen.
D.h. Temp Ordner, Temp.Internetfiles, Cookis, .Inf datein,
In der Datei Hosts im System32 Verzeichnis befanden sich an die Hundert einträge die alle entfernt habe. (fast alle bezogen sich auf folgende IP Adresse die definitiv nicht meine ist: 213.159.118.228. )


Jedenfalls habe ich alle Einträge gelöscht denen ich igendeine Bedeutung für das Problem untstellt habe.
Auch unter HKEY_CURRENT_USER / Software / Microsoft / Internet Explorer / Main
habe ich alle Einträge gelöscht bzw. wieder hergestellt.
Außerdem dem habe ich alle Sicherheitsoptionen auf Maximum gestellt. D.h. Java und AktivX wurden deaktiviert.

Nach Neustart des Rechners (noch ohne Netz) schien auf den Ersten Blick alles in Ordnung zu sein. Zumindest lies sich im Internet Explorer wieder eine Andere Seite eintragen.
Na Wiederherstellung der Internetverbindung konnte ich auch alle möglichen Seiten wieder ansurfen. Aber jetzt kommst. Als ich www.HijackThis .de als Adresse angegeben hatte, schloss sich Internet Explorer. Nach dem ich in erneut aufgerufen hatte, wurde wieder eine Geöffnet: und zwar wieder eine aus dem Horstsordner den ich vorher geleert hatte.
Wenn ich allerdings schnell z.B. T-online anwähle geht das auch ohne weiteres. Versuche ich es aber mit Hijackthis.de wird der IE erneut beendet.
Auch die Regedit ist wieder nur für 2-3sek. zu öffnen.
Auch der Versuch HijackThis mit einem Anderen Computer herunter zu laden und dann auf den Problemrechner zu überspielen ist nicht möglich.

Folglich kann ich auch leider keine Logdatei erstellen.

Irgendwie habe ich das Gefühl ich habe es nicht mehr mit einem Trojaner zu tun sonder mit einer Hydra oder vielleicht hab ich ja die Büchse der Pandora geöffnet.
Hilfe die Antiken Griechen haben sich gegen mich verschworen.

Also, wer kann mir Helfen und mir den Rotenfaden geben damit ich aus diesem Tempel des Minotaurus herausfinde.

Seven

Hallo,
du willst doch nicht ernsthaft, an deinen hochgradig verseuchten System, weiter rumfrickeln. Deine Dateien und Passwörter sind als bekannt anzusehen, daraus resulitiert: Neuaufsetzen deines Systems, da es für dich nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung

Bei dir sind aktive Trojaner mit Backdoor Funktionalität wie z.B. BKDR_AGOBOT.LS am laufen:

Zitat:

his backdoor comes with a built-in Internet Relay Chat (IRC) client engine. It enables this malware to connect to an IRC channel, and await commands from a malicious user. This malware is able to perform the following actions:

* Change IRC server
* Disable DCOM
* Disable network shares
* Disconnect/reconnect from IRC server
* Download and execute a file from an HTTP or FTP server
* Execute a .EXE file
* Flush DNS cache
* Join a channel
* Kill a process
* Leave a channel
* List all running processes
* Log off current user
* Open a file
* Open and execute a file
* Restart machine
* Resolve IP or host name by DNS
* Retrieve malware status
* Send a private message through IRC
* Shutdown system
* Spawn the command shell
* Steals system information, such as the following:
o CPU speed
o Free/total RAM
o Malware uptime
Currently logged-in user
* Terminate the malware
* Update the malware through HTTP or FTP

Info: http://de.trendmicro-europe.com/ente...BOT.LS&VSect=T

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:
1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. Deine Passwörter ändern
8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
9. Surfverhalten überdenken

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

Ok ich stampfe das System ein und installiere XP neu.
Allerdings habe ich kein anderes, 100% Sicheres System zu verfügung.
(siehe "so langsam gehen mir die Rechner aus")

Ich denke mal für die Ersten Treiber updates werden sie aber ausreichen.
Aber was ist mit dem Windows update usw. ?

seven

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt esAlternativen zu Outlook wie Eudora, foxmail, The Bat) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, keine wirklich bekannten mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen, ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen

So wärend ich mich mit den anderen Rechnern herumgeschlagen habe, habe ich nun auch mein XP installiert. (Und dabei oh welche Freude auch noch 25GB zusätlichen unvormatierten Festplatten Platz gefunden )
Dumm nur das der wwar jetzt angezeigt wird aber sich nicht Formatieren lässt .Aber da gehört ja hier gar nicht hin.

Aber ich sollte ja die XP Firewall aktivieren.
(Eigenschaften von Netzwerkumgebung und dann auf Eigenschaften von Lan-verbindung und unter erweiter ein Häkchen machen)
Nur was muss ich einstellen damit ich von anderen Rechner im Netzt noch auf den XP zugreifen kann?
Ich benutze übrigens einen Fly4L Sever als Router. Allerdings ohne Maskierung.

Sollte ich jetzt nicht vieleicht einfach so das Update machen?
Und dann direkt AntiVir Installieren?
Ich denke den Rest könnt ich dann zur not besser in einem anderen Forum klären.

Seven