Hallo,

ich bin Neuling hier im Forum und habe zeit einiger Zeit Probleme mit meinem PC. Alle paar Tage schlägt mein G-DATA Antivirenkit-Scanner an und meldet den Virus BOBAX. Ich lasse die infizierte Datei immer löschen, aber sie wird nicht gelöscht.

Desweiteren habe ich mit Outlook seit einiger Zeit Probleme. Ich schreibe eine Mail und gebe sie ins "Postausgangsbuch". Dort liegt anschließend nachweislich nur eine einzige Mail und wenn ich dann aber auf "Senden" gehe, wird z.B. angezeigt das "1 von 5" oder "1 von 3" Emails gesendet wird und es werden auch tatsächlich 5 oder 3 gesendet, obwohl doch nur wirklich eine im richtige Email im Postausgangsbuch war und auch später unter gesendete Objekte nur diese eine Email angezeigt wird.

Könnte ich vielleicht einen Trojaner auf dem Rechner haben ???

Anbei mein HiJackThis-Log mit der Bitte ob ihr Profis was entdeckt.

Und noch was, was ist der Prozess "E3DE135F - khlmbhi.exe" ???

Logfile of HijackThis v1.98.2
Scan saved at 20:26:53, on 24.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\Programme\Virenschutz\AVKPOP.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\wanmpsvc.exe
E:\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Virenschutz\AVKPOP.EXE"
O4 - HKLM\..\Run: [E3DE135F] C:\WINDOWS\System32\khlmhbhi.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci173.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B63EF82-F035-4CB8-9911-2A83ED6AA36B}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B63EF82-F035-4CB8-9911-2A83ED6AA36B}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{1B63EF82-F035-4CB8-9911-2A83ED6AA36B}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS3\Services\Tcpip\..\{1B63EF82-F035-4CB8-9911-2A83ED6AA36B}: NameServer = 192.168.120.252,192.168.120.253


VIELEN DANK FÜR EURE HILFE

Bobax erklärt deine Outlook-Probleme ziemlich gut, denn es handelt sich dabei um einen Wurm, der Spammmails von deinem PC aus verschickt.

http://www.sophos.de/virusinfo/analyses/w32bobaxa.html

Die von dir genannte exe kannst du hier scannen lassen, sie ist aber mit ziemlicher Sicherheit Bestandteil eines Schädlings:

http://www.kaspersky.com/de/scanforvirus

Versuche mal, deinen PC im abgesicherten Modus zu starten und danach mit deinem Virenprogramm einen vollen Scan durchzuführen.

http://www.trojaner-board.de/63335-w...s-starten.html

Hallo MountainKing,

vielen Dank für Deine Hilfe. Ich werde Deine Hilfe bezüglich des BOBAX Viruses befolgen und ihn "runterschmeissen".

Die Datei khlmhbhi.exe finde ich komischerweise nicht im dem beschriebenen Ordner. Ich habe sie auch schon SUCHEN lassen aber Fehlanzeige.

Ich denke ich werde am Wochenende sowieso meinen PC "platt machen" und anschließend werde ich den PC bevor ich das erstemal online gehe von oben bis unten schützen. Habe mir extra heute ein Firewall-Programm (Zone Alarm PRO 4.5) gekauft und das werde ich dann aufspielen zusammen mit YAW 3.5, A² Personal, Trojancheck 6.02 und dem G-DATA Antivirenkit. Anschließend werde ich noch alle Patches von Microsoft installieren und dann werde ich hoffentlich Ruhe haben.

Nochmals vielen Dank.

ORPIT

Neu installieren ist im Zweifelsfall immer eine gute Idee, ich kopiere trotzdem mal meine Tipliste:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen

Zur grundlegenden Lektüre empfehle ich:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/


Dort findest du auch einige kritische Anmerkungen zu diverser Sicherheitssoftware inklusive Firewalls. Mehr Software bedeutet nämlich nicht automatisch mehr Schutz, viel wichtiger ist das Bekämpfen der Wurzeln des Übels und das sind unsichere Konfigurationen von Diensten und aktiven Inhalten, nachlässiger Umgang mit mailanhängen und ebensolches Surfverhalten, Verzicht auf regelmäßige Updates des Systems.

Hallo MountainKing,

vielen Dank für diese TIPLISTE.

Werde versuchen alles einzuhalten und das Übel wirklich bei der Wurzel packen.

Grüße

Orpit

Zitat:

Zitat von Orpit

Ich denke ich werde am Wochenende sowieso meinen PC "platt machen" und anschließend werde ich den PC bevor ich das erstemal online gehe von oben bis unten schützen. Habe mir extra heute ein Firewall-Programm (Zone Alarm PRO 4.5) gekauft

Man _muss_ das Geld auch nicht unbedingt zum Fenster hinaus werfen.

Zitat:

und das werde ich dann aufspielen zusammen mit YAW 3.5, A² Personal, Trojancheck 6.02 und dem G-DATA Antivirenkit.

Sicherheit beginnt _nicht_ bei der Installation einer Reihe von sogenannter Sicherheitssoftware. Sie beginnt ganz woanders:

(Ich wiederhole den bereits genannten Link):
http://www.mathematik.uni-marburg.de...ompromise.html