ich benutze die sygate firewall. dummerweiße ist mir ein kollosaler fehler unterlaufen. ich habe sie fuer zehn minuten auf "allow all" eingestellt. seit dem bin ich mit unzaehlingen trojanern infiziert. ich verstehe nicht wie das moeglich ist. selbst wenn die firewall auf "allow all" eingestellt ist duerfte es doch trotzdem nicht moeglich sein ohne weiteres daten auf meiner festplatte abzusetzen und auszufuehren, oder? wie ist so etwas moeglich und was geht da
genau vor? fuer alle antworten schon einmal vielen dank.

Hallo,
welche Trojaner wurden auf welchem Betriebssystem von welchem Virenscanner genau wo gefunden?

erstmal sollte ich vielleicht noch hinzufuegen, dass ich in der kurzen zeit weder meine e-mail gecheckt noch einen browser offen hatte. es kann also nicht ueber ein VBScript zu Stande gekommen sein.
ich habe soeben einen scan mit KAV durchgeführt. hier ist das logfile:


Statistics:
Task start time: 03.09.2004 00:24:05
Task completion time: 03.09.2004 01:23:18
Objects scanned: 108992
Viruses detected: 17
Viruses disinfected: 0
Objects deleted: 12
Objects quarantined: 0

Settings:
Objects to be scanned:
My Computer
If an infected object is found:
Prompt user for action
Scan level:
Recommended
Objects to be excluded from the scan scope:
Option not used

Report:
C:\WINDOWS\SWATCH32.EXE is a network worm Worm.Win32.Wilab.a 03.09.2004 00:25:47
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run [Sw32=C:\WINDOWS\swatch32.exe] is infected with a virus Registry: startUp link to C:\WINDOWS\SWATCH32.EXE object with "Infected" verdict 03.09.2004 00:25:47
C:\WINDOWS\SWATCH32.EXE cannot be deleted, object locked 03.09.2004 00:32:08
C:\WINDOWS\SWATCH32.EXE will be deleted at system startup 03.09.2004 00:32:10
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run [Sw32=C:\WINDOWS\swatch32.exe] deleted 03.09.2004 00:32:10
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip\sbRecovery.reg password protected, has not been processed 03.09.2004 00:32:39
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip password protected, has not been processed 03.09.2004 00:32:39
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip\sbRecovery.reg password protected, has not been processed 03.09.2004 00:32:40
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip password protected, has not been processed 03.09.2004 00:32:40
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip\sbRecovery.reg password protected, has not been processed 03.09.2004 00:32:40
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip password protected, has not been processed 03.09.2004 00:32:40
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip\sbRecovery.reg password protected, has not been processed 03.09.2004 00:32:41
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip password protected, has not been processed 03.09.2004 00:32:41
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip\sbRecovery.reg password protected, has not been processed 03.09.2004 00:32:41
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip password protected, has not been processed 03.09.2004 00:32:41
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit5.zip\sbRecovery.reg password protected, has not been processed 03.09.2004 00:32:42
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit5.zip password protected, has not been processed 03.09.2004 00:32:42
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit6.zip\sbRecovery.reg password protected, has not been processed 03.09.2004 00:32:43
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit6.zip password protected, has not been processed 03.09.2004 00:32:43
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit7.zip\sbRecovery.reg password protected, has not been processed 03.09.2004 00:32:43
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit7.zip password protected, has not been processed 03.09.2004 00:32:43
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit8.zip\sbRecovery.reg password protected, has not been processed 03.09.2004 00:32:44
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit8.zip password protected, has not been processed 03.09.2004 00:32:44
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit9.zip\sbRecovery.reg password protected, has not been processed 03.09.2004 00:32:44
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit9.zip password protected, has not been processed 03.09.2004 00:32:44
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\default.po4\Cache\739F46BAd01/WISE0079.BIN password protected, has not been processed 03.09.2004 00:33:20
C:\Programme\NeoTracePro\NeoTrace.exe password protected, has not been processed 03.09.2004 00:47:32
C:\WINDOWS\dxterm5.exe is a network worm Worm.Win32.Wilab.a 03.09.2004 00:49:17
C:\WINDOWS\dxterm5.exe cannot be deleted, object locked 03.09.2004 00:49:20
C:\WINDOWS\dxterm5.exe will be deleted at system startup 03.09.2004 00:49:23
C:\WINDOWS\ipcon32.exe is a backdoor Backdoor.Win32.Wilba.a 03.09.2004 00:49:23
C:\WINDOWS\ipcon32.exe cannot be deleted, object locked 03.09.2004 00:49:26
C:\WINDOWS\ipcon32.exe will be deleted at system startup 03.09.2004 00:49:27
C:\WINDOWS\swatch32.exe is a network worm Worm.Win32.Wilab.a 03.09.2004 00:49:30
C:\WINDOWS\swatch32.exe cannot be deleted, object locked 03.09.2004 00:49:34
C:\WINDOWS\swatch32.exe will be deleted at system startup 03.09.2004 00:49:35
C:\WINDOWS\system32\ff1.exe is a backdoor Backdoor.Win32.Wilba.a 03.09.2004 00:59:12
C:\WINDOWS\system32\ff1.exe deleted 03.09.2004 00:59:17
C:\WINDOWS\system32\ff2.exe is a network worm Worm.Win32.Wilab.a 03.09.2004 00:59:17
C:\WINDOWS\system32\ff2.exe deleted 03.09.2004 00:59:19
C:\WINDOWS\system32\ff3.exe is a network worm Worm.Win32.Wilab.a 03.09.2004 00:59:19
C:\WINDOWS\system32\ff3.exe deleted 03.09.2004 00:59:20
C:\WINDOWS\system32\ff4.exe is a network worm Worm.Win32.Wilab.a 03.09.2004 00:59:20
C:\WINDOWS\system32\ff4.exe deleted 03.09.2004 00:59:20
C:\WINDOWS\system32\ffx2.exe is a network worm Worm.Win32.Wilab.a 03.09.2004 00:59:20
C:\WINDOWS\system32\ffx2.exe deleted 03.09.2004 00:59:21
C:\WINDOWS\system32\ffx3.exe is a network worm Worm.Win32.Wilab.a 03.09.2004 00:59:22
C:\WINDOWS\system32\ffx3.exe deleted 03.09.2004 00:59:22
C:\WINDOWS\system32\ffx4.exe is a network worm Worm.Win32.Wilab.a 03.09.2004 00:59:22
C:\WINDOWS\system32\ffx4.exe deleted 03.09.2004 00:59:23
C:\WINDOWS\system32\ftpupd.exe is a network worm Worm.Win32.Padobot.m 03.09.2004 00:59:24
C:\WINDOWS\system32\ftpupd.exe deleted 03.09.2004 00:59:27
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4Z83OBER\2[2].bin is a network worm Worm.Win32.Wilab.a 03.09.2004 01:01:00
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4Z83OBER\2[2].bin deleted 03.09.2004 01:01:05
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTEF4P6F\1[1].bin is a backdoor Backdoor.Win32.Wilba.a 03.09.2004 01:01:05
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTEF4P6F\1[1].bin deleted 03.09.2004 01:01:07
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTEF4P6F\4[1].bin is a network worm Worm.Win32.Wilab.a 03.09.2004 01:01:07
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTEF4P6F\4[1].bin deleted 03.09.2004 01:01:08
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTEF4P6F\x[2].exe is a network worm Worm.Win32.Padobot.m 03.09.2004 01:01:08
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTEF4P6F\x[2].exe cannot be deleted, object locked 03.09.2004 01:01:08
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTEF4P6F\x[2].exe will be deleted at system startup 03.09.2004 01:01:09
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IFWRKH8Z\3[1].bin is a network worm Worm.Win32.Wilab.a 03.09.2004 01:01:10
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IFWRKH8Z\3[1].bin deleted 03.09.2004 01:01:10

tut mir leid, dass ich es nicht uebersichtlicher gestalten konnte

Damit ist eigentlich alles klar: dein System war und ist nicht ausreichend in sich abgesichert. Es fehlen nicht nur essentielle Updates / Patches, auch eine sinnvolle Dienstekonfiguration ist bis dato ausgeblieben. Folge: auf Netzwerkebene verbreiten sich diverse Würmer und Backdoors.

Dir bleibt aufgrund deren Aktivität imho nur ein Neuaufsetzen des Systems mit entsprechender Absicherung (s.o.) VOR der dann folgenden ersten Internetverbindung.

In Anbetracht deines anderen Threads (der auf halbem Wege leider stehenblieb):

http://www.trojaner-board.com/showthread.php?t=7177

ist das kein Wunder. Es wurde ja schon festgestellt, dass dein System kompromittiert ist durch einen relativ gefährlichen Trojaner und dass deine Sicht, du wärst nicht mehr infiziert, so niemand garantieren kann. Durchaus denkbar, dass innerhalb der "firewallosen" Zeit Entsprechendes dann nachgeladen wurde vom nach wie vor aktiven Trojaner (der uns auch schon mal begegnete, denke ich: http://www.trojaner-board.de/archive...hp/t-7001.html). Aber ich denke eher, dass du die ganze Zeit noch diverse Sachen auf dem PC hattest. Tu dir und uns allen einen Gefallen und befolge dies:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html)
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Lektüre:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/

ich bin begeistert. ich habe das system neu eingerichtet und muss sagen, dass ich mich noch nie soo sicher gefuehlt habe. und endlich nerven die dummen windows dienste nicht mehr. danke!!!

Schön. Aber zuuuuu sicher sollte man sich trotzdem nie fühlen, immer Brain 1.5 im Hintergrund laufen lassen.