Hallo,
ich habe folgendes Problem:
Seit zwei Tagen öffnet sich zu den absolut günstigsten und ungünstigsten Zeitpunkten ein "Nachrichtendienstfenster", das mir mitteilt, dass wenn ich dieses Fenster lesen kann mein Computer unsicher ist, ich diverse Angebote zur Vergrößerung intimer Körperteile wahrnehmen kann bzw. dass auf meinem System ein Win32/Rbot.ADM.worm war, der allerdings bereinigt wurde etc.
Desweiteren ist bei anderen Personen, die den Computer benutzt haben, der Bildschirm plötzlich schwarz geworden und der Computer ist neu gestartet...
Auf unserem Rechner ist WinXP Home Edition installiert und die ,so denke ich,neueste Version von Etrust Antivirus "überwacht" den Rechner (..wenn ich das nur glauben könnte ).Mit letzterem habe ich auch schon eine genaue Prüfung des gesamten Systems vorgenommen, ohne Erfolg...
Zwischenzeitlich hatte ich auch mal keinen Zugriff auf meine Systemsteuerung, diverse Soundtreiber sind nicht geladen worden und manchmal besteht angeblich eine Internetverbindung, aber ich kann keine Seite öffnen.
Nachdem ich niemanden unnötig belästigen wollte, habe ich mich erst mal im Netz schlau gemacht...diverse Windowsupdates runtergeladen, u.a. auch das ominöse Service Pack2, wobei es immer wieder den Internet Explorer abschiesst, bzw. dieser keine Rückmeldung mehr gibt. ( normalerweise benutze ich den Avantbrowser oder den Firefoxbrowser..)
Nachdem ich das Board hier durchforstet habe, habe ich mir escan runtergeladen und es hat einen sogenannten "trojan.win32.ef ?" gefunden und gleich bereinigt...
Das Problem war allerdings, daß ich zunächst nicht in den abgesicherten Modus gekommen bin, da der Computer sich irgendwo beim Runterfahren plötlzlich aufhängt - dann muss ich in manuell aus und wiedereinschalten, wobei er dann fürs hochfahren Ewigkeiten braucht.
Letztendlich habe ich es dann doch irgendwie in den abgesicherten Modus geschafft und nochmal escan benutzt - von den Trojan.... keine Spur mehr.
Allerdings lädt der Rechner anscheind irgendwelche Daten ins Netz, da ich trotz DSL kaum noch Seiten aufmachen kann und ich mittlerweile in der letzten halben Stunde 20 Mb "gesendet" habe ( wenn ich meine DSL-Status-Aktivität betrachte )- wohin, warum...?
Darufhin habe ich mir jetzt Hijackthis runtergeladen und mir nen Logfile gemacht- vielleicht kann mir ja jemand helfen, bin WinXP-unerfahren und kurz davor das Seuchenteil zum Fenster rauszukatapultieren...
(Evtl. kann mir auch jemand sagen, wie ich den rechner sicherer machen kann bzw. einen geeigneten Thread empfehlen..)
Vielen Dank im Voraus
Gonzo

Der Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 12:52:20, on 24.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\MSupdate32.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Avant Browser\iexplore.exe
C:\Programme\CA\eTrust Antivirus\Realmon.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Steam\Steam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Lenore\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [msconfig service] MSupdate32.exe
O4 - HKLM\..\RunServices: [msconfig service] MSupdate32.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01dad4cd...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095983090312
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCCB05F1-B7EB-4526-ABED-557C484557B5}: NameServer = 217.237.150.33 217.237.151.161

Hier ist der Verursacher, ein aktiver Wurm mit Backdoor Funktionalität:
C:\WINDOWS\System32\MSupdate32.exe
Wahrscheinlich der WORM_SPYBOT.GEN.
Überprüfe diese Datei bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis.

Imho sollte das System aus Sicherheitsgründen neu aufgesetzt werden.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000