Hallo,

ich habe dank der tollen direkten Hilfe von Cidre und den posts von zig anderen Leuten meinen Computer wieder in Ordnung gebracht.

Insgesamt wurden von Kaspersky anti Virus:
Win32.Francette.n in der Datei syshost.exe
Backdoor.win32.Wootbot.gen in der Datei sdin.exe
Backdoor.win32.Rbot.gen in der Datei bling.exe

im system32 Ordner von Windows gefunden. Scheinbar sind die jetzt alle unschädlich gemacht.

Ich hab in ein par Tagen eine wichtige Prüfung(Satellitentechnik) und bis dahin darf mein Computer auf keinen Fall mehr schlappmachen.
Ich hab deshalb heute ne Art Computertag eingelegt und alles was ich konnte bereinigt und die Virendefinitionen upgedated. Ich möchte ich Euch bitten, Euch mein log mal anzusehen um sicherzustellen, dass jetzt alles wieder in Ordnung ist.

Noch was: Es ist echt beeindruckend, wie die Leute hier uneigennützig ihre Zeit zur Verfügung stellen, echt vielen Dank dafür.
Wenn Microsoft auch nur ein hundertstel der Zeit mir dem Sourcecode zubringen würde wie die Windows Benutzer beim ausbügeln von Problemen, dann würde es diese ganzen Probleme echt nicht geben.

vielen Dank im voraus,
Martin

So, hier nun mein Logfile:
Logfile of HijackThis v1.98.2
Scan saved at 14:41:22, on 06.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
//Warum gibt es diesen Eintrag so oft?
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Kaspersky\KAV\avpcc.exe
C:\Programme\Kaspersky\AdministratorKit\avps.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Kaspersky\KAV\avpm.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
//Warum gibt es diesen Eintrag zweimal?
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
//Warum gibt es diesen Eintrag zweimal?
C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe
C:\Programme\Kaspersky\KAV\avpcc.exe
C:\Programme\BOINC\boinc_gui.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\Taskmanager\TaskMan.exe
C:\Dokumente und Einstellungen\Herfson\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://WWW.BenQ.COM/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.benq.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Q-HotkeyMgr] C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe
O4 - HKLM\..\Run: [AVPCC] C:\Programme\Kaspersky\KAV\avpcc.exe /wait
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: BOINC.lnk = C:\Programme\BOINC\boinc_gui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096295979879
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CE7C6ED-2FE4-40B7-AE67-9B61FA38F22A}: NameServer = 130.149.4.20,130.149.2.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C68985C-2F1A-4FA2-B6AC-674B60324D23}: NameServer = 192.168.121.252,192.168.121.253

Auch wenn dein System offentsichtlich "sauber" sein sollte, würde nach deiner Prüfung, das System neu aufsetzen, da dieses wirklich nicht mehr vertrauenswürdig ist.
Es liefen mindestens zwei aktive Backdoor Trojaner (Backdoor.win32.Wootbot.gen und Backdoor.win32.Rbot.gen), möglicherweise wurden Dateien manipuliert, Infos und Passwörter gestohlen usw, kurz gesagt:
Jemand hatte möglicherweise Fernzugriff auf dein System!

Zitat:

# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Reduziert die Systemsicherheit
# Installiert sich in der Registrierung
# Nutzt bekannte Schwachstellen aus

Quelle: Backdoor.win32.Wootbot.gen
Quelle: Backdoor.win32.Rbot.gen

Du solltest trotzdem diese Punkte abarbeiten:
http://www.trojaner-board.de/showpos...28&postcount=2

Jedes System ist verwundbar. In deinem Fall standen die Sicherheitspatches schon lange bereit, MS trifft also keine Schuld.
Auch du kannst aktiv dazu beitragen, daß dein System dementsprechend abgesichert ist, wenn du einige Regeln befolgst, siehe http://www.mathematik.uni-marburg.de...ompromise.html

Danke für Deine Zeit.:aplaus:

Ich hab den Artikel editiert, auch wenn ich da ein bischen anderer Meinung bin als Du was die Sicherheitslücken angeht.
Ich hab eigentlich keine Zeit Windows neu zu installieren, wie gesagt, ich hab bald Prüfung und brauch meinen Computer jeden Tag, außerdem hab ich hier jede Menge Daten drauf, deren Sicherung echt umständlich wäre und meine langsam angepassten Einstellungen würd ich auch ungern verlieren. Würde es nicht reichen meine Passwörter zu ändern und ab nun ein bischen vorsichtiger zu sein?
Wenn jemand schon Zugriff auf meinen Computer hatte und jetzt nicht mehr hat kann ich doch auch durch eine Neuinstallation nichts mehr ändern.

Martin

Zitat:

Ich hab den Artikel editiert, auch wenn ich da ein bischen anderer Meinung bin als Du was die Sicherheitslücken angeht.

Danke.

Freilich sind die Sicherheitslücken bei MS enorm, aber dann gilt es diese Produkte so sicher wie möglich zu konfigurieren oder andere Alternativen zu verwenden:
- Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
- Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
- NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
- MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/

Zitat:

Wenn jemand schon Zugriff auf meinen Computer hatte und jetzt nicht mehr hat kann ich doch auch durch eine Neuinstallation nichts mehr ändern

Das ist leider reine Spekulation, das kann dir niemand garantieren. Ändere zumindest deine Passwörter und arbeite die o.g. Punkte ab.
Bei einer Neuinstallation und entsprechender Absicherung hat definitiv keiner mehr einen Zugriff auf dein System.