Hi,

nachdem ich mein Win XP gerade neu installiert hatte, war ich so unvorsichtig kurz online zu gehen um die Updates herunterzuladen .. und schon war ich mit mehreren Viren infiziert

Nachdem ich folgende runtergeschmissen habe :

msblast
vpc32.exe (Win32.Rbot.gen)
winmplayer.exe (Win32.Rbot.gen)
drefr.exe (trojan.WinReg..LowZones.a) (der Virus war mehrfach vorhanden)
tt.exe (Trojan.Win32.LowZones.g)
TrojanDownloader.Win32.IstBar.gen
TrojanDownloader.JS.IstBar.a
Netzwurm Worm.Win32.Wilab.b
Trojan.Downloader.JS.Gen

...frage ich mich ob mein System nun sicher ist, oder ob das Entfernen keine 100%ige Sicherheit vor diesen Viren bietet.
Sollte ich mein System lieber neu installieren ? (auch wenn ich da gerade überhaupt keine Lust drauf habe)

Habe jetzt alle Updates von Microsoft runtergeladen, Spybot findet nichts, laut KAV ist auch alles sauber.

HiJack Log :

Logfile of HijackThis v1.98.2
Scan saved at 01:02:30, on 18.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096531222472
O17 - HKLM\System\CCS\Services\Tcpip\..\{23678720-13FA-4177-8F2A-C00323EB6596}: NameServer = 194.97.173.124 194.97.173.125



Ausserdem habe ich die Dienste mit dem Programm von dingens.org deaktiviert.

Wäre dankbar für Meinungen ob ich nun halbwegs sicher sein kann (zumindest vorerst) oder ob ich um eine Neuinstallation nicht umher komme.

Vielen Dank,
Stefan

Das Allersicherste wäre in der Tat eine Neuinstallation, da unter den gefundenen Schädlingen auch welche mit Backdoorfunktion waren. Es ist SEHR wichtig, vor dem ersten Onlingehen entweder offline die Sicherheitslücken zu schließen oder wenigstens temporär mit der Firewall zu überdecken. Im Moment sieht dein Log sauber aus, es kann durchaus sein, dass dein Rechner schädlingsfrei ist, es bleibt allerdings ein Rest von Unsicherheit aufgrund der Natur einiger der Schädlinge.

Zitat:

Zitat von Lastand1st

Hi,

nachdem ich mein Win XP gerade neu installiert hatte, war ich so unvorsichtig kurz online zu gehen um die Updates herunterzuladen ..

Welche Updates bitteschön? Auf deinem Rechner ist immer noch das alte SP1 sowie die alte Version des Internet Explorers drauf. Lade dir doch mal das SP2 unter Windowsupdate.com herunter, dabei ist dann auch die neuere Version des IE.

LG Moskitoman

@ Lastand1st

Information des Sophos Virenlexikons zu
a) Rbot.gen
b) IstBar

===> bitte erst lesen, dann:

formatieren+neuaufsetzen

Zitat:

Zitat von Cidre

[..]
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

... in meiner Signatur unter 'TI Hijacker-Rubrik' --> Vorbeugung findest Du Tips, wie Du einer Entführung zuvorkommen kannst (Browserwechsel u.a.m.)

SD

[edit] @ MountainKing und @ Moskitoman .. hab Euch nicht gesehen, beim schreiben ;-) [/edit]

Hallo,

danke für Eure Tipps und Antworten.

also wäre an sich eher "nur" der RBot gefährlich.


@Moskito - wollte an sich bei SP1 bleiben, ha´be bisher eher weniger gute Erfahrungen mit SP2 gemacht.
Opera war vorher installiert und kommt als nächstes drauf.

Ich würde ja neu installieren, aber da mein Board meinen Prozessor (Mobiler Athlon XP) nicht richtig erkennt dauert eine Installation ungelogen ~ 10 Stunden
(Cache muss deaktiviert werden etc. )

Mal sehen, vielleicht überlege ich es mir ja doch mit dem Restrisiko zu leben ( zumindest vorerst) und weitere Vorsorge zu betreiben, muss das nochmal abwägen.

Vielen Dank auf jeden Fall.

Gruß,
Stefan

Eventuell braucht dein BIOS ein Update (wegen der Erkennung), hast du das schon mal überprüft? Im Zweifelsfall das dann vielleicht einem Experten/Händler machen lassen, aber das klingt mir wie ein klassisches BIOS-Problem.