Hoi

Bin neu hier, und habe gleich ein Problem mitgebracht...

Letztens hatte ich den Pc 2 Tage lang Online gelassen, in der Zeit haben sich dann wohl, trotz Firewall Dialer/Trojaner etc eingenistet....
Habe dann eine Nacht durchkämpfen müssen um wieder die Oberhand zu bekommen...hab ihn mit allen möglichen Antiviren, Spyware Progs durchgetestet und das gefundene gelöscht...auch die html Wallpaperdatei die sich eingenistet hatte, hab ich letztendlich wegbekommen, auch durch Tipps aus diesem Forum
So nun zu meinen Problem..Ich benutze nur noch Firefox, weil sich in dem Internet Explorer eine Search.biz seite eingenistet hat und auch nicht wegzubekommen ist...und wenn ich den Taskmanager öffne, geht die CPU Auslastung alle 15 Sek ca hoch auf 70-90 %..die Videos und Spiele ruckeln dann fürchterlich..... Während das geschieht geht bei 2 Prozessen die
% Zahl hoch...einmal 50-60 bei vsmon.exe und einmal bei services.exe auf 35
Ich weiss nicht ob die Progs was damit zu tun haben...ich Poste mal ein Logfile von Hijackthis :


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\system32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\mIRC\mirc.exe
C:\PROGRA~1\YAHOO!\MESSEN~1\YSERVER.EXE
C:\WINDOWS\System32\service.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Daniel.CATWEAZLE\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = mo
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = mo
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [system32.exe] C:\WINDOWS\System32\system32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Corel Network monitor worker - {5EE95030-1CF2-41EB-AA55-3C9487A9BF11} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5EE95030-1CF2-41EB-AA55-3C9487A9BF11} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Corel Network monitor worker - {5EE95030-1CF2-41EB-AA55-3C9487A9BF11} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5EE95030-1CF2-41EB-AA55-3C9487A9BF11} - (no file) (HKCU)
O13 - Home Prefix: httpwww.heretofind.com/show.php?id=15&q=
O13 - Mosaic Prefix: httpwww.heretofind.com/show.php?id=15&q=
O13 - Gopher Prefix: httpwww.heretofind.com/show.php?id=15&q=
O16 - DPF: {5F1596F4-6233-4876-73E5-311C4F147ED1} - http://63.219.178.91/1/rdgDE1342.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - httpplayroom.icq.com/odyssey_web11.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - httpwww.live365.com/players/play365.cab
O16 - DPF: {FFA6CE4C-2199-4A4F-9542-12E0163D6841} - httpsessa.isprime.com:8080/tel2net/CABDialer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{315088CB-FB83-45E7-A24D-4535613CBB7D}: NameServer = 217.237.150.225 217.237.150.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{315088CB-FB83-45E7-A24D-4535613CBB7D}: NameServer = 217.237.150.225 217.237.150.141

Ich hoffe ihr könnt damit etwas anfangen


Gruss Daniel

Bitte poste deinen Log erneut.Beginnend mit folgender Zeile:

Logfile of HijackThis v -hier steht jetzt die Versionsnummer-aktuell ist 1.98.2

Gruss

Cronos

hallo.

ich nehme mal an, du benutzt xp, leider hast du die ersten zeilen des logs nicht gepostet. also kann ich auch nix über den updatestatus deines systems sagen. Immer windows updaten!!!

Zitat:

Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

sollten dialer dabei gefunden werden (nicht unwahrscheinlich), dann sichere diese als beweise auf diskette, falls du über analgmodem oder isdn ins netz gehst bzw. ein modem oder eine isdn-karte an/ in deinem rechner angeschlossen sind!

Zu deinem log:

Starte im abgesicherten Modus (Neustart - F8 drücken, bevor das Windows-Logo erscheint) und deaktiviere die Systemwiederherstellung (Arbeitsplatz - rechte Maustaste, Systemwiederherstellung, Häkchen rein). --das gilt nur, wenn du xp hast--

Folgende Einträge solltest du fixen:

C:\WINDOWS\System32\system32.exe

C:\WINDOWS\System32\service.exe

(fixen und manuell im angegebenen ordner löschen)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [system32.exe] C:\WINDOWS\System32\system32.exe

O13 - Home Prefix: httpwww.heretofind.com/show.php?id=15&q=

O13 - Mosaic Prefix: httpwww.heretofind.com/show.php?id=15&q=

O13 - Gopher Prefix: httpwww.heretofind.com/show.php?id=15&q=

Folgende Einträge solltest du fixen, wenn du das Programm/ die Website nicht kennst:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = mo

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = mo

F2 - REG:system.ini: UserInit=Userinit.exe,

O16 - DPF: {5F1596F4-6233-4876-73E5-311C4F147ED1} - http://63.219.178.91/1/rdgDE1342.exe

O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - httpwww.live365.com/players/play365.cab

O16 - DPF: {FFA6CE4C-2199-4A4F-9542-12E0163D6841} - httpsessa.isprime.com:8080/tel2net/CABDialer.cab

Folgende Einträge solltest du fixen, sie sind unvollständig:

O9 - Extra button: Corel Network monitor worker - {5EE95030-1CF2-41EB-AA55-3C9487A9BF11} - (no file)

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5EE95030-1CF2-41EB-AA55-3C9487A9BF11} - (no file)

O9 - Extra button: Corel Network monitor worker - {5EE95030-1CF2-41EB-AA55-3C9487A9BF11} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5EE95030-1CF2-41EB-AA55-3C9487A9BF11} - (no file) (HKCU)

Hoi

Hätte ich nicht gedacht---Antworten um diese Uhrzeit
Sorry hier nochmal das Log

Logfile of HijackThis v1.98.2
Scan saved at 01:27:07, on 08.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\system32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\mIRC\mirc.exe
C:\PROGRA~1\YAHOO!\MESSEN~1\YSERVER.EXE
C:\WINDOWS\System32\service.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Daniel.CATWEAZLE\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = mo
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = mo
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [system32.exe] C:\WINDOWS\System32\system32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Corel Network monitor worker - {5EE95030-1CF2-41EB-AA55-3C9487A9BF11} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5EE95030-1CF2-41EB-AA55-3C9487A9BF11} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Corel Network monitor worker - {5EE95030-1CF2-41EB-AA55-3C9487A9BF11} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5EE95030-1CF2-41EB-AA55-3C9487A9BF11} - (no file) (HKCU)
O13 - Home Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=15&q=
O16 - DPF: {5F1596F4-6233-4876-73E5-311C4F147ED1} - http://63.219.178.91/1/rdgDE1342.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {FFA6CE4C-2199-4A4F-9542-12E0163D6841} - http://sessa.isprime.com:8080/tel2net/CABDialer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{315088CB-FB83-45E7-A24D-4535613CBB7D}: NameServer = 217.237.150.225 217.237.150.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{315088CB-FB83-45E7-A24D-4535613CBB7D}: NameServer = 217.237.150.225 217.237.150.141


Ach nochwas...was ist mit fixen gemeint..wie mache ich das? Bin etwas unerfahren...Ich bin nicht dumm auf dem PC Gebiet aber ich weiss halt noch
nicht alles

edit: ach ihr meint bei hijackthis...diese heretofind Dinger hab ich schon mehrmals gefixt...doch sie kommen immer wieder

p.s sicher das ich die system32 löschen soll? ist das keine wichtige systemdatei?


Gruss

also zu dem system32:

guckst du hier:

http://www.chip.de/forum/thread.html?bwthreadid=535703

und

http://securityresponse.symantec.com...ot.f.worm.html

wie gesagt, escan mal noch ziehen, laufen lassen und ergebnis hier posten. siehe zitat von cidre.

hast du immer schön die windows-updates runtergeladen? eigentlich solltest du auch noch SP2 installieren.

und die einträge sind wiedergekommen, weil du die systemwiederherstellung nicht deaktiviert hast und nicht im abgesicherten modus gescannt und gefixt hast.

Moin

Ich habe nun Windows neu drüber installieren müssen.....seit dem letzten
Virencheck heut nacht ging garnichts mehr.....
Ich bin gerad dabei alles neu zu installieren....Sicherheits Updates hol ich mir auch noch...und benutze only Firefox....



Gruss

@3D-Heli

hier ein paar tips
Manchmal reicht es nicht, einfach nur gefundene Malware ( Viren/Wuermer/Backdoor) zu loeschen und denken, das alles wieder so funktioniert, wie man es gewohnt ist. Denn man kann nicht uberpruefen, was diese Malware bereits mit dem System angestellt bzw veraendert und installiert hat. In manchen Faellen ist das System nach so einer Reinigung, besonders wenn "echte" Viren beseitigt wurden, immer noch sehr instabil.

In solchen Faellen ist die sauberste Lösung, das System neu aufzusetzen:


1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html )
2.) VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren ( http://www.microsoft.com/germany/ms/...windowsxp.mspx )
3.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
4.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
5.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) und mails nur als Textversion, nicht in html anzeigen lassen
6.) Vorsichtig bleiben, nur wirklich als sicher bekannte Mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können ( http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html ), besondere Vorsicht ist bei allen erotischen und [warez] -Seiten geboten
7.) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
8.) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern ueberlegen, ob sie wirklich noetig sind oder moegliche Alternativen in betracht ziehen
9.) keine alten Passworte wiederverwenden, sondern alle neu anlegen
10.) Konsequenzen aus dem Vorfall ziehen und ggf. das eigene Sicherheitskonzept entsprechend anpassen

und Infos zu dem, was Malware alles kann:

http://www.heise.de/newsticker/meldung/44869
http://www.heise.de/newsticker/meldung/46634
http://www.heise.de/newsticker/meldung/51689

Lektüre für die Zukunft:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/
http://faq.jors.net/virus
http://www.dingens.org/
http://ntsvcfg.de/

Anleitung groesstenteils von User MountainKing aka aelfric uebernommen
--
chaosman