Nach Backdoor-Infektion: Bin ich jetzt "sicher"?
 

aloha!

ich hab in den letzten 24 stunden viel gegoogelt, viel probiert und schlussendlich meine systempartition formatiert. der grund: kaspersky fand mehrere mit Backdoor.Rbot.W32.gen infizierte dateien, konnte sie aber auch nicht löschen.
da ich natürlich sowieso angst hatte, weil das system ganz offensichtlich "befallen" war, hab ich dann formatiert und danach alles brav so gemacht, wie es so oft in foren wie diesem beschrieben wird (benutzerkonten anlegen, vor dem 1. onlinegang die XP firewall anknipsen, windows update runterladen usw.)

alles lief, aber sobald ich kaspersky neu installiert hatte, fand der auch den blöden Rbot wieder. :heulen:
ich also ein zweites mal (!) formatiert, windows neu installiert, gleiches von vorn. ich meine wirklich, aufgepasst zu haben, dass das system einigrmaßen sicher ist, bevor ich online gehe. (bin aber wie so viele, nicht besonders fit, was computer angeht...)

bevor ich kaspersky installiere, wollte ich diesmal was anderes probieren: habe antivir installiert, was ja auch nicht das schlechteste sein soll. der fand dann zu meiner verzweiflung auch wieder was:
. Rbot.LM
. Rbot.AAK
. W32/Parite
. Rbot 131584 und
. Kargo.AF

Uff!!
ich meine, wie geht denn sowas? das system ist NEU, wo kommt das ganze viehzeugs her??

jedenfalls: antivir konnte das offensichtlich alles löschen.
ich habe dann als nächstes escan laufen lassen. ergebnis: keine funde.
immerhin...

dann musste ich ins bett ;) und eben gerade hab ich nochmal das vielgepriesene hijackthis runtergeladen und laufen lassen. ich habs auch auf http://www.hijackthis.de/index.php auswerten lassen, und bis auf eine datei scheint das auch ganz gut auszusehen.
ich bin ratlos und habe angst, dass ich immernoch infiziert bin.

vielleicht kann sich das mal jemand ansehen:

Logfile of HijackThis v1.99.0
Scan saved at 13:16:07, on 12.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\AVPersonal\AVSched32.EXE
E:\Programme\Spamihilator\spamihilator.exe
E:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\Programme\Archive\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [System Update] E:\WINDOWS\System32\zlnql.exe
O4 - HKLM\..\Run: [AVSCHED32] E:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [Spamihilator] "E:\Programme\Spamihilator\spamihilator.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105483291265
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE


die automatische auswertung ergab, dass alles OK sei, bis auf diese ominöse zlnql.exe
für mich als laien sieht das auch wieder nach einem virus aus.

was kann ich machen, was ratet ihr mir bzw. wie schätzt ihr das ganze ein?

aus dem internet. du hast nicht xp sp2 drauf. ohne sp2 ist eine erneute rbot-verseuchung schon vorhersagbar. also.. lad dir zuerst sp2 runter und dann installier windows neu. es reicht in einem ungepatchen windows 2minuten aus, das der computer bereits infiziert ist.
(bei der neuinstallation bin ich mir net sicher,aber in der zwischenzeit in der du im inet warst isses warscheinlich schon wieder so weit..)

muss ich nochmal formatieren, oder reicht ein "drüberinstallieren"?

wo bekomme ich dieses sp2 überhaupt her, ich hab da auch unterschiedliches gelesen. :(

und ganz blöd gefragt: in welcher reihenfolge mach ich das alles? denn wenn ich mir das runterlade und dann formatiere, ist ja die patch-datei auch wieder mit weg... und um sie runterzuladen, muss ich wieder ins netz! oder kann ich den patch auf ner anderen partition "lagern" solange bzw. auf cd brennen?

Arbeite diesen Link mal genau ab,lese dir alle Seiten durch,die für dich in Frage kommen,da wird dir alles beantwortet!

http://www.trojaner-board.de/showpos...28&postcount=2

Gruss

Das Service Pack 2 bekommst du unter folgendem Link:

http://www.microsoft.com/downloads/d...displaylang=de

Nun wäre mal interessant gewesen, WO genau die Backdoors immer wieder gefunden wurden. So, wie du es darstellst, würde ich weniger auf eine Infektion durch Windowslücken tippen, sondern denke, du hast nach wie vor infizierte Software in deinen Backups, die du immer wieder neu mitinstallierst. Das nützt dann natürlich herzlich wenig.

Das Service Pack 2 kannst du hier komplett herunterladen und brennen (am besten wäre natürlich auf einem anderen Rechner):

http://www.microsoft.com/downloads/d...displaylang=de

Da sind alle Patches bis zu diesem Zeitpunkt enthalten (also auch SP 1).

nach dem 1. neuaufsetzen war ich in der tat so dumm, meine alten thunderbird-konfigurationen wieder drauzuspielen. das hab ich beim 2. dann gelassen, aber antivir hat ja trotzdem noch was entdeckt (komischerweise auch sachen, die kaspersky nie gemeldet hatte...)

gefunden werden die viren aber stets in dem ordner E:\WINDOWS\system32.
zum jetzigen zeitpunkt ist nix installiert außer firefox, thunderbird und diversen "antiviren"-tools (siehe 1. posting)...

da steht aber, dass ds nicht für heimanwender geeignet sei, sondern nur für IT-spezialisten, die das ganze auf mehreren rechnern im netzwerk installieren wollen.

und nu? :(

ne stimmt nicht. das hat microsoft nur da hin geschrieben, weils für netzwerkadministratoren gedacht ist,wenn sies auf vielen comps gleichzeitig installieren wollen,bspw. in nem netzwerk. du als normaler nutzer kannstes aber auch runterladen und installieren. ist kein problem, es ist da eigentlich garnix anders.

Was Microsoft da schreibt, ist blablaba
Die wollen nur ihre Server entlasten.
Zieh dir SP2 über eben diesem Link

:aplaus:

hi!

ich habs geschafft und bin "meinen" trojaner endlich losgeworden!
werde auch alle eure weiteren tipps und ratschläge in zukunft zu berhezigen versuchen.

wollte an dieser stelle einfach mal danke sagen an dieses forum und speziell alle, die mir geantwortet haben. ohne euch hätt ichs nie geschafft, glaub ich... :bussi: