ok, danke, werde versuchen, jdn dort zu informieren. kann ich mich denn nicht selbst auch absichern?

Hallo,
mein Problem besteht noch immer. Hat nicht jemand eine Idee, was ich machen kann?

Was ein Durcheinander.
Ich würde dir empfehlen dein System neuaufzusetzen. Horst ist ein Trojaner mit Backdoorfunktionalität, das heißt jemand anders hat kompletten Zugriff auf deinen Rechner.
Dabei empfehle ich dir folgende Anleitung zu berücksichtigen: Neuaufsetzen


Exploits sind Warnungen, auf Grund von Sicherheitslücken in Programmen, das heißt es besteht eigentlich kein Risiko solange, du nicht auf einen Trojaner triffst, dass du infiziert wirst.
Hier handelt es sich meines Erachtens allerdings um den Horst der bewusst Schwachstellen benutzt um sich weiterzuverbreiten. Laut google verbreitet sich der Wurm sowohl über Sicherheitslöcher in Netzwerken als auch über die autorun.inf auf USBSticks uÄ. Es ist also davon auszugehen, dass ein Großteil eures Netzwerk infiziert ist.
Wenn ihr einen Admin habt, dann würde ich den mal informieren und schauen, was für Schritte möglich sind.
Um dich selbst abzusichern, ist es absolut notwendig, dass du von einem sauberen (!) Rechner das SP2 (und am besten die folgenden Patches auch alle) lädst, deinen Rechner vom Netzwerk trennst, die Kiste neuaufsetzst, SP2 einspielst und frühestens dann die Verbindung zum Netzwerk wieder herstellst. Dann solltest du von nun an nur noch mit eingeschränkten Nutzerrechten surfen, hättest du bisher keine Adminrechte gehabt, als Horst vorbeikam, hätte sich der Virus auch nicht installieren können und du wärst auch sauber gewesen/geblieben.
Bei Firefox hätte es den Exploit zb auch nicht gegeben, also auch hier besser auf alternative Software umsteigen (zb auch statt Outlokk Thunderbird benutzen etc). Also auch hier möglichst Alternativen benutzen.

Die "Shareddocs an UlfsLaptop" sind freigegebene Ordner auf anderen Rechnern in deinem Netzwerk. Dort befinden sich dann zb Dateien, die Ulf mit anderen Leuten im Netzwerk teilen will, es ist ganz normal, dass du die siehst (und die dürften auch schon länger da sein. Der einzige Grund, den ich mir vorstellen kann, dass die Ordner jetzt aufgetauch sind, ist, dass deine Firewall das Netzwerk vorher sozusagen versteckt hat und du sie deshalb früher nicht gesehen hast. Es könnte sein, dass Horst deine Firewall deaktiviert hat und auf einmal siehst du das gesamte Netzwerk und wirst auch gesehen.

Bei der McAffee/ewido/eScan-Sache blicke ich überhaupt nicht durch. Wieviele Antivirenprogramme hast du jetzt aufm Rechner? Was tun sie? Wieso und wann hast du sie installiert. (Solltest du, wie empfohlen neuaufsetzen, ist die Frage nicht relevant. )
Da ich dein System nicht kenne (HJT-Logs wurden wegen nicht respektieren der Anleitung gelöscht) kann ich nicht sagen, ob du infiziert bist oder nicht, hast du freigegebene Ordner auf deinem Rechner? Ist der Ordner in dem sich die setup.exe befand freigegeben?
Poste bitte ein neues HJT-Log, lies nach wie du es hier richtig reinstellst. Mache auch einen Scan mit Blacklight
und silentrunner und poste die Ergebnisse hier.


lg myrtille

Hallo Myrtille,
vielen, vielen Dank. Jetzt kommt Licht in die Sache. Kann ich irgendwie rausfinden, ob jemand etwas macht oder gemacht hat? Ich hatte das Windows Sicherheitscenter mit Firewall und Virusprogramm und Autom. Updates und ein McAfee, dessen automatische Updates aber wohl nicht liefen. Jetzt habe ich die Windows Firewall gegen eine von Comboscan getauscht udn Spybot installiert. Die anderen Virenscanner (Ewido und escan) wurden mir im Forum empfohlen. ich werde mir jetzt die Anleitung zum Neuaufsetzen ansehen. Meines Wissens, soweit ich sehe und was ich bewußt gemacht habe, ist kein ordner freigegeben. ich mache jetzt erstmal den HJT-Log.
Gruß CHal

Hier die Angaben:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:40, on 24.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Comodo\Firewall\CPF.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\User\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://**/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.19:80
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SkypeIEHelper Class - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: Skype™ For Internet Explorer - {B13721C7-F507-4982-B2E5-502A71474FED} - C:\Programme\Skype\toolbars\Skype for Internet Explorer\skype_toolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\User\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Skype™ For Internet Explorer - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL
O9 - Extra 'Tools' menuitem: Skype™ For Internet Explorer - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {D7783732-69C6-4A28-BE53-618CC4609617} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://**.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - h**p://**.spaces.live.com/PhotoUpload/MsnPUpld.cab?10,0,916,0
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe

--
End of file - 9918 bytes

Hi,

Zitat:

Kann ich irgendwie rausfinden, ob jemand etwas macht oder gemacht hat?

Das musst du selbst sehen. Man kann viel überprüfne, aber eine Garantie, das nichts getan wurde, gibt es eigentlich nie.

Du könntest dir zb tpcview besorgen und schauen auf welchen Ports welche Programme aktiv sind. Damit erkennt man häufig Backdoortrojaner, allerdings auch nur die schlechtversteckten.

Zitat:

Ich hatte das Windows Sicherheitscenter mit Firewall und Virusprogramm und Autom. Updates und ein McAfee, dessen automatische Updates aber wohl nicht liefen. Jetzt habe ich die Windows Firewall gegen eine von Comboscan getauscht udn Spybot installiert.

McAfee hat glaub nicht die Hammerwertungen, im allgemeinen scheint das System allerdings recht sicher gewesen zu sein.
Wichtig ist vor allem auch nicht zuviel Antivirensoftware auf dem Rechner zu haben. 2 Antivirenprogramme mit Hintergrundwächtern bekämpfen sich gegenseitig, verlangsamen so dein System und machen sich gegenseitig unsicherer.
Dasselbe kann (muss aber nicht ) auch bei dem HIntergrundwächter für Spybot passieren. Den würde ich persönlich auch deaktivieren.

Zitat:

Die anderen Virenscanner (Ewido und escan) wurden mir im Forum empfohlen.

Noch ein klärendes Wort zu Virenscannern:
Es gibt OnAccess-Virenscanner das ist zb der McAffee-Scanner. Ein Programm, das auf deinem Rechner installiert ist und immer im Hintergrund läuft. Mehrere solche OnAccess-Scanner auf einem Rechner ist ne dumme Idee.
Und es gibt OnDemand-Scanner, dazu gehören unter anderem die hier empfohlenen Scanner von eScan und Ewido. Sie haben keinen Hintergrundwächter und müssen bei Bedarf explizit aufgerufen werden. Unterschiedliche OnDemand-Scanner können nebeneinander heruntergeladen und durchgeführt werden, ohne dass sie sich gegenseitig behindern. (Es ist trotzdem eine dumme Idee 2 Virenscans gleichzeitig laufen zu lassen, auch wenn es geht )

Zitat:

Meines Wissens, soweit ich sehe und was ich bewußt gemacht habe, ist kein ordner freigegeben.

Navigiere bitte zu dem entsprechenden Ordner (Glaub C:\Windows\Dokumente und Einstellungen\All Users\ ) und rufe dort per Rechtsklick auf den Ordner "Dokumente" die Eigenschaften auf. Dann klickst du auf "Freigabe" und schaust ob der Rechner freigegeben ist.

lg myrtille

EDIT:
Folgende Einträge fixen:

Zitat:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll

und Java aktualisieren, auch für Java gibt es Sicherheitslücken über die man auf deinen Rechner gelangen könnte.

Hallo,
Einträge sind gefixt!

Ich habe jetzt den Ordner "Dokumente" angesehen. Dort steht unter Freigabe, ich solle ihn unter "gemeinsame Dokumente" ziehen, damit er nur für Nutzer des Computers freigegeben ist, das geht aber nicht. Außerdem soll ich ein Kästchen anklicken, dass ihn nur für diese Nutzer freigibt, das ist aber nicht anklickbar. Ich dachte immer, freigegebene Ordner wären mit einer Hand gekennzeichnet, das ist er aber nicht. Gekennzeichnet sind nur 2 Ordner unter Windows\System32 und zwar Druckertreiber und Remote-IPC, ist das ok?

blacklight hat nichts gefunden. silentrunner habe ich laufen gelassen. jetzt gibt er mir an, das ergebnis sei in einer Textdatei unter Startup programs, was ist das? Habe nach der Datei gesucht und sie nicht gefunden...

Auszug aus der Anleitung:


In welchem Ordner hast du denn Silentrunners installiert?
Dort sollte sich eine Datei befinden die so heißt: Startup Programs (Rechnername) 2007-08-24 uhrzeit.txt
Diese öffnen und hier posten

Bitte auch Posting Nr. 51 noch beachten und abarbeiten.
lg myrtille