Zitat:

Ob der tatsächlich soviel spammt, kann man wohl nur durch längere Beobachtung des Netzwerkverkehrs feststellen. Im Augenblick (innerhalb der letzten dreiviertel Stunde) geht jedenfalls nichts raus.

Ihr habt da rüber absolut keine Kontrolle mehr was raus geht - es muss nicht nur Spam sein. Ihr tut euch damit keinen Gefallen, mit diesem System in diesem Zustand online zu gehen. Eure Zugangsdaten etc. konnten schon ausgespäht worden sein.

Zitat:

und an's Netz muss er in dieser Zeit auch.

Was genau wird denn online benötigt? Notfalls tut es ein Knoppix um zu surfen und zu mailen, aber das kompromittierte Windows solltet ihr nicht mehr ins Internet lassen.

Zitat:

Zitat von cosinus

Ihr habt da rüber absolut keine Kontrolle mehr was raus geht - es muss nicht nur Spam sein. Ihr tut euch damit keinen Gefallen, mit diesem System in diesem Zustand online zu gehen.
...

Das ist mir grundsätzlich bewusst. Allerdings kann ich das im Augenblick leider nicht ändern - so Leid mir das selbst tut.
Vielleicht lass ich mal ganztags einen Netzwerksniffer mitlaufen. Das Problem dabei ist natürlich die Menge der Daten ;(.

Zitat:

Zitat von cosinus

...
Eure Zugangsdaten etc. konnten schon ausgespäht worden sein.
...

Guter Hinweis. Um die Internet Zugangsdaten mach ich mir eigentlich weniger Sorgen, da die nur auf dem Router liegen und den halte ich (zumindest im Augenblick) noch für sicher. Ist 'ne Fritzbox mit einer modifizierten Firmware (ein Linux System). Aber die Emailzugangsdaten sollte ich wohl ändern.

Zitat:

Zitat von cosinus

...
Was genau wird denn online benötigt? Notfalls tut es ein Knoppix um zu surfen und zu mailen, aber das kompromittierte Windows solltet ihr nicht mehr ins Internet lassen.

Ich stimme Dir grundsätzlich zu. Allerdings ist meine Mutter (67) da chancenlos. Meine Mutter hat ein kleines Gästehaus und muss die gesamte Buchungsabwicklung, Angebote, Freimeldungen etc. Online erledigen.

Zitat:

Meine Mutter hat ein kleines Gästehaus und muss die gesamte Buchungsabwicklung, Angebote, Freimeldungen etc. Online erledigen.

So Leid es mir tut, aber da bewegt sie sich nicht mehr im privaten Bereich. Für alles andere wird auch ein Techniker herbestellt (Klempner, Maler etc.) - warum keinen PC-Notdienst?

einfach das verseuchte System wissend weiterlaufen zu lassen ist absolut verantwortungslos...

Hier das versprochene HJT Log (nach Virenscanner):

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 22:04:35, on 27.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\xxxxx\Desktop\hijackthis_199-1\HijackThis.exe

N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (d:\xxxxx\netscape_daten\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190836917421
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xyz.dom
O17 - HKLM\Software\..\Telephony: DomainName = xyz.dom
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AC56DC4-AFD3-4EEE-84A7-DD3A0DC93BDB}: NameServer = 192.168.102.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xyz.dom
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xyz.dom
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
         

Fällt da jemandem noch etwas bedenkliches auf?
Ich lass' jetzt nachts auch nocmal den Virenscanner durchlaufen.
Bisher ist jedenfalls nichts auffälliges mehr erkennbar, auch kein "seltsamer" Netzwerkverkehr.

Führe ein Java Update durch! Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!

Die Version Deines Acrobat Reader ist veraltet, aktualisiere Deine Version hier.

Das Hauptproblem ist aber: HJT listet derartige Einträge nicht. Ein IRC Bot schreibt sich zwar i.d.R. in den Autostart, allerdings kann der (AB)User mit der Dauer der Infektion das Wirtssytem beliebig modifizieren.

Zitat:

AntiVir PersonalEdition Classic

Hat auf einem gewerblich genutzen System nichts zu suchen, genau wie weitere Kommentare zu dem Zustand des Systems.
Unsere Meinung darüber hast DU gelesen, der Rest liegt bei Dir.
Auch wenn ich dazu keine Befugnis habe, würde ich hier ein EOD für angebracht halten.

Eins noch:

Zitat:

Meine Mutter hat ein kleines Gästehaus und muss die gesamte Buchungsabwicklung, Angebote, Freimeldungen etc. Online erledigen.

Wie würde es denn Deine Mutter finden, wenn jemand andere Ihre Buchhaltung, sprich Kontoführung übernimmt? Schon mal an diese Konsequenzen gedacht?
Da ist es billiger einen Techniker vor Ort zu konsultieren!:aplaus:

Vielen Dank erstmal für Deine Hinweise.

Ich möchte hier aber mal etwas klarstellen, dass anscheinend von mir missverständlich ausgedrückt wurde.

Es handelt sich nicht um eine gewerbliche Geschichte oder etwas ähnliches sondern um einen Kleinstbetrieb der privaten Zimmervermietung. Um genau zu sein sind es drei Gästezimmer, die saisonal vermietet werden.
Eine Buchhaltung wird auf dem Rechner ebensowenig durchgeführt wie eine Kontoführung. Mit "Buchungsabwicklung" war lediglich die Bestellung und Bestätigung von Zimmern per Email gemeint.

Ich verstehe natürlich die geäußerten Bedenken, bin aber andererseits der Ansicht, dass man die Kirche auch im Dorf lassen muss.
Die Einschaltung eines Technikers scheitert schon allein daran, dass es in unserem Kaff und der Umgebung so jemanden gar nicht gibt.
Der zweite Punkt ist der, dass ein Techniker zwar das System neu aufsetzten könnte, aber wohl kaum den Zustand wieder herstellen könnte, den meine Mutter benötigt, damit sie wie gewohnt arbeiten kann. Bei meiner Mutter ist es schon ein Problem, wenn eine Ordnericon nicht an der Stelle auf dem Schreibtisch liegt, wo es schon immer war - den Rest könnt Ihr Euch denken.

#########

Jetzt aber mal noch 'ne technische Frage:

Angenommen der Rechner wurde tatsächlich modifiziert. AntiVir hat alle erkannten Viren/Trojaner etc. entfernt. Der Rechner hängt nicht direkt im Internet, sondern hinter einem Router, an dem außer Port 22 TCP und Port 1149 UDP und die für VoIP erforderlichen Ports von außen zu sind. UPnP auf dem Router ist aus, Portweiterleitungen gibt es keine. Der Rechner ist jetzt 24h lang gelaufen, ohne dass verdächtige Netzwerkaktivitäten (Richtung Internet) festgestellt werden konnten.

Worin besteht denn jetzt konkret die Bedrohung?
Wie genau könnte eine unerkannte böse Software jetzt noch Schaden anrichten?
Und nachdem es bekanntlich eine absolute Sicherheit ohnehin nicht gibt, würde mich auch eine Abschätzung der Wahrscheinlichkeit interessieren?

Zitat:

Worin besteht denn jetzt konkret die Bedrohung?

Niemand weiß genau was evtl. verbliebene Malwarereste auf dem PC noch so treiben können. Man kann sich Szenarien ausmalen...
Durch die strenge Einstellung im Router dürfte es aber ziemlich unwahrscheinlich sein, dass jmd. von außen den Rechner steuern konnte.

Zitat:

Wie genau könnte eine unerkannte böse Software jetzt noch Schaden anrichten?

Wie genau sie das kann oder was sie machen könnte?
Die Malware könnte mittlerweile so tief im System stecken, dass keinerlei Aktivität mehr festgestellt werden kann, aus dem System heraus. Vllt. wurden sogar schon Windows-Systemdateien manipuliert.
Wie genau hast du die denn überprüft?

Zitat:

Und nachdem es bekanntlich eine absolute Sicherheit ohnehin nicht gibt, würde mich auch eine Abschätzung der Wahrscheinlichkeit interessieren?

Kann man nicht wirklich abschätzen - v.a. nicht wenn bei derartigen Infektionen die Analyse aus dem kompromittierten OS heraus erfolgte.
Eigentlich müsstest du das OS von einer Rettungs-CD wie z.B. die UBCD4WIN (basiert auf BartPE) untersuchen. Dann kann man sichergehen, dass nichts von aktiver Malware versteckt wird. Die ADS von NTFS solltest du auch überprüfen. Die Rettungs-Cd erfordert nat. physikalischen Zugriff auf den PC, aber die ADS kannst du z.B. mit streams.exe sichtbar machen.

Zitat:

Und nachdem es bekanntlich eine absolute Sicherheit ohnehin nicht gibt, würde mich auch eine Abschätzung der Wahrscheinlichkeit interessieren?

Klar gibts keine 100% Sicherheit - es steht aber zu 100% fest, dass die Kiste kompromittiert ist - oder war, kann keiner genau sagen.

Ist letzenendes eh deine entscheidung, ob du die Kiste neu aufsetzt oder so belässt. Wenn du sie aber nicht so belässt, solltest du auch bedenken, dass andere Rechner gefährdet werden können. Dass eure persönlichen Daten in Gefahr sind, wurde ja schon oft genug erwähnt.