Lösche deine temporären Dateien inklusive der Intenetfiles, per Hand oder mit www.clearprog.de

Deaktiviere die Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

Fixe mit HJT:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/208c58c...RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Reboote und aktiviere die Systemwiederherstellung.

E-Scan findet auch Dateien, die beispielsweise bei Ausführung ein Reboot benötigen, achtet sozusagen auch auf potentiell gefährliche Dateien, die aber als "nicht-Virus" gekennzeichnet werden. Wobei es mich wundert, dass Mediatickets nicht gelöscht wird, wobei die Frage wäre, ob du im abgesicherten Modus gescannt hast.

Hallo Mountainking,

zu 1. mit clearprog erledigt.

zu 2. und 4. Ich benutze W2K

zu 3. erledigt:

Logfile of HijackThis v1.98.2
Scan saved at 16:08:57, on 17.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\drivers\trcboot.exe
C:\Program Files\IBM\Personal Communications\PCS_AGNT.EXE
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\C4ebreg\isamsmt.exe
c:\sdwork\issimsvc.exe
C:\PROGRA~1\AT&TNE~1\NetCfgSv.EXE
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\Drivers\ldlcserv.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\Program Files\c4ebreg\c4ebreg.exe
C:\Program Files\NavNT\vptray.exe
C:\WINNT\system32\ltmsg.exe
C:\WINNT\system32\S3Tray2.exe
C:\WINNT\system32\tp4serv.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINNT\system32\PRPCUI.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe
C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmon.exe
C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe
C:\Program Files\Common Files\TerraTec\Remote\TTTVRC.exe
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINNT\system32\NOTEPAD.EXE
E:\Download\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iamapp] "C:\Program Files\Symantec_Desktop_Firewall\IAMAPP.EXE"
O4 - HKLM\..\Run: [C4EBReg] "C:\Program Files\c4ebreg\c4ebreg.exe" /q
O4 - HKLM\..\Run: [ISAM SMT Service] "C:\Program Files\C4ebreg\isamsmt.exe"
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\NTFSCLUP.EXE
O4 - HKLM\..\Run: [CSScheduleCheck] C:\CFGSAFE\SCHWIZEX.EXE -CHECK
O4 - HKLM\..\Run: [ISSI EZUpdate Service] "c:\sdwork\issimsvc.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Program Files\Common Files\TerraTec\Remote\TTTVRC.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3DAB7EE-A2CC-4F49-B695-4A414147DDBA}: NameServer = 217.237.150.225 217.237.150.141


By the way, ist mir etwas interessantes (?) aufgefallen. Für mehrere Stunden (ich checke immer mal wieder mit HJT) bleibt meine Reg von den fraglichen Einträgen

...
O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\Run: [Microsoft Update] winamp.exe
O4 - HKLM\..\Run: [WindowsRegKey update] WINUPDATE.EXE
O4 - HKLM\..\Run: [SYSTEM] lsas.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\RunServices: [Microsoft Update] winamp.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] WINUPDATE.EXE
O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
etc.

verschont. Sobald ich aber AD-Watch (damit wollte ich die Kiste zusätzlich vernageln) starte, geht es los: einige Sekunden nach dem Start meldet Ad-Watch den Versuch die o.g. Einträge in der Reg vorzunehmen.
Es kommt noch besser: Bisher habe ich den Ad-Watch Alarm immer mit "Block" quittiert - mit dem Ergebnis, dass die Einträge nach Kontrolle mit HJT trotzdem wieder in der Reg standen. Spaßeshalber habe es eben umgekehrt gemacht und den Zugriff erlaubt - diesmal war die Reg clean.

Bin ich jetzt paranoid oder habt Ihr so etwas schon einmal gehört? Ich würde ja glauben, dass ich mir eine verseuchte Version von Ad-Watch eingefangen habe, aber nach dem Ergebnis des e-Scan ist das doch recht unwahrscheinlich. Oder?

Danke für Deine/Eure Antwort

Joschmd

Du bist keineswegs paranoid, sondern hattest/hast mehrere Trojanische Pferde im System, die Angreifern die Möglichkeit zur weitgehend unbeschränkten Manipulation desselben gegeben haben. Was ein potentieller Angreifer mit diesen Möglichkeiten gemacht hat, ist nicht mehr mit "normalen" Mitteln nachzuvollziehen bzw. zu bereinigen, die gefundenen und entfernten Trojaner können problemlos nur als Einfallstor gedient haben, während inzwischen Systemdateien verändert wurden, unsichtbare Verzeichnisse eingerichtet sind und vieles andere mehr. Die einzige und schnellste Möglichkeit, ein definitiv wieder vertrauenswürdiges System zu erhalten, ist daher eine Neuinstallation.

http://oschad.de/wiki/index.php/Kompromittierung

http://www.mathematik.uni-marburg.de...ompromise.html

Danke Dir Mountainking,

die Kiste sollte sowieso in nächster Zeit ein Update auf XP bekommen. Dann mache ich sie eben komplett platt und führe eine Neuinstallation from scratch mit allen Patches usw. durch. Wie schon gesagt komme ich um den IE vorerst berufsbedingt nicht drumherum. Und so lange muss ich trotz Antivir und Firewall etc. etc. wohl immer mal mit bösen Überraschungen rechnen (wobei man im Netz eben nie wirklich sicher ist).

Bis dahin bin ich aber wohl fürs Erste zumindest die Symptome des Angriffs los. Dafür möchte ich allen im Trojaner-Board engagierten Helfern ganz herzlich danken. Wenn diese ganze Malware-Sch... etwas Gutes hat, dann dass sich solche Communities zusammenfinden. Ich wünsche Euch alles Gute.

Joschmd

Hier gibt es eine Anleitung zur sichereren Konfiguration des IE:

http://www.datenschutzzentrum.de/sel...sie/config.htm

Prinzipiell lässt sich durch regelmäßige Updates und entsprechende Einstellungen, speziell der aktiven Inhalte, auch der IE verhältnismäßig sicher machen. Im Gegensatz zu weitverbreiteten Glauben sind Schädlinge, die sich "einfach so" auf dem eigenen Rechner installieren, sehr selten, bei einem richtig konfigurierten System auf aktuellem Patchstand blieben da eigentlich nur bisher unerkannte Schwachstellen im System und das ist, wie gesagt, in der Realität eher selten, meist wird eine Schwachstelle bekannt und erst danach tauchen die ersten Viren auf, die sie ausnutzen, wie bei Sasser.

Die erdrückende Mehrzahl infizierter Rechner ist aufgrund des Fehlverhaltens der User in diesem Zustand, die die Schädlinge entweder aktiv oder passiv selbst ins Haus geholt/gelassen haben.
Deswegen, wenn du XP installierst, hole dir vorher service Pack 2 auf CD und installieren den gleich noch vor dem ersten Onlinegehen, aktiviere die interne Firewall für die Verbindung und hol die neuesten Patches, so viele dürften das dann nicht sein. Schalte unnötige Dienste ab (www.dingens.org) konfiguriere die Programme so, dass sie keine aktiven Inhalt ausführen und natürlich ist imemr Vorsicht bei mails und bestimmten Seiten geboten, aber bei beachten der Grundregeln ist die Wahrscheinlichkeit unliebsamer Überraschungen im Grunde ziemlich gering, es muss halt imemr der Hintergrundwächter von brain 2.0 mitlaufen, der ist wesentlich als ein Virenscanner (kann man haben) oder Firewall (eigentlich überflüssig).