Habe ich mein System kompromittiert?
 

Hallo an alle!

Ich habe vor kurzem meinen Logfile zur Auswertung auf trojaner-board gestellt. Mir wurde dann gesagt, dass mein System u. a. kompromittiert ist. Da klingelten nach einer Googlesuche alle Alarmglocken bei mir, verständlicherweise. Wegen Crackern, etc. Aber ich las auch, dass eine Kompromittierung auch eine Manipulation der System-Einstellungen sein kann.(ich habe nur leider keine Quellenangaben, finde die Seite nicht wieder...)

Und jetzt interessiert mich halt, ob diese System-Einstellungen, also die Kompromittierung, durch mich selbst entstanden sein könnte, denn ich habe im BIOS und in der Registry nach Anleitung und auf eigene Gefahr hin vor ner Weile ein paar Dinge geändert, um meinen PC ein bisschen anzuschubsen...Oder ist das wieder was ganz anderes? Das muss ich echt wissen, denn gegen ne Kompromittierung hilft ja nur Neuaufsetzen! Und da ist das Problem, das ich kein Windows hierhab und mir das dann besorgen müsste.

Und wenn man das nicht genau sagen kann, ob die Kompromittierung durch mich oder einen unauthorisierten Benutzer entstanden ist, gibt es da ne Möglichkeit, das zu testen?

Hier jetzt nochmal mein Logfile mit allen Daten, ohne persönliche Infos und Links:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:01:31, on 07.12.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\LXSUPMON.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AGFEO\ISDN Guard\agfguard.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tkmedia.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h*tp://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int50487.exe -auto
O4 - HKLM\..\Run: [microsft Updates] msupdate32.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MSConfig] C:\Dokumente und Einstellungen\*\Desktop\msconfig.exe /auto
O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228092357738
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.130 212.6.108.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.130 212.6.108.131
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
O24 - Desktop Component 0: (no name) - h*tp://w*w.richard-universum.de/blog/wp-content/uploads/2006/05/blumen.jpg

--
End of file - 4417 bytes

Ich hoffe, jemand kann meine Fragen beantworten. Denn ich weiss das alles nicht.

LG Helena

Hallo,

Ja, Dein System sieht kompromittiert aus:

Stammt wohl von Netzwerkwürmern - passiert, wenn man nicht vernünftig absichert.

So ist es, dann muss man formatieren, aber warum ist keine Windows-CD da? Wie kam das Windows auf dem Rechner rauf? :rolleyes:

Naja, das ist ein "Familienpc". Ich denke, der ist fertig installiert gekauft worden und dann wurd die Sicherungscd verschludert....

Aber ich las halt, das eine Kompromittierung durch Hacker, oder sorry, eher Cracker erstellt wurde, so ist das doch, oder? Wegen Einstellungsmanipulierung und so.... Deshalb kam die Frage, ob ich es vielleicht kompromittiert hab....:(

Also, vielleicht hab ich irgendwas nicht so richtig verstanden, obwohl ich Stundenlang alles gegoogelt habe. Also, sorry, wenn das was ich hier schreibe total doof ist, aber ich habe noch nicht viel Erfahrung gesammelt.

Das sieht bei Deinem Logfile nicht danach aus, dass ein Cracker gezielt Dein System angegriffen hat. Eher, wie ich schon schrieb, siehts nach Netzwerkwürmern aus. Das ist Massenware, die Netzwerkwürmer verbreiten sich auch recht rapide, aber eben nur auf ungepatchten Windows-Systemen. Kann aber auch sein, dass jmd. da irgendein Shice angeklickt hat ;) Hast Du den verlinkten Artikel zu den Netzwerkwürmern nicht gelesen? :confused:

Jedenfalls wäre wohl bei Dir ein Formatieren angesagt. Bis Du eine Windows-CD hast, könnten wir aber (aufwändig!!) bereinigen, acker dazu diese Punkte ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

6.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Ok, ich gebe mir Mühe. Fange sofort an, aber wird wohl ein Weilchen dauern....

[CODE]1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Hmmm, ich habe die Anweisungen auf der Freenet-Seite befolgt, trotzdem finde ich in der Suche "C:\Programme\websx\int50487.exe" nicht. (Hab auch selbst mal alles abgesucht...)
Ich habe dann noch nach dem Thema "versteckte Dateien und Systeme" gegoogelt und noch andere Seiten zu diesem Thema gelesen. Habe sogar die Hilfe der Windowssuchfunktion gelesen, aber auch da finde ich nichts...
Ich komme einfach nicht weiter, kann mir jemand einen Tipp geben? Ist der Netzwerkwurm so schwer versteckt?
Wurm:snyper:

Vllt gibs die Datei auch nicht mehr. Überspring diesen Punkt einfach.

So, die ersten Schritte sind getan:

Wie schon gepostet, hat das leider nicht funktioniert. Ich hoffe, die weiteren Angaben sind deshalb nicht unnütz?!?

Stealth MBR rootkit detector 0.2.4 by Gmer, h*tp://w*w.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Hidden Items found: 0
Items queued for renaming:0


Hier jetzt wohl mein Problem:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1474
Windows 5.0.2195 Service Pack 4

08.12.2008 10:58:54
mbam-log-2008-12-08 (10-58-54).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|)
Durchsuchte Objekte: 59740
Laufzeit: 32 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\websx (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Trojan.Agent
Date spotted:
First seen on 2008-01-15.
Last seen on 2008-12-08.

Detection statistics:
This object is 8.64% of all objects detected.
37,546,785 instances detected worldwide.s:
(Hab ich noch dazu gefunden)

Und Schritt 4, ist der jetzt noch notwendig?

Wenn nicht, bestätige mir dann noch mal, ob ich den nächsten Schritt (5)wirklich ausführen sollte! Es reizt mich zwar schon, denn ich liebe das Risiko, aber vielleicht gibts ja doch eine andere Möglichkeit, den wegzubekommen.

Ach und danke für den Fragenstellerlink! Find ich super, dass es das gibt.:daumenhoc

Das Editieren ist mir wohl nicht so recht gestattet, weshalb ich jetzt eine neue Antwort erstelle. :confused:

Ich möchte zu meiner Anmerkung

noch hinzufügen, dass ich mir unsicher bin, diesen Schritt noch auszuführen, da

ja bereits durch Malwarebytes gefunden worden ist.

Bitter acker einfach die Liste ab! Wenn etwa nicht notwendig gewesen wäre, hätte ich das als Eventualität auch schon dann erwähnt!

Ja, auch wenn Du "Angst" vor Combofix hast, führ es bitte gemäß den Anweisungen aus!

Alles klar, dann hier erstmal silentrunner

So hier jetzt die combofix.txt:

filelisting folgt in Kürze!!

Achja, ich vergas zu schreiben, dass ich den Pc nach Ausführen des Combofix neu starten musste.

Und hier nun der Link zum filelisting (ich hoffe, das ist alles richtig so...):

(Ich hätte ja auch schon mal vorher alles verlinken können...:rolleyes:)

Und als letztes kommt gleich mein neuer Hijackthis - Logfile.

Der Weg war schwer, aber ich hab viel gelernt und es hat auch super Spass gemacht! Bin gespannt, was der Hijackthis jetzt sagt.

Trojaner.Agent:snyper:

Die Logfiles sehen wieder erstaunlich sauber aus. :daumenhoc
Grund für Entwarnung aber nicht, denn die Netzwerkwürmer waren bei Dir definitiv aktiv. Aber ich hab ja auch angekündigt, dass es besser ist, ein bereinigtes System zu haben und wenn dann die Windows-CD zur Hand ist, dann es neu aufzusetzen.

Das ist leider falsch, Dir ist da ein Fehler unterlaufen. Mit der Datei folder.htt kann ich nichts anfangen, ich brauche die listing.txt!

Den solltest Du auf keinen Fall mehr weiterverwenden, viel zu unsicher, lässt sich unter Windows 2000 auch nicht mehr auf die sicherere Version 7 updaten, M$ will das wohl nicht. :rolleyes:
Nimm besser Firefox oder Opera in stets aktuellen versionen.

Nochmal muss ich darauf hinweisen: Das sind uralte Programmversionen!
Wenn Du zukünftig vor Befall verschont bleiben willst, musst Du regelmäßig alle Updates für Programme und Windows einspielen!

Ganz fertig sind wir aber noch nicht:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Jetzt interessiert mich aber schon, was genau die gemacht haben. Könntest du mir die Stelle mal zeigen?

Ok, ich poste das hier gleich nochmal.


Während der Bereinigung habe ich Firefox gelöscht...(Ja, absichtlich:schmoll:)
Weil der immer so langsam lief, und wenn man was schreiben wollte, dauerte es ewig, er hat dann auch so laut gearbeitet.. Meinst du, das ginge jetzt wieder anständig? Dann lad ichs mir gleich nochmal runter. Mein Antivirus versucht auch grad sich zu updaten. Bin gespannt, ob das jetzt klappt!


Jep, moment!

Dieser msupdate32.exe scheint vom W32.Spybot zu stammen, muss aber nicht! Der ist schon recht alt, aber da die Dinger neue Lücken reißen kann auch weiteres noch Unentdecktes Zeuch auf Deinem System schlummern.
Netzwerkwürmer versuchen sich immer weiter zu verbreiten. Die kippen Deine Internetleitung mit Kopien von sich zu, um weitere verwundbare Systeme zu infizieren, oder die Leitung von Dir wird dichtgekippt mit Spam, sodass Dein System für einen kleinen Teil der Abermillionen Junkmails in Postfächern weltweit ist.
Eigentlich kann da die ganze Palette drin sein, alles ist möglich, Du solltest auch davon ausgehen, dass alle Eure Passwörter nun bekannt sind, denn die Dinger können Passwörter mitloggen bei der Eingabe.

Naja, das mit Firefox kann ich nicht so ganz nachvollziehen, welche Version war das und was für Hardware hast Du? Interessant sind besonders CPU und RAM. Da Du noch Windows 2000 hast, würde ich vermuten, dass der PC schon älter ist. ;)

Tja, dann ist neuaufsetzen wohl unumgänglich...

Bekomm auch immer wieder dieselben Junkmails. Herr X in Afrika ist gestorben und will mir seine Millionen vermachen. Damit alles glatt geht, soll ich denen meine Kontodaten übermitteln (Echt, keine Sorge, SO DAUig bin ich auch nicht!) Aber es ist schon komisch, dass ich so ca einmal in der Woche mindestens eine Mail davon im Postfach habe. Es geht immer um das gleiche, nur der Name, das Land und die Summe ändern sich. Ich bekomme fast ausschliesslich solche unerwünschten Mails. Habe aber nie nen Link geklickt in ner Mail, oder so, aber ich dachte vor ner Weile schonmal, dass das vielleicht zusammenhängen könnte? Aber nur durch das Öffnen einer Mail (nicht den Anhang) kann doch schadprogrammmäßig nichts passieren?

Macht sich der Besitzer dieses Pcs eigentlich strafbar, wenn so was auf dem Pc abläuft?

Zum Glück macht bei uns keiner Onlinebanking, nur ich hab nen Ebay account. Ist aber nichts auffälliges dort passiert. Ich nutz das Konto nur zum gucken. Brauches auch garnicht, werds wohl gleich löschen.

Puh, die Version.... Das war erst vor ca zwei Wochen. Ich glaube ich habs bei zdnet geladen, bin mir nicht ganz sicher. War aber die aktuellste Version, die für Windows 2000 zu haben war. (3.0.4.??)
Ja, die CPU und RAM Werte würde ich auch gerne wissen. Nur leider weiss ich noch nicht, wo ich das auf dem System ablesen könnte. Ich weiss zwar, dass das irgendwie geht, aber wie noch nicht... Gebrauchsanweisung und sowas, wo das drinsteht, haben wir hier natürlich auch nicht... (Schluder, schluder:pfui:) Der Pc ist so sechs oder sieben Jahre alt. Ich interessiere mich auch für Windows XP, aber das muss ja auch mit der Hardware passen.

Ich meinte eher die andere Richtung. Spam bekommen und Spam versenden (ohne wirkliche Kenntnis des Benutzers darüber) sind zwei Paar Schuhe. Dass man Spam empfängt, dagegen kann man kaum was tun bis auf ein paar Regeln, die das Spamaufkommen im eigenen Postfach auf ein Minimun reduzieren.

Aber dadurch, dass die eigene Kiste infiziert ist und deswegen der Rechner womöglich noch gleich in ein Botnetz ist, wird man selbst zum Gefahrenherd, da die aktive malware Spam versendet!

Naja, rein theoretisch schon. Der Provider kann auch in Notfällen den Internetanschluss sperren wenn nichts anderes mehr greift. Ob es deswegen schon zu Verurteilungen gekommen ist, weiß ich nicht. Bei dem Spamaufkommen weltweit wird aber auch nicht überprüft, welche Mail da von wem genau gekommen ist. Ich denke das ist auch schon weitgehend bekannt, dass viele ONUs vor ihren versifften Kisten sitzen und davon garnichts wissen, dass "ihre" aktive Malware munter rumspammt. :twak:

Eigenschaften von Arbeitsplatz stehen gleich Informationen über den Computer. Noch genauer gehts mit Everest Home

Motherboard : AMD-K6-2, 400MHz (4x100)
Arbeitsspeicher : 64MB
Grafikkarte : 3dfx Interactive, inc. Voodoo3 (16MB)
Monitor : 17"CRT
Festplatte : 8GB 5400 RPM

Also, wenn ich das mit aktuellen Werbeprospekten vergleiche, dann ist der schon ziieemlich alt:rolleyes:

Der ist uralt, das war so ziemlich genau vor 10 Jahren mal in :lach:

So, jetzt habe ich die richtige Datei verlinkt:

http://www.file-upload.net/download-...sting.txt.html

Ok, ein "Link" ist das trotzdem nicht geworden....(Editiert)

Na, jetzt versteh ichs endlich!!

Ich warte noch auf das Combofix - Scripten :rolleyes:

Hmm, das ist komisch, ich wollte gerade das Combofix - Scripten starten, und meinen Antivir Guard deaktivieren, doch der ist nicht zu finden! Der taucht auch nicht im Statusmenü in der Übersicht auf. Im Expertenmodus kann ich ihn auch nicht finden und bei Rechtsklick auf den Schirm in der Taskleiste finde ich ihn auch nicht.... Der Schirm ist auch geöffnet. Als ich den runtergeladen habe, war der Guard noch überall zu finden. Das ist echt komisch, werde den eben noch mal neu runterladen.

Ist der noch installiert? :confused:
Wenn nicht, und der auch nirgendwo im Taskmanager auftaucht, kannst Du den später nachinstallieren. Mach das dann erst mit Combofix.

Also, ich fasse mal kurz zusammen, was die letzten Stunden passiert ist:

Als erstes kam meine Schwester bei mir an, und erzählte mir, sie hätte nen Link über ICQ bekommen, wie alle ihre Freunde dort, den sie dann natürlich auch anklicken musste:headbang:! Sie wurde dann auf eine Seite namens versaute Klassenfahrt umgeleitet(Ja, ich habe sie gebeten, nie wieder Links bei iCQ anzuklicken!). Das war vor zwei Tagen. Und ich wundere mich, das der PC heute Probleme beim runterfahren hat, und das sich das Internet nicht automatisch trennt, wie sonst immer!

Dann habe ich grade den Combofix ausgeführt und als er den Logfile angezeigt hat, kam die Meldung und zwar war das "C:/Quoobox/Quarantäne/[4]-Submit".
Also, beim ersten Mal ist diese Meldung nicht gekommen, haben wir uns jetzt schon wieder was eingefangen? (Vielleicht dank ICQ?)Neuer Hijackthis?)

Naja, dann ist da noch das Problem, das der Logfile nicht zu finden ist? Der alte ist noch da, aber mit Datum von gestern(dachte, vielleicht hätte sich der neue da mitreingestellt, aber kann ja eigentlich auch nicht...). Werde mal weitersuchen. Der kann ja nicht einfach weg sein. Aber musste auch wieder neu starten, weil der komplett eingefroren ist. Wenn ich ihn gleich finde, poste ich ihn.

Saublöd das ganze. :lach:
Konsequenz: Der Schwester die Adminrechte entziehen oder gleich PC-Verbot. :kloppen:
Wenn Ihr daran nicht nachhaltig was dran verändert, dann werdet Ihr immer wieder Opfer von Malware, dann bringt auch das ganze Neuaufsetzen nix mehr, wenn Ihr Euch ständig neu infiziert.

Du kannst im Grunde mit der Liste von vorne anfangen. Bitte alle Logfiles der Liste nach neu erstellen und hier mit Codetags umschlossen posten.

Echt zum kotzen, habe mir gedacht, ich richte Benutzerkonten ein, nachdem wir neuaufgesetzt haben! Wusste ja nicht, dass innerhalb von zwei Tagen gleich wieder was neues draufkommt...:twak: Habe grade für jeden ein Konto eingerichtet und nur noch die werden genutzt.

Sorry, mein erster Gedanke war: OH NO.... Aber gut, was solls, gleich alles nochmal. So lernt man auch neues, indem man alles wiederholt:lach:
Mit Codetags umschlieesen oder doch lieber als Link setzten (nach deiner Anleitung)?

Ähm, die letzte listing.txt kann ich einfach nicht mehr finden.

Sieh aber auch zu, dass die Konten nur Benutzer- und keine Adminrechte bekommen! Auch keine Hauptbenutzerrechte! Das Administratorpasswort sollte auf keinen Fall leer oder zu einfach zu erraten sein und am besten nur Du wissen oder zumindest der, der sich mit der Materie auskennt. ;) Denn nur der kann systemweit Programme installieren oder das System manipulieren.

Die alte listing.txt ist jetzt egal, Du solltest eh nun neue Logfiles erstellen. Soweit es geht, bitte um Codetags umschlossen posten (keine Zitat-Tags!!).

Alles eingeschränkte Benutzerkonten!:)

Soll ich das als Kompliment auffassen???:):):)

Oha, den Fehler habe ich garnicht bemerkt...!
Dann mache ich das hier jetzt hoffentlich mit dem neuen Hijackthis-Logfile richtig:

Hatte grade heftige Probleme, erst brach die Internetverbindung ab, dann ist der Computer abgestürzt. Beim Neustartversuch ist der Desktop nicht mehr aufgetaucht, bin dann im abgesicherten Modus hochgefahren. Wusste mir erstmal nicht anders zu helfen und habe Malwarebytes durchgeführt. Er fand gleich sechs infizierte Dateien, die dann in Quarantäne geschoben worden sind. Dann funktionierte wieder alles. Den Logfile setzte ich mal mit hier rein:

Werde jetzt bei Punkt 1 weitermachen. Ich denke, das ist diesmal was recht aggressives....:headbang:

Hier der mbr-Logfile:

Und Blacklight fand nichts. (Dann geh ich davon aus, das alles sicher in Quarantäne ist.)

Und noch der Silentrunnerlogfile:

Und noch ein Backdoor :headbang:
Was ist mit Combofix? Sieh bloß zu, dass Du schnellstens die Windows-CD auftreibst und diesem System ein Ende setzt!

Sind es nicht zwei Backdoors? Malwarebytes hatte zwei entdeckt, ausserdem 4neue Trojaner.

Jetzt nun das Combofix - Ergebnis (Ja, die Wiederherstellungskonsole....*schäm*):

Und, ich hoffe, es hat alles geklappt:

http://www.file-upload.net/download-...sting.txt.html

Zu guter letzt, das aktuelle Hijackthis - Logfile:

Nun mach es bitte mit dem CF- Scripten:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hey,
tut mir leid, dass ich mich jetzt erst wieder melde, aber das nächste, was ich nach meinem letzten Beitrag hier gemacht habe, war nochmal das Avira Antivirus durchlaufen zu lassen... Und es fand wahnsinnige 880 Viren auf dem PC! Dann wollte der Pc garnichts mehr machen, nicht mal mehr runterfahren, das war echt traurig...

Naja, wir haben das Ding dann garnicht mehr angemacht, wie gesagt, die Sicherungscd war nicht mehr aufzufinden und neu kaufen wäre blöd gewesen bei Windows 2000, kann sicher jeder nachvollziehen.

Zu Weihnachten haben wir uns dann einen neuen PC besorgt und der hat auch Windows XP. Habe auch schon alle nötigen Sicherungen durchgeführt, ich denke, dass wir erstmal verschont bleiben von Trojanern und Co.

Und danke Root24 dass du mir geholfen hast (auch wenn ichs nicht geschafft hab, echt schade) aber das ganze hat mir wirklich sehr viel Spass gemacht! Vielleicht schreibt man sich ja mal wieder!
Tschaui
:party: