Verunsichert !
 

Bin sehr verunsichert da ich in letzter Zeit sehr viele Viren/Troj et.c schon direkt nach der Win installation hatte. Hatte auch diesmal welche aber ich glaube ich konnte sie besiegen. Hier trozdem mein Log:


Logfile of HijackThis v1.98.2
Scan saved at 19:29:52, on 05.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\BackWeb-4476822.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\Rene\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1710D45-7D42-4F73-96DE-5A6ADDF53558}: NameServer = 217.237.150.97 194.25.2.129

Dein System ist nicht upgedatet und du hast mindestens einen Backdoor drauf:

O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe

Wenn du eh gerade neu installiert hast, befolge bitte die folgenden Regeln:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org (dies wöchentlich wiederholen)
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen

Gibts da jetzt auch ne ander möglichkeit ? hab die Nase langsam voll vom Formatieren.

Es git keine Möglichkeit, die dir garantieren kann, dass dein System sauber ist. Nach einer Neuinstallation wäre das so und wenn du die Dinge beachtest, solltest du auch nicht so schnell wieder neu installieren müssen. :)
Ich dachte, wenn du das eh egrade gemacht hast, hast du noch nicht viel weiteren Kram drauf?

Och doch hab meine gesammten Daten schon wieder draufgehabt ( alle clean ) ist nicht das Problem mit den Daten ist nur blöd wenn man am Tag schon 6 mal formatiert hat.

Was ist eigentlich die Datei vsmon.exe ? muss ich schon wieder vom bösen ausgehn ???

Du kannst an einem Tag 100mal neu installieren, wenn du dabei nicht gewisse Grundregeln beachtest, wirst du nahezu sofort wieder Opfer eines Angriffs. Deswegen mach es noch EINMAL, dann aber richtig (siehe 11 Punkte).

Du musst nach der Neuinstallation dein System unverzüglich patchen, denn der Trojaner, den du draufhast, nutzt Sicherheitslücken des Betriebssystems aus, die längst erkannt und geschlossen sind, allerdings nicht, wenn man die entsprechenen Patches eben nicht installiert. Deswegen solltest du dir eine Service Pack 2 CD besorgen, die im Moment auf jeder PC-Zeitung zu finden ist und dieses gleich der Neuinstallation ebenfalls installieren und zwar BEVOR du auch nur ans Onlinegehen denkst. Oder du aktivierst die Xp-interne Firewall BEVOR du online gehst für deine Verbindung und gehst dann sofort auf die Microsoftseite zum Updaten.

Die vsmon ist normalerweise sauber, aber weil Trojaner mit weitreichenden Funktionen in einem System, dessen Tore wie bei dir sperangelweit für jeden Angreifer offenstehen, durch letzteren für alles Mögliche mißbraucht werden könne, auch zum manipulieren von Systemdateien, gibt es hier keine Sicherheit mehr. Also tu bitte dir und uns allen den Gefallen (denn dein PC kann im Handumdrehen zur Virenschleuder umfunktioniert werden), noch einmal neu zu installieren und alles zu beachten, was aufgezählt wurde.

Ich hatte alles akualisiert SP 2 von CD IE,Win.... hab nur gefragt weil vorher vsmon.exe andauernt nen Virus oder sowas war. Jetzt ist aber alles sauber.

Wer hat vsmon.exe denn als Virus angezeigt? Poste mal ein neues Logfile.