Ständige Angriffe von Trjanern/Würmern..Was tun?

Hallo Jule,

prüfe deinen PC erst mal mit einen Online-Scanner, am besten mit allen Dreien.
Für eine schnelle und kostenlose Überprüfung des kompletten System bieten die folgenden Online-Scanner gute Dienste. Übrigens, alle laufen nur unter dem Microsoft Internet Explorer und besitzen eine Reinigungsfunktion.

BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen)

Trend Micro Anti-Spyware, Free Online Spyware Removal Utility,
Nur in Englisch und für Windows XP und 2000
http://www.trendmicro.com/spyware-scan/
(Findet und bereinigt nur Spyware und Adware)

Lade dir auch die ebenfalls kostenlose Software von Ewido herunter.
ewido anti-malware, ca. 7,6 MB
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen, gehe dazu auf
http://www.ewido.net/de/download/updates/

Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einen erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Wichtig!
Wenn die Malwarescanner was finden dann Poste bitte die Scan-Protokolle.

Auch der HijackThis-Log ist sehr nützlich.
Er liefert steht’s wertvolle Informationen über den Zustand deines System und
kann das eine oder andere Problem auch lösen.
Bitte erstelle zum Schluss mal ein HijackThis-Log.
Gehe dazu auf die Webseite
http://www.hijackthis.de/     
und folge den Anweisungen und poste den Logfile hier.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Hallo!
War i Urlaub, daher kann ich erst jetzt posten..Erstmal danke für die ganzen proggs...
Hier die "Ergebnisse":

Panda: 4 Spyware gefunden

Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 20:54:52, on 22.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\LXSUPMON.EXE
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Xfire\Xfire.exe
D:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Julia\LOKALE~1\Temp\Rar$EX00.766\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Xfire.lnk = D:\Xfire\Xfire.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{76296B74-C3A5-4CC3-B296-EAD634463BC8}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll MsgPlusLoader.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NtDIC(ntdic) (NtDIC) - Unknown owner - C:\WINDOWS\system32\winz0r.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

ewido:

 + Erstellt am:      20:47:49, 22.03.2006
 + Report-Checksumme:   669D3451

 + Scanergebnis:

   C:\WINDOWS\system32\asn.exe/bot.exe -> Backdoor.Rbot : Gesäubert mit Backup
   C:\WINDOWS\system32\dl.exe -> Downloader.Cryptic.b : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Cookies\@122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Cookies\@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Cookies\@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Cookies\@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Cookies\@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Cookies\j@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Cookies\@questionmarket[1].txt -> TrackingCookie.Questionmarket : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Cookies\@valueclick[1].txt -> TrackingCookie.Valueclick : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Cookies\@weborama[2].txt -> TrackingCookie.Weborama : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Cookies\@zedo[1].txt -> TrackingCookie.Zedo : Gesäubert mit Backup

Hi,

dein größtes Problem heißt zu Zeit noch Windowsupdate!
Das Windows XP Betriebssystem ist nicht aktuell, es wurden nicht alle Sicherheitsupdates eingespielt. Da kann selbst ein Virenscanner nicht alles vereiteln.
Hier muss unbedingt gehandelt werden!
Nur mit SP2 und allen Patches ist Windows XP ausreichend vor Gefahren geschützt.

Bitte umgehend alle Windowsupdates einspielen, es gibt keine Ausrede weshalb man dies nicht machen sollte, sofern man einen DSL Anschluss hat. Ansonsten besorge die Updates über Freunde die einen DSL besitzen.
Updates Links für Windows XP:
Service Pack 2, ca. 265MB:
http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=de
Sicherheitspatches nach SP2, ca. 82MB:
http://download.winboard.org/downloads.php?release_id=1226


Scanne deinen PC nach dem Windowsupdate noch mit dem Online-Scanner von
Trend Micro, nur in Englisch und für Windows XP und 2000
http://www.trendmicro.com/spyware-scan/
(Findet und bereinigt nur Spyware und Adware)

Das Protokoll von Panda wäre sehr hilfreich,
jetzt wissen wir nicht was er an Spyware gefunden hat.
Wiederhole den Check mit Panda zur Kontrolle noch mal.
Wie ich sehe, ist von Bitdefender die Freeversion installiert.
Aktualisiere ihn und scanne ebenfalls dein System mit diseser Software.
WICHTIG!
Wenn die Malwarescanner was finden, dann Poste bitte die Scan-Protokolle.

Welche Version von Outpost wird eingesetzt?

Hi,
ich hab das sp2 und die Sicherheitspatches runtergeladen und installiert..Hatte vorher nur sp1 drauf, da ein Bekannter meinte, das sp2 sei unnötig><

Nach dem Installieren hab ich dann gleich nochmal im abgesicherten Modus gescannt:


   C:\WINDOWS\system32\asn.exe/bot.exe -> Backdoor.Rbot : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\\Cookies\@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\\Cookies\@weborama[2].txt -> TrackingCookie.Weborama : Gesäubert mit Backup

Panda hat folgendes entdeckt (sry hatte den Report nicht gefunden^^):

Spyware:Cookie/Adtech                                                           Nicht desinfiziert            C:\Dokumente und Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ih8e1uwx.default\cookies.txt[]                                                                                                                                                   
Spyware:Cookie/Atlas DMT                                                        Nicht desinfiziert            C:\Dokumente und Einstellungen\Cookies\@atdmt[1].txt                                                                                                                                                                                                 
Spyware:Cookie/Weborama                                                         Nicht desinfiziert            C:\Dokumente und Einstellungen\Cookies\@weborama[2].txt                                                                                                                                                                                             
Spyware:Cookie/Seeq                                                             Nicht desinfiziert            C:\Dokumente und Einstellungen\Cookies\@www48.seeq[1].txt                                                                                                                                                                                           
Spyware:Cookie/Xiti                                                             Nicht desinfiziert            C:\Dokumente und Einstellungen\Cookies\@xiti[1].txt                                                                                                                                                                                                 
Spyware:Cookie/Zedo 

Zu der Version der Firewall (ich hoffe das ist so richtig xD):

Outpost Firewall main module, Dateiversion:3.0.458.6213

So,

hier sehen wir was passiert wenn SP2 und die Sicherheitspatches nicht installiert sind.
„C:\WINDOWS\system32\asn.exe/bot.exe -> Backdoor.Rbot : Gesäubert mit Backup“
Die Malware hat sich in kürzester Zeit nach der ersten Bereinigung wieder eingenistet.
weil sie eine Sicherheitslücke gnadenlos ausgenützt hat.

Die Meldungen
Spyware:Cookie (Panda)
TrackingCookie (Ewido)

sind recht harmlos – stellen keine Gefahr dar -, lösche aber zur Sicherheit mal deine Cookies.
Falls noch nicht erfolgt, scanne den PC noch mit Trend und Bitdefender zur Kontrolle.
Die Version der Firewall ist OK.

Ist eins deiner Probleme noch immer existierend?

Sooo..habe heute nochmal formatiert (nur C: wo halt windows drauf ist^^) ..und hab diesmal alles raufgespielt..sp1+sp2+Sicherheitsupdates, Firewall,Antivir...Hab nach 2h Inetbetrieb nochmal im abgesicherten Modus gescannt, es wurde aber nichts gefunden
Miteinmal aber habe ich ein anderes Problem: Hardware Monitor found an error..enter Power setup menu for details

=( Aber das scheint wohl nichts mit einem trojaner oder Wurm zutun zu haben...Jedenfalls hängt sich der Rechner jetzt beim Spielen etc auf (eingefrorenes Bild) und wenn ich Reset klicke, erscheint diese Meldung...

Wieso so hast du jetzt noch mal formatiert?
Egal, wenn du damit deine Probleme in Griff bekommst, ist das auch eine gute Lösung.
Besorge dir wegen deinen Hardwareproblem einen aktuellen Treiber für deine Grafikkarte.
(Ist nur eine Idee, ...)

Ich hab nochmal formatiert, da der Bot immer wieder kam:S Aber jetzt ist Ruhe^^
Die Fehlermeldung soll (hab mal gegoogelt) am Cpu liegen, dass der zu warm wird:( Ich hab im Bios mal unter Power Menü geschaut, jedenfalls zeigt er unter "Voltage" den 2. Wert +3.3V -->2.74 an... und wenn der 2.74 Wert auf 2.68 runtergeht, wird die Zahl rot angezeigt:S

Ach ja hab Graka Treiber trotzdem mal aktualisiert, hat aber nichts gebracht...