hallo,

ich habe meine hdd letzte woche formatiert u. win xp neu inst. ich nutze eine norton firewall u. antivirus. zusätzlich das prog. search & destroy, spywareblaster, stinger v. mcaffe sowie ad-aware se. jeweils natürlich auf dem neuesten stand. als browser nutze ich firefox.

leider beginnen sofort bei herstellung einer i-net verbindung die daten von meiner platte zu fließen. ich kann das genau beobachten wenn ich den status meiner i-net verb. aufrufe.

wie bekomme ich mein syst. clean?
hat jemand tipps für mich o. links?
da ich denke daß es sich um einen trojaner handelt, wäre es da wohl sinnvoll das system nur zu säubern, oder hat das keine aussicht auf erfolg, da höchstwahrscheinlich schon tiefeinfreifende sys. änderungen vorgenommen wurden?
welche software brauche ich noch zusätzlich?

ich bin für jede hilfe dankbar, weil ich mein system eben deshalb neu aufgesetzt habe. und nun habe ich wieder einen "schnüffler" drauf :-(

danke schonmal.

Also ich hab ja auch Norton Firewall mit Virenscanner und da fliesst nix!

Vielleicht solltest mal die Bedienungsanleitung von Norton lesen und dann die Firewall richtig einstellen.

Im Normalfall dürfte da nämlich kein Traffic sein, wenn alles richtig läuft.

Hast du denn schon Norton Live Updates gemacht? Virenscan danach laufen lassen? Wird was gefunden?

Mehr als das zu sagen kann ich in dem Fall leider nicht machen.

Paranoid? :ugly:

Ein wenig Datenverkehr gibt es immer. Sonst würdest du wahrscheinlich wegen eines Ping Timeouts fliegen.

also wenn du formatiert hast, darf eigentlich nichts mehr drauf sein. wenn es sich allerdings um boot-viren handelt, sieht die sache anders aus- die werden imo nicht formatiert...
was man da machen könnte, weiß ich jetzt auch nicht so recht;(

Vielleicht solltest mal die Bedienungsanleitung von Norton lesen und dann die Firewall richtig einstellen.

Hast du denn schon Norton Live Updates gemacht? Virenscan danach laufen lassen? Wird was gefunden?

Mehr als das zu sagen kann ich in dem Fall leider nicht machen.

wie geschrieben, alles neu aufgesetzt u. upgedatet, alles richtig konfiguriert.
es ist übrigens der nav 2004 u. firewall 2002. aber das dürfte doch keine rolle spielen, oder? ich mache fast täglich updates. ich nutze auch noch nicht das servive pack 2.

bedienungsanleitung habe ich auch gelesen ;-)

kann mir jemand helfen?

also wenn du formatiert hast, darf eigentlich nichts mehr drauf sein. wenn es sich allerdings um boot-viren handelt, sieht die sache anders aus- die werden imo nicht formatiert...(

ich habe aber auch die patitionen gelöscht u. neu formatiert u. partioniert. das problem ist, daß ich als ich zum ersten mal die i-net verb. hergestellt habe, habe 1x auf "zulassen" geklickt als ein remote-system versucht hat auf meinen rechner zuzugreifen wollte (sofort). da werde ich mir das ding wohl eigefangen haben.

also lieber nochmal neu alles oder habe ich eine chance den rechner wieder clean zu bekommen?

ist ein kompromitiertes system 100% wieder zu säubern o. nicht?

ich nutze auch noch nicht das servive pack 2.

kann mir jemand helfen?

1. Schmeiss Norto runter und hole dir kaspersky!
2. Mache unbedingt das SP2 und die nachfolgenden Updates drauf!


Zu 2tens---> Also machnmal frage ich mich wirklich!! Keine Updates und dann wundern.

! Keine Updates und dann wundern.

danke für deine empfehlung. updates mache ich mehrmals wöchentlich.

[...]

leider beginnen sofort bei herstellung einer i-net verbindung die daten von meiner platte zu fließen. ich kann das genau beobachten wenn ich den status meiner i-net verb. aufrufe.

[...]


Wie genau kommst du darauf, dass die Daten die gesendet werden von der Festplatte stammen?

Wie ist die Firewall bezüglioch ICMP Echo reply eingestellt? Könnte es sein das der Traffic, den du "siehst" der ganz normale Traffik (Ping und diverse versuche von Würmern und Portscannern) ist?

MfG

BUGFIX

wollte mir gerade das service pack2 runterladen. diese meldung bekam ich dann:

Vielen Dank für das Interesse an Windows Update!

Windows Update ist die Onlineerweiterung von Windows, die dabei hilft, den Computer optimal zu nutzen.

Internet Explorer 5 oder höher muss ausgeführt werden, um Windows Update verwenden zu können.

das ist doch schon wieder mal windows diktat. ich benutze den ie eben wegen der mangelnden sicherheitslücken nicht. ich glaube ich wechsel auf linux :-)

wie sieht es eigentlich aus mit systemsicherheit bei linux? sicherer als windows ist es bestimmt oder?

danke für deine empfehlung. updates mache ich mehrmals wöchentlich.


Nein eben nicht...du kein SP2 (da sind viele viele Updates drinne) und somit auch keine nachfolgenden Updates.
Was meinst du eigentlich wofür die sind? Richtig....zum schliessen von Sicherheitslücken!


mfg

mmm...

Die einfachste Variante ist, du postet mal ein Log von HijackThis, dann können wir gucken, ob da ein böser Process drinne ist.
Etwas Traffic ist normal, SP2 kann man sich runterladen und brennen, sollte also nicht das Prob bei einem neuinstallieren System sein.

Edit: SP2 download (http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a) ... rechts ist der Downloadbutton ... wenn die PFw richtig konfiguriert ist, sollte es keine Probs mit Blaster und Co. von extern geben. Solltest du aber eine Email mit komischen Inhalt bekommen haben und den Anhang ausgeführt haben, kann es ein Prob sein ...

wollte mir gerade das service pack2 runterladen. diese meldung bekam ich dann:

Vielen Dank für das Interesse an Windows Update!

Windows Update ist die Onlineerweiterung von Windows, die dabei hilft, den Computer optimal zu nutzen.

Internet Explorer 5 oder höher muss ausgeführt werden, um Windows Update verwenden zu können.

das ist doch schon wieder mal windows diktat. ich benutze den ie eben wegen der mangelnden sicherheitslücken nicht. ich glaube ich wechsel auf linux :-)

wie sieht es eigentlich aus mit systemsicherheit bei linux? sicherer als windows ist es bestimmt oder?


Sorry...aber du solltest komplett zu Linux wechseln....wenn du schon nicht mal Updates mit dem I-Explorer ziehen willst....ohh mann!!!!!!!!!
Meinst du der beisst dich?
Was willst du bei Linux? Kannst ja noch nicht mal Windows updaten!


mfg

@bandit666,

es tut mir sehr leid wenn du einen schlechten tag hattest. warum du mich deshalb so anmuckst weiss ich aber nicht. weil ich kann da ja auch nix für :-)

@bugfix,

es fließen zuviele daten, bzw. der datenstrom ist zu groß um "normal" zu sein.
da ich keine pers. daten auf der platte habe, sehe ich es im mom. noch gelassen. aber bevor ich weitere sw inst. möchte ich die sache im griff haben.

@lokamadus,

hast du einen link für hijack? ich würde dein angebot gerne annehmen :-)

es sausen übrigens etwa 4,3 kb in der min. im upload v. der platte

@bandit666,

es tut mir sehr leid wenn du einen schlechten tag hattest. warum du mich deshalb so anmuckst weiss ich aber nicht. weil ich kann da ja auch nix für :-)

@bugfix,

es fließen zuviele daten, bzw. der datenstrom ist zu groß um "normal" zu sein.
da ich keine pers. daten auf der platte habe, sehe ich es im mom. noch gelassen. aber bevor ich weitere sw inst. möchte ich die sache im griff haben.

@lokamadus,

hast du einen link für hijack? ich würde dein angebot gerne annehmen :-)


Ja...war auch nicht so gemeint....Sorry!
Mich regt es nur auf wenn leute rumheulen sie hätten Virus und Co zu hause, aber wenn man dann fragt sagen sie "SP2? Was ist das?".
Und da könnte ich mich manchmal aufregern!

mfg

HijackThis (http://www.merijn.org/files/hijackthis.zip)

Die links für solche Programme findest du in diesem Thread hier im Windows Forum.
Linksammlung gegen Viren/Spyware/Dialer usw usw (http://www.forum-3dcenter.org/vbulletin/showthread.php?t=96906)

Logfile of HijackThis v1.99.1
Scan saved at 21:32:55, on 08.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\WINDOWS\TBPanel.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\msn7.exe
C:\Programme\ABIT\ABIT uGuru\uGuru.exe
C:\WINDOWS\System32\taskmgrs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Norton Personal Firewall\ATRACK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\#unzipped\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MSN7 Startup] msn7.exe
O4 - HKLM\..\Run: [ABIT uGuru] C:\Programme\ABIT\ABIT uGuru\uGuru.exe
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] taskmgrs.exe
O4 - HKLM\..\RunServices: [MSN7 Startup] msn7.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] taskmgrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MSN7 Startup] msn7.exe
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] taskmgrs.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


so, kann jemand die quelle des übels erkennen? für mich sind das böhmische dörfer

mmm...

Such mal die
C:\WINDOWS\System32\msn7.exe
C:\WINDOWS\System32\taskmgrs.exe
Dateien raus und lad diese auf einen von diesen beiden Seiten hoch:
http://virusscan.jotti.org/
http://www.virustotal.com/flash/index_en.html ... ist eventuell ein Trojaner, wenn ja, die beiden Dinger im Taskmanager abschiessen und löschen oder das System neu aufsetzen ...

Die scheinen irgendwie zusammenzugehören, beide Eintrgäe entfernen, wenn es sich als Viren rausgestellt hat:
O4 - HKLM\..\RunServices: [MSN7 Startup] msn7.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] taskmgrs.exe
O4 - HKCU\..\Run: [MSN7 Startup] msn7.exe
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] taskmgrs.exe

Ansonsten kannst du mal den Messenger beenden. Anstelle des IEs benutzt du hoffentlich Firefox oder Opera und anstelle Outlook/ Outlook Express Thunderbird ...

mach als allererstes dcom aus damit du überhaupt halbwegs gefahrlos deine updates ziehen kanns

start-> ausführen-> dcomcnfg -> komponentendienst durchklicken bis zum arbeitsplatz -> rechtsklick eigenschaften -> standardeinstellungen -> häkchen raus


dann sei dir noch dingens.org ans herz gelegt und schmeiss deine pfw über board...den virenscanner kannst behalten, so schlecht wie einige wollen ist norton nicht

hallo,

erstmal danke an alle die mir hier geholfen haben :-)

leider habe ich trotz einiger bemühungen den trojaner nicht von der platte bekommen. somit habe ich formatiert, win sp1 und 2 inst. mit sämtlichen patches u.s.w., außerdem nutze ich nun die firewall von xp u. nur noch den virenschutz v. norton, da ich kein geld habe mir etwas anderes zu kaufen.

außerdem habe ich soeben thunderbird als email prog inst.

bis jetzt sieht alles sehr gut aus :-) kein traffic den ich nicht selber verursachen würde.

etwas mulmig war mir zwar schon bei der ersteinwahl, aber nur weil ja die virenupsdates u.s.w. erst gezogen werden mussten. wie kann man sich eigentlich die virendefinitionen sichern, daß man im falle eines falles beim event. nächsten übergriff, bzw. neuinst. diese schon vor einwahl ins i-net inst. kann? es ist doch sicher irgendwie möglich, sich diese daten auf cd zu brennen. also auch die win updates, viren defs u.s.w.? sry wenn ich so "noobig" frage, aber ich muss leider zugeben in dieser hinsicht (viren) überhaupt keine ahnung zu haben. werden die beim win update mitgesichert?

einen verdacht wo das ding her kam habe ich auch. und zwar ist der trojaner meiner ansicht nach zu 99,99% von dem spiele-server-finder-tool mit dem "alles-sehenden" auge in der mitte gekommen. kann mich natürlich täuschen, aber das glaube ich nicht. weil ich diesen verdacht zum 2.ten mal innerhalb von 4 wochen habe.

danke euch. ach und bevor ich es vergesse: bandit666 du hattest recht damit daß du mich "angemuckt" hast. ;-)

Das freut mich sehr das jetzt alles lööpt. Jetzt bin auch ich zufrieden! :D

Soweit ist deine Konfig sehr gut und überlegt gewählt. Du solltest noch Firefox als Browser nehmen.

Das SP2 kannst du dir als WINXP_SP2.exe auf CD brennen. Die anderen Updates NACH dem SP2 bekommt man auch als inoffizielles "Updatepack" von Winboard.org und ähnl. Seiten! Kannste dann auch mit raufbrennen.

Die PFW von Windows ist nicht so der Bringer. Ich empehle dir einen Router.
Der kostet als gutes Modell gerade mal 40€ und somit gleich teuer wie ne gute PFW ala Sygate oder Kerio!
Einmal konfiggn und immer Internet...keine Einwahl.....keinerlei Einstellugen nach der Systemneuinstall. Und du hast 4 LAN-Ports prall gefüllt mit Internet! ;D

mfg

moin moin

hatte letzten tage das selbe problem!

ich dachte, ich hätte alles getan! virenscanner immer aktuell, betriebssystem mit updates aktuell, browsereinstellungen der sicherheit entsprechend, tools ohne ende auf dem rechner!

und siehe da, ein trojaner, der sich nicht entfernen lässt!

zu meiner odyssee: der rechner wurde immer langsamer und das surfen im netz hatte etwas nostalgisches, wie zu modem 56k zeiten!
da ich nun der meinung war, " sicher " im netz zu sein, kam mir natürlich auch nicht der gedanke, das es ein virus sein könnte!
also habe ich mich beim provider informiert, ob was mit dem dsl sein könnte, treiber neu installiert und und und .... !
nachdem also alle erdenkliche möglichkeiten erschöpft waren, kam mir nun doch der gedanke, es könnte ja doch ein virus sein!
also, hitman pro, stinger, antivir, laufen lassen und siehe da - NICHTS -

aus lauter verweifelung haben ich mir dann avast home runtergeladen, und nun wußte ich was los ist - ein trojaner - prima - - - format c: alles neu, und nun wieder alles von vorne - sicherheit sicherheit sicherheit!

nun hab ich wieder alles gemacht, was den anschein hat, das mein rechner sicher ist!

also nun meine frage, hab ich was falsch gemacht - habt ihr info´s was mehr sicherheit bringt? oder gibt es keine sicherheit im netz und keiner hat´s mir gesagt ;-)

system:
xp prof sp2 etc.
antivir
hitman pro
stinger
nf 3 hardware firewall
xp firewall
alle programme immer aktuell

viele grüsse

krass999

also nun meine frage, hab ich was falsch gemacht - habt ihr info´s was mehr sicherheit bringt? oder gibt es keine sicherheit im netz und keiner hat´s mir gesagt ;-)

system:
xp prof sp2 etc. <--- sehr gut
antivir <--- gut, Kaspersky ist besser
hitman pro <--- weg damit
stinger <--- gut, brauchste bei kaspersky nicht mehr
nf 3 hardware firewall <--- deaktivieren und nen Router holen
xp firewall <--- deaktivieren und nen Router holen
alle programme immer aktuell <--- sehr gut

.........dann noch Thunderbird und Firefox nutzen!

http://www.zdnet.de/news/security/0,39023046,39133010,00.htm

bin mir bei firefox auch nicht so " sicher "

naja, jetzt hoffe ich trotzdem, das ich zecken frei bleibe :smile:

mmm...

Frage ist, welcher Trojaner war es und wie verbreitete sich dieser. Dann hast du einen Ansatz, was du falsch gemacht hast ...

http://www.zdnet.de/news/security/0,39023046,39133010,00.htm

bin mir bei firefox auch nicht so " sicher "

naja, jetzt hoffe ich trotzdem, das ich zecken frei bleibe :smile:

Dies ist ein Exploit. Nix ernstes.....man schaltet einfach eine Sache ab im Firefox (autom. install von best. Software) und dann ist Ruhe. Bewerte Firefox bitte nicht wegen einer (mitlerweile gefixten) Lücke.

mfg

(1) WinXP SP2 und immer schön updaten
(2) Kaspersky Personal (Pro) Antivirus
(3) Sygate Personal Firewall (Pro)

(die Progs natürlich immer updaten)

...und dann sollte die Sache erledigt sein.