Hallo alle zusammen,

bin zur Zeit im Büro. Hier in der Firma grassiert der Lovegate-Z-Virus oder unter welchem Namen er jetzt auch überall bekannt sein mag. Erst hieß es, er kommt nur über eMails rein, aber er hat wohl auch andere Wege gefunden. Naja... hier in der Firma sind zum Glück andere Leute für die Virenbeseitigung zuständig.

Doch ehrlich gesagt, befürchte ich, dass, wenn ich nachher Feierabend habe, ich mir das Teil zu Hause einfange (wenn mein Rechner nicht schon infiziert ist).

Ich habe das Betriebssystem Windows XP Home,
außerdem den Virenscanner von Antivir (den kostenlosen)
und nur die interne XP-Firewall (auch wenn es keine richtige ist) aktiviert. Eine andere Firewall habe ich bisher nicht installiert, weil man ja auch immer mal wieder von Problemen zwischen Antivir und Firewalls (z. B. zonealarm liest, die schon zum totalen Systemabsturz geführt haben).

Kann ich jetzt zu Hause ohne Bedenken ins Internet?
Ich hatte vor 2 Monaten erst den Sasser-Wurm auf dem Rechner und habe 2 Tage gebraucht, um ihn wieder zu entfernen (bin da leider nicht so bewandert).

Deswegen frage ich jetzt lieber vorher, bevor das Kind in den Brunnen gefallen ist (hoffe jedenfalls, das noch nix passiert ist

Für ein paar Tipps wäre ich Euch sehr dankbar.

Viele Grüsse
Marry

Hi,

das reicht nur dann, wenn sowohl dein Betriebssystem als auch dein Antivirenprogramm ganz aktuell sind und du obskure Seiten meidest. Evtl. kannst du auch noch einen Alternativbrowser, Adaware und Spybot Search&Destroy einsetzen. Ganz sicher ist man aber trotzdem nicht.

Gruß Jinxy

Deaktiviere den xp/Firewall und lade Sygate...der ist o.k.
http://smb.sygate.com/products/spf_standard.htm

Fall du wissen willst, ob alles sauber ist, lade das HijackThis, scanne, save und kopiere das Log ins Forum
http://board.protecus.de/showtopic.php?threadid=9391


http://home.pages.at/heaven/sec043.htm
MfG
Nikita

Wenn ich Sygate installiert habe, danach die Xp-Firewall wieder aktivieren oder deaktiviert lassen?

HijackThis werde ich auch installieren...
Melde mich dann wieder.

Vielen Dank schon einmal für die Hilfe.

VG Marry

Man sollte nur mit einem Firewall arbeiten.

Das HijackThis laedst du, entpackst, scannst, save und dieses Log kannst du mit der Maus ins Forum kopieren,
Bis Morgen
Nikita

So... Stück für Stück werde ich mich jetzt an die Sache heran arbeiten
Habe gestern den aktuellen Virenscanner installiert. Gab es schon Probleme. Ganz am Ende des Downloads brach er immer ab. Aber dann ging es doch. Habe dann die Sicherheitsstufe auf hoch gestellt und in der Nacht gescannt. Über 30 Warnungen, aber keinen Virus gefunden.

Habe heute morgen Sygate installiert. Der Internetexplorer zeigt meine Favoriten nicht mehr an (obwohl sie noch auf der Festplatte sind). Hängt das mit Sygate zusammen?
Ich bin mir nicht sicher was ich alles Sygate erlauben soll.

Unter Applications steht folgendes:

WINDOWS\System32:
services.exe
certsrv.exe
dfssvc.exe
dns.exe
inetsrv\inetinfo.exe
ismserv.exe
llssrv.exe
lserver.exe
mqsvc.exe
mstask.exe
ntfrs.exe
snmp.exe
termsrv.exe
Windows Media\Server\NSCM.exe
Windows Media\Server\NSPMON.exe
Windows Media\Server\NSUM.exe
WINS.exe


Generic Host Process for Win32 Service
Internet Explorer
LSA Shell (Export Version)
MS DTC console program
NT-Kernel und -System
RealPlayer
TCP/IP Service Application

Ich habe alles bis auf Internet Explorer auf ask stehen, IE auf allowed. Was kann ich alles unterbinden, ohne mir selbst die Tür vor der Nase zuzuhauen?

So, als nächstes werde ich jetzt erst mal den anderen Browser installieren. Ist eigentlich Firefox und Firebird dasselbe? Die URL www.firebird-browser.de hat gestern nämlich nicht mehr funktioniert.

Melde mich bald wieder
Viele Grüße.. Marry

1.Lasse alle Apliktationen durch beim Sygate...immer auf <Anfrage< einstellen, damit du weisst, wer rein will...Stelle ihn auf <normal<

2.Poste dein HijackThis, damit ich sehen kann, was sich alles so auf deinem Comp. befindet.

laden, entpacken, scannen, save und kopiere das Log mit der Maus ins Forum
http://board.protecus.de/showtopic.php?threadid=9391

3. die Site vom Firefox (Firebird ist das Gleiche)ist jetzt wieder aktiv...jedenfalls bei mir.
4. Warum die Favoriten weg sind im IE, weiss ich auch nicht...hast du sie geloescht mit irgendeinem Tool ?

Warte auf dein HijackThis.

MfG
Nikita

Hallo Nikita,

hier nun mein Logfile:

Logfile of HijackThis v1.98.0
Scan saved at 06:50:32, on 08.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\Dit.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Marina\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schon40.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB002" /M "Stylus C64"
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon Translator\Babylon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 PE\MountIt.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/


Alles i. O?

Wunderbar, alles o.k.

Wenn du ein bisschen sicherer fuehlen willst, dann installiere (kaufe ), den Trojanhunter
http://www.trojanhunter.com/

Und installiere Spysweeper (free)
http://www.spysweeper.com/

SpywareGuard dund Spywareblaster (free)
http://www.javacoolsoftware.com/downloads.html

Und , surfe mit dem Firefox als AlternativBrowser (stelle deine huebsche Startseite ein)
http://www.firebird-browser.de/

MfG
Nikita

Hallo Nikita,

vielen, vielen Dank für die Hilfe. Die anderen Tools werde ich wohl auch noch nach und nach installieren.

Ich habe hier in anderen Threads gelesen, dass mwav.exe noch empfohlen wird. Würde ich auch gern noch laufen lassen. Verträgt sich denn das mit Antivir? Reicht es, wenn ich ihn nur kurz deaktiviere, dann mwav laufen lasse und anschließend wieder antivir aktivieren? Weil, bei Antivir wird ja immer ausdrücklich darauf hingewiesen, dass kein anderer Virenscanner installiert sein darf.

VG Marry

Keine Sorge...die mwav.exe ist der< e-scan<...sowas wie eine abgespeckte , aber sehr effiziente Version, die man dann nach 30 Tagen free kaufen soll.
Bis dahin kann man das Tool neben dem Antivirus nutzen.
Ich wuerde das Tool aber nur fuer Norfaelle verwenden...denn 30 Tage spaeter ist Schluss... mit dem "free"
Und dein Computer ist im Moment sauber...ich empfehle es nur, wenn der Computer total verseucht ist.


MfG
Nikita

alles klar. dann spare ich mir mwav für später auf )

Habe gerade eine Meldung von meiner Firewall bekommen:

"Somebody is scanning your computer. Your computer's TCP ports: 8080, 80, 3128, 4471 and 6588 have been scanned from 65.141.76.55".

Muss ich noch irgendwas einstellen, damit das nicht passieren kann? Verstehe die Meldung so, dass hier einer unberechtigt in meinen Rechner geguckt hat.

Ratlos bin....

Hallo Marry

Wenn man eine Firewall hat, bekommt man Dank ihm mit, dass man tausende Mal pro Tag "die Ports gescannt bekommt"
Es gibt solche Hackertools, die automatisch das Net durchforsten auf der Suche nach offenen Ports und infizierten Computern (z.B. infiziert mit BackDoors, wo sie dann ueber das von ihm geoeffnete Hintertuerchen, sprich Port reinkommen und die Kontrolle ueber den Computer uebernehmen.

Dass blosse Scannen sagt also nur, dass es gut ist , eine Firewall zu haben und ein sauberes System.


Du solltest mal einen Portcheck machen...vielleicht stehen Ports offen, die zu sein sollten.

Google mal, der Sygate duerfte diesen Dienst auch anbieten.

oder hier
http://webscan.security-check.ch/test/l ... f04f19647f
.........................................................................................................

Danach kannst du noch etwas anderes probieren:
Beende alles und schliesse auch den Browser

Start<Ausfuehren<cmd

Dann schreibe in das Fenster, das sich oeffnet , schreibe rein
netstat -a
Dann poste mir, was dort alles steht.

MfG
Nikita