Ätzend - nach formatiertem Rechner - innerhalb Stunden neue Würmer :-(

#1 Hallo ich bin durch mein "Wumrproblem" auf dieses Forum gestoßen. Ich habe seit neuestem immer wieder Würmer auf meinem Rechner. Ich finde sie durch AntiVir . Es waren immer ähnliche : Beispiel: WORM/Rbot.118784.47 oder auch WORM/Rbot. 134144.21. Neulich hatte ich einen Delsim Dialer drauf. Ist das ätzend. Immer wenn was gefunden wird formatiere ich den kompletten Rechner neu (nachdem ich mit dem Virenscann den Wurm entfernt habe) - und wirklich nur kurz später (2-3 Std) ist wieder was drauf. Ich habe das Problem seit ich von AOL DSL zu Alice Isdn gewechselt hab. Ich nutze XP - den Service Pack 2 habe ich im moment nicht drauf, weil mein alter Rechner das einfach nicht zu verkraften scheint und nach einer Weile lahmt. Oh je ein Roman....also meine Fragen: reicht es wenn ich den Wurm entfernt und formatiert habe? Und hat noch jemand einen Tipp? Und geht es anderen auch so ? :-)))) Und ist es möglich das ich mir ständig einen neuen Wurm hole obwohl ich seit 7 Jahren ohne irgendwas im Netz bin? HHHHiiiiiillllFFFFFeeeee!!!!

#2 Hmm sobald du formatierst sind alle Dateien die vorher da drauf waren nicht mehr zugänglich, dass gilt für irgendwelche viren und Maleware ebenfalls.

Daher ist es nur Möglich das du entweder noch ein anderes Laufwerk in deinem PC hast (2. Partition, 2. Festplatte etc.) von wo die Maleware stammt oder du ziehst bestimmte Software runter oder hast Software auf CDS etc. die bereits infiziert ist.
Darüber solltest du dir gedanken machen, darüber hinaus kenn ich wirklich gar keinen der von DSL auf ISDN wechselt
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Stimmt das mit isdn und dsl stimmt nicht wirklich. Eigentlich habe ich isdn telekom zu isdn alice gewechselt, der Rechner ist langsamer und ich habe das Gefühl ich werden mit idsn verbunden nicht mehr dsl.Hatte aber jemanden da wird glaube ich schon stimmen. Ich hab noch eine Partion das stimmt, da speicher ich aber gar nichts, hab auch kein System drauf, sondern werfe cd Inhalt drauf damit ich Musik auf dem Rechner hab. Wenn ein Wurm gefunden wird ist das immer in c/windws system32 oder so. Kann es trotzdem sein das er auf d platte sitzt? Ich hab den Virenscann auch auf D laufen lassen, da findet er nichts :-(

#4

Zitat

Kann es trotzdem sein das er auf d platte sitzt? Ich hab den Virenscann auch auf D laufen lassen, da findet er nichts :-(

Zitat

ondern werfe cd Inhalt drauf damit ich Musik auf dem Rechner hab

Die Möglichkeit besteht, dann speicherst du ja doch etwas darauf - sonst ergibt das keinen Sinn.

Zitat

und ich habe das Gefühl ich werden mit idsn verbunden nicht mehr dsl.

Das sollte mehr als offensichtlich sein, wenn du dich per ISDN einwählst musst du über eine ISDN Karte (Fritz Karte oder ähnliches) verfügen.

Zitat

Hatte aber jemanden da wird glaube ich schon stimmen.

Tja hoffentlich ein Fachmann.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 Von CDS nehme ich gekaufte Musik - sprich Originalcds - kann da auch was drauf sein?

#6

Zitat

sally.de postete
Von CDS nehme ich gekaufte Musik - sprich Originalcds - kann da auch was drauf sein?

Nein Viren und Maleware können sich nur in ausführbarem code bzw. script code verstecken.

Bilder, Musik etc. sind davon ausgeschlossen.

Auf dieser Partition D: kann sich aber trozdem ein Wurm verstecken, da sind mehr Daten als die die du sehen kannst.

Ich denke das wird nen Thread für raman oder Sabina
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 Hier fängt es immer an http://board.protecus.de/t23188.htm
__________
MfG Argus

#8 Oh je - ich glaube da bin ich schon überfordert :-O
Das hier ist alles was ich vom letzten Fund habe: wie schon gesagt ich benutze Avira Antivir.
Gibt es was besseres - und reicht es das ich gelöscht habe und formatiert?
Im Bericht steht folgendes:
In der Datei 'C:\WINDOWS\system32\TFTP1764'
wurde ein Virus oder unerwünschtes Programm 'Worm/Rbot.118784.47' [WORM/Rbot.118784.47] gefunden.
Ausgeführte Aktion: Datei löschen


Vom ersten Fund habe ich nichts mehr außer dem Namen auf einem Zettel - weil ich ja den Rechner formatiert habe.

#9 Was für ein Problem hast denn jetzt,keine?
__________
MfG Argus

#10 Hm - stimmt im moment keine. Nach dem ich ihn das erste mal gemacht hatte nach dem ersten Fund - hatte ich eben wirklich nach 2 Stunden gleich wieder einen. Ich fühl mich halt irgendwie unsicher weil ich auch nicht genau weiss was diese Würmer anrichten. Formatieren ist ja kein Problem, aber ich habe gleich nach dem neuformatieren alle Passwörter geändert. Bin einfach verunsichert ob ich genug geschützt bin. Und die Würmer hab ich irgendwie auch durch Zufall entdeckt. Eben weil er schlecht lieg habe ich gescannt.

#11 Nach neu installieren zuert ein Virenscanner und Firewall installieren
Antivir einstellen wie hier angegeben http://board.protecus.de/t23979.htm
__________
MfG Argus

#12 Vielen Danbk werd ich mir gleich ausdrucken und machen.
Gibt es denn eine Firewall Freeware die etwas taugt? Was kannst du mir empfehlen? Ich habe eigentlich bisher symnatec Norton gehabt, aber das Ding hat mir in letzter Zeit alles lahmgelegt (genauer gesagt als ich Fritzbox angeschlossen habe. Möchte Sie auch nicht mehr verlängern - sie war abgelaufen.

#13 Firewall von Comodo http://www.personalfirewall.comodo.com/
__________
MfG Argus

#14 Über welches Betriebssystem unterhalten wir uns hier überhaupt.
Poste nach der Neuinstallation mal ein HJT-Logfile:
http://hjt.klaffke.de/

Felix
__________
Keine Anfragen per E-Mail und PN!

#15 Hallo - bitte nicht vergessen : ich hab nicht viel Ahnung - hab mich zwar reingearbeitet (durch ausprobieren) aber von Theorie und Fachbegriffe :-(
Was ist ein HJT Logfile
Nutze Windows XP Homeedition
Hatte eben den nächsten Wurm: WORM/Rbot.145920.11
Hat einer eine Ahnung was diese Art Würmer machen?


Logfile of HijackThis v1.99.1
Scan saved at 22:26:39, on 18.06.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\CTFMON.EXE
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Download\antivir_workstation_win7u_de_h.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\moonstar007\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis -antivirus.zip\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe


Update 19.06.2007 22.42 Uhr:
alles brav befolgt:
und trotzdem wieder einen Wurm :-((
In der Datei 'C:\WINDOWS\system32\TFTP1036'
wurde ein Virus oder unerwünschtes Programm 'Worm/Rbot.93696.29' [WORM/Rbot.93696.29] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben