"Dauerwurm" und andere Probleme

Hallöchen zusammen,

mein Recher bringt mich zur Verzweiflung *schnief*
Folgendes ist passiert und vielleicht könnt ihr mir ja helfen:

Rechner XP HOme war mit Microsoft Updates auf dem aktuellsten Stand (Upload automatisch aktiviert) und auch McAffee war die aktuellste Version (hat ja auch täglich sein Update geholt)
Trotzdem muss ich mir beim update der T-online software 6.0 einen Wurm einfangen, da das System ständig beendet werden musste (NT-System hat einen Fehler festgestellt und muss runtergefahren werden)
Keiner meiner Virenscanner (antivir, ad-aware, sasser, stinger jeweils die aktuellste Version) hat diesen Wurm oder ähnliches erkannt.
Windows-Suche, McAffee, T-online wurde komplett gesperrt, abgesicherter Modus änderte nichts daran.
Verzweifelt habe ich dann meine Festplatte formatiert und XP home neu installiert.
Habe dann die T-online Software 5.0 installiert und sofort auch wieder antivir, ad-aware, stinger, sasser und Co. und angefangen, mir dann die ganzen Windows Updates herunterzuladen (waren 34 Stück da ich meine CD ja schon seit 3 Jahren habe)
Dabei hat mir Antivir ständig neue Würmer gefunden und zwar alle unter
C:\\WINDOWS\SYSTEM32\TFTPXXX oder unter myhost.exe - alle Würmer heißen WORM/Rbot. und dann irgendwelche verschiedenen Nummern oder WORM/SDbot.
Wie kann ich das endlich abstellen?
außerdem knallt er mir ständig komische Dinge in meinen Prozess, so daß die AUslastung bei 100% liegt
Komisch erscheint mir vorallem die Datei
svchost.exe die mit 89% zu buche schlägt - demenspreched kann ich meinem Rechner auch beim Seitenaufbau zuschaun.
Auch die T-online Übertragung schläft nur noch mit 13k/bit zu Buche und das obwohl ich DSL, ISDN und Flat habe.....

So, jetzt hab ich einen halben Roman verfasst aber ich habe leider in den anderen Beiträgen keine ähnlichen Probleme gefunden - oder vielleicht war ich blind...dann entschuldigt

ein verzweifeltes Primelchen

 

Erstell bitte ein HJT-Log wie hier beschrieben und poste den Link zur automatischen Auswertung!

 

Sasser ist aber ein Wurm und kein Virenscanner.
Meinst du vielleicht das Windows-Tool zum Entfernen bösartiger Software?

Edit:
Vielleicht hilft das hier.
Der PC wird wohl ferngesteuert. Man kann die Backdoor schließen, aber dann weiß man immer noch nicht, ob es weitere gibt oder was seit der Kompromittierung alles auf dem PC versteckt wurde.

 

erstmal Danke für Eure Hilfe!

Hier dann meine Auswertung

http://www.hijackthis.de/logfiles/78ea8c1a48624ddc6033dcee71eabd41.html

hoffe, das hilft weiter


@Deoroller: deiner Empfehlung bin ich auch gefolgt und er hat nichts gefunden, obwohl mein Antivir ca. 3 Stunden vorher mal wieder
Worm/Rbot.104448.9 gefunden hatte


Liebe Grüße

 

C:\DOKUME~1\Ich\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe Mit einem Antivirenscanner prüfen

Hijackthis bitte vor dem fixen (reparieren) von Einträgen in ein eigenes Verzeichnis entpacken. Ansonsten können gelöschte Einträge nicht mehr wiederhergestellt werden.

Im Hijackthis-Log kann ich nichts ungewöhnliches erkennen.

Demanch könnte ein Rootkit die Würmer getarnt haben.

Hast du mal versucht die Bots zu beseitigen, wie auf der Sophos-Seite beschrieben?

 

Bitte mal nachschauen, ob die windowsinterne Firewall aktiviert ist.

 

Dein Problem war einfach dass du direkt nach der Neuinstallation mit deinem ungepatchten System online gegangen bist. Heutzutage braucht es keine 10 Sekunden und man hat sich was eingefangen.

Wiederhole die Neuinstallation und halte dich diesmal an folgenge Reihenfolge:


-------

Infiziertes System neu aufsetzen:

Den infizierten Rechner sofort von Internet und Heimnetzwerk trennen

Auf einem nicht infizierten System den aktuellen Service Pack für dein Windows sowie falls im SP nicht enthalten die Patches gegen Blaster und Sasser runterladen und auf CD brennen.

Auf dem infizierten System:
- wichtige Daten sichern (sofern noch möglich)
- Windows neu installieren mit NTFS-Neuformatierung der Systempartition
(oder ein sauberes Image zurückspielen)
- die Service Packs und Patches von der CD installieren
- Unnötige Dienste beenden mit dem Skript von http://www.ntsvcfg.de/
- Virenwächter installieren (AntiVir und AVG gibts kostenlos)
- sämtliche Passwörter ändern
- Spybot S&D installieren und das System immunisieren
- den IE mit dem Zonenmodell sicherer machen
- die automatische Windows-Update Funktion aktivieren
- alle anderen Partitionen auf Schädlinge prüfen
- die gesicherten Daten erst nach intensiver Prüfung zurückspielen (nur wenn absolut unvermeidbar).
NIE ausführbare Dateien zurückspielen

-------

Mehr Infos: http://www.cidres-security.de/neuaufsetzen.html

 

...ich würde obige Liste an dieser Stelle korrigieren:

erst jetzt die automatische Windows-Update Funktion aktivieren und nicht vorher online gehen


Aber mal andersrum: wenn ich, warum auch immer, nur eine alte CD und kein SP2 in Reichweite habe - was mache ich dann?

 

SP2 gibts schon seit Ewigkeiten auf CD Rom von Microsoft kostenlos und in vielen PC Zeitschriften. Kauf dir die Aktuelle PC Welt, da müssten ja laut Werbung alle Updates drauf sein. also auch das SP2.

 

Steht doch schon in der Anleitung: