Wenn ein aktuelles Knoppicillin auf der Kiste nix findet, dann ist da nix. Vor Knoppicillin kann sich kein Virus vestecken, weil Stealth- und Rootkit-Technologien bei einem extern gebooteten Virenscanner nicht greifen.
Wenn man einem PC dann immer noch nicht vertraut, dann kann man eigentlich nur noch den Stecker ziehen und bei RWE den Stromvertrag kündigen.
Totale Sicherheit wird es nie geben und wem das nicht reicht, der kann eigentlich nur noch sich ins Bett packen, die Decke über den Kopf ziehen und auf sein Ende warten.

Noch ein paar Fragen am Rande:

Wie gehst du ins Internet? Über einen DSL-Router oder über Dial-Up oder ein DSL-Modem?

Von letzerem ist dringend abzuraten, weil der PC dadurch direkt im Internet sichtbar wird. Ein Router mit NAT "entkoppelt" den PC sozusagen vom Internet und nur Antworten aus dem Netz auf von deinem PC initiierten Verbindungen dringen zum PC durch.
Allein schon die Präsenz eines NAT Routers macht einen Großteil aller installierter Backdoors nutzlos, weil der Hacker gar nicht zum infizierten System durchdringen kann.

Wie bist du auf den Virus aufmerksam geworden? Gab es irgendwelche seltsamen Verhaltensweisen des PCs?

Hast du Kennwörter, die du von dem PC aus in letzter Zeit benutzt hast inzwischen geändert? Letzteres ist meiner Meinung nach wirklich die wichtigste Maßnahme zum aktuellen Zeitpunkt.

Hast du Spybot Search & Destroy auf dem PC installiert?
Ganz wichtig. Und immer schön aktuell halten. Eine Funktion von Spybot SD ist, dass es Zugriff auf bekannte Malware-Seiten und Netze auf unterer Netzwerkebene unterbindet. Der überwiegende Teil von Bot-Clients und Backdoors sind bekannte Baukästen, es gibt kaum Hacker oder Script-Kiddies, die wirklich selbstgeschriebene Hintertürchen verwenden, die wenigsten haben auch wirklich genug Ahnung um sowas zu coden. Dadurch lassen sich solche Unholde mit aktuellen Schutz-Tools in aller Regel finden und entschärfen.

Natürlich ist absolute Sicherheit nur bei einem frisch installierten System gegeben. Aber auch nur so lange, bis es das erste Mal mit dem Internet verbunden wurde. Absolute Sicherheit gibt es wie gesagt nicht und selbst bei einem vorab voll durchgepatchten System mit aktuellem Antivir, installiertem Spybot, restriktiver Firewall und nur Software mit aktuellstem Update-Stand kann man nie sicher sein, dass es nicht eine Sicherheitslücke gibt, die ein Hacker bereits kennt, der Hersteller aber noch nicht.
Das wichtigste ist nach wie vor: Macht es den Übeltätern so schwer wie möglich, dann seid ihr hinreichend sicher, denn. Es gibt immer deutlich mehr Systeme die offen sind wie ein Scheunentor, weil die User einfach viel zu dämlich oder unwissend oder gleichgültig oder alles auf einmal sind, um sich um die Sicherheit ihres Systems zu kümmern. Das sind viel einfachere und lohnendere Ziele.

Schon daran gedacht, dass die Verbindung auch aktiv durch den Backdoor Server initiiert werden kann - sagen wir aller 12h ein Versuch? NAT ist kein Sicherheitsfeature!


Gruesse, meshua.

Fritz!Box 7170

Mal schauen, ob ich das und die richtige Reihenfolge noch zusammen bekomme:

Auf meiner 4images-Seite erschienen ganz oben 2 Fehlerzeilen. Ich glaube, am selben Tag hatte ich dann auch AntiVir Premium installiert. Der gab mir dann auch beim Aufrufen meiner Seiten eine Viruswarnung.
Daraufhin Quellcode angeschaut und in einigen Dateien (index.php, main.php) einen iframe entdeckt. Diesen natürlich gelöscht. Nachfrage beim Provider bestätigte mir einen Hackerangriff per ftp und diese Lücke sei nun geschlossen.

Ein paar Tage später das selbe Spiel wieder und das, obwohl ich natürlich die Passwörter geändert hatte. Diesmal waren aber noch mehr Dateien (auch html-files) betroffen, einige Dateien (ich glaube index.php, login.php, ...) waren komplett ausgetauscht und eine Seite war nicht mehr aufrufbar. Diesmal konnte mir der Provider keinen Hackerangriff bestätigen.

Da kam mir in Erinnerung, dass mein IE beim Aufrufen einer mir bekannten Seite wenige Tage zuvor von alleine wieder geschlossen wurde und Firefox eine Warnung ausgab.

Habe dann Hijackthis installiert und habe so den ntos.exe gefunden.

Killbox und Spybot S&D installiert und damit den Virus entfernt.

Mein PC selber hat die ganze Zeit keine Zicken gemacht und verhielt sich völlig unauffällig.


Ich hoffe, ich habe an alle gedacht.

S.o., ja.

Schon klar. Sagen wir NAT ist kein Allheilmittel.

NAT hilft aber zumindest in einem Punkt absolut zuverlässig:
Bei einem neu aufgesetzten System schützt es den Rechner vom infiziert werden bis der PC alle Sicherheitspatches runtergeladen hat. Natürlich nur, wenn man bis dahin nirgends sonst im Netz rumsurft.
Trotzdem sollte man soweit möglich auf vorher runtergeladene Service Packs und Offline-Updates (-> c't Windows Offline Update) zurückgreifen.

Wie gesagt: Absolute Sicherheit gibt es nicht, man kann es den Hackern nur so schwer wie möglich machen. Auf der "Haben"-Seite kann man verbuchen, dass wie ebenfalls erwähnt über 90% aller installierten Backdoors Baukästen sind, die in der Regel von allen aktuellen Virenscannern gefunden werden. Handgemachte Backdoors sind extrem selten.


Gemeinhin gibt es drei Möglichkeiten zur Verhaltensweise in Punkto PC Sicherheit und Internet:

- Gleichgültigkeit (ganz schlechte Idee aber leider die am häufigsten praktizierte)
- Paranoia (halte ich nix von)
- Gesunde Vorsicht, Prävention und Aufmerksamkeit

Warum ich der Meinung bin, dass die Warscheinlichkeit gering ist, dass noch was im System ist, wenn mehrere Tools unabhängig von einander grünes Licht gegeben haben, auch wenn die Möglichkeit bestünde dass doch eine unbekannte Hintertür vorhanden ist habe ich dargelegt und dazu stehe ich.
Ob du nun nach so einem Virus-Angriff dein System nach bestem Wissen und mit grösstmöglicher Sorgfalt säuberst oder dein System neu aufsetzt... ob dein System in einem Vierteljahr immer noch sauber ist steht auf einem anderen Blatt und die Warscheinlichkeit dürfte sich nicht nennenswert unterscheiden.
Jeder muss selbst entscheiden, wie hoch sein Bedarf an Sicherheitsgefühl ist.

Genau das ist der Punkt. Die Neuinstallation bietet immerhin Sicherheit für den Moment. In diesem speziellen Falle würde ich aber auch noch zu einem Rücksetzen der Fritzbox auf Werkseinstellungen raten, da diese auch vom PC aus kompromittiert sein kann. Die persönliche Konfiguration der Box muss dann natürlich neu erfolgen.