Phatbot - Bin ich ihn jetzt los?

[Der Daedalus]

Hallo,

nachdem mich der Sasser Wurm heimgesucht hat (ich weis da bin ich selbst schuld), kam in seinem Gefolge auch der Phatbot. Leider hab ich den erst relativ spät bemerkt. Die Dateien "windates.exe" und "winmguard.exe" (oder so ähnlich) haben mich erst auf den Aufmerksam gemacht.

So jetzt hab ich es mit einem speziellen removal Tool für den Gaobot versucht, das hat aber nicht angeschlagen. Per "HiJackthis" hab ich die Einträge mit der Windates.exe gelöscht.

Jetzt spuckt Hijackthis folgende Ergebnisse aus:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\SMTPAuth\Service.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SMTPAuth\SMTPAuth.exe
C:\DOKUME~1\ADMINI~1.000\LOKALE~1\Temp\Rar$EX00.469\HijackThis.exe
C:\Programme\ICQLite\ICQLite.exe

R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~2.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~2.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [SMTPAuth] C:\Programme\SMTPAuth\SMTPAuth.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{471DB426-8E70-4E14-95B2-1A6494EE2496}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAE1205D-D1DC-4335-9B25-2739A85ED48F}: NameServer = 192.168.120.252,192.168.120.253

Kann ich davon ausgehen, dass mein System jetzt wieder sauber ist?

 

[Parwez]

das was er ausspuckt ist jedenfalls sauber
wenn du trotzdem noch zweifel hast evtl. noch mit anderen removal-tools, viren-scanner, ad-aware und spybot - search & destroy suchen.
mit regcleaner kannste auch nochmal gucken ob du noch einträge findest.
die tools sollten eigentlich alle im download-bereich sein.

 

[Rika]

1. Phatbot wirst du so nicht los, der vergräbt sich noch viel viel tiefer im System.
2. Das ist noch mehr: Perfec~1 und MyBar sind beide Böse.
2. Du hast da auch noch jede Menge andere ungestopfte Sicherheitslücken: ICQLite, Sygate PFW...

 

[Der Daedalus]

Was ist an ner Personal Firewall eine Sicherheitslücke? Und ICQ, naja ... so schlimm ists auch net ...

 

[spiro]

Wenn Du sicher sein willst, mach doch einen Onlinescan... http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

oder zwei : http://security.symantec.com/sscv6/default.asp?langid=ge&venid=sym

 

[The Prophet]

1. Phatbot wirst du so nicht los, der vergräbt sich noch viel viel tiefer im System.
2. Das ist noch mehr: Perfec~1 und MyBar sind beide Böse.
2. Du hast da auch noch jede Menge andere ungestopfte Sicherheitslücken: ICQLite, Sygate PFW...

Oh Rika jetzt hast du aber wieder ne Latte vom Zaun getreten. Wo soll sich denn Phatbot vergraben? Und was ist an einer PFW eine Sicherheitslücke. Das es vollkommene Sicherheit nicht gibt ist klar aber...