auch auf meinem zweiten Computer wurden die diversen Scanner fündig. Ich habe heute nochmal RootkitRevealer laufen lassen und der wird nach wie vor fündig. Kann mir bitte jemand beim Analysieren der Logfiles helfen?

Hier zuerst mal das Resultat von RootkitRevealer:

Code: Alles auswählenAufklappen

ATTFilter

HKU\S-1-5-21-3534013452-3051685292-1672415821-1005\RemoteAccess\InternetProfile	07.06.2006 18:51	5 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SECURITY\Policy\Secrets\SAC*	20.08.2005 15:17	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	20.08.2005 15:17	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll	17.02.2008 18:15	252.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll	17.02.2008 18:15	111.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll	17.02.2008 18:15	8.00 KB	Visible in Windows API, but not in MFT or directory index.
         

hier das hjt-log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:09, on 26.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\umonit.exe
C:\Programme\COMODO\SafeSurf\cssurf.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\PROGRA~1\eScan\ESERV.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nuance\NaturallySpeaking10\Program\natspeak.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\PROGRA~1\eScan\VISTA\avpmapp.exe
C:\PROGRA~1\eScan\TRAYESER.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\eScan\consctl.exe
C:\PROGRA~1\eScan\Vista\eScanMon.exe
C:\WINDOWS\system32\dllhost.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w3*.comodo.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w3*1.euro.dell.com/content/default.aspx?c=ch&l=de&s=gen
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.509.6972\swg.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [UMonit] "C:\WINDOWS\system32\umonit.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Programme\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [DNS7reminder] "C:\Programme\Nuance\NaturallySpeaking10\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance\NaturallySpeaking10\Ereg.ini
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Server] C:\PROGRA~1\eScan\ESERV.EXE /App
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Programme\Nuance\NaturallySpeaking10\Program\natspeak.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Verknüpfung mit Tcpview.lnk = C:\WINDOWS\system32\Tcpview.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - h**p://w3*.nanoscan.com/cabs/nanoinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll,C:\WINDOWS\system32\cssdll32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\VISTA\avpmapp.exe
O23 - Service: eScan Management-Console (eScan-eServ) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYESER.EXE
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: GLVSLJMHFCOH - Sysinternals - w3*.sysinternals.com - C:\DOKUME~1\xxxx\LOKALE~1\Temp\GLVSLJMHFCOH.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. (w3*.webroot.com) - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 9620 bytes
         

dann hätten wir da noch das Resultat von Malwarebytes' Anti-Malware:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1202
Windows 5.1.2600 Service Pack 3

24.09.2008 20:29:18
mbam-log-2008-09-24 (20-29-18).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 121419
Laufzeit: 42 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot.
C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> Delete on reboot.
         

und DrWeb - CureIt:

Code: Alles auswählenAufklappen

ATTFilter

RegUBP2b-xxxx.reg;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots2;Trojan.StartPage.1505;Gelöscht.;
rebootnt.exe;C:\Dokumente und Einstellungen\Diana\Lokale Einstellungen\Temp\~vis0000;Tool.Reboot;Nicht desinfizierbar.Gelöscht.;
instscan.exe;C:\Programme\eScan;Wahrscheinlich BACKDOOR.Trojan;;
mailinst.exe;C:\Programme\eScan;Wahrscheinlich BACKDOOR.Trojan;;
mailscan.ini;C:\Programme\eScan;Wahrscheinlich SCRIPT.Virus;;
setup.exe\data029;C:\Programme\eScan\SETUP\setup.exe;Wahrscheinlich BACKDOOR.Trojan;;
setup.exe\data064;C:\Programme\eScan\SETUP\setup.exe;Wahrscheinlich BACKDOOR.Trojan;;
setup.exe;C:\Programme\eScan\SETUP;Archiv enthält infizierte Objekte;Verschoben.;
A0034923.reg;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP85;Trojan.StartPage.1505;Gelöscht.;
A0034924.exe\data029;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP85\A0034924.exe;Wahrscheinlich BACKDOOR.Trojan;;
A0034924.exe\data064;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP85\A0034924.exe;Wahrscheinlich BACKDOOR.Trojan;;
A0034924.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP85;Archiv enthält infizierte Objekte;Verschoben.;
         

escan folgt im nächsten Teil:

Code: Alles auswählenAufklappen

ATTFilter

22 Sep 2008 21:02:46 - Datei E:\AUTORUN.INF infiziert durch den Virus "Fujack"!  Maßnahme ergriffen: Deleted.
22 Sep 2008 23:04:20 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:20 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:27 - Objekt "bonzibuddy Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:51 - Eintrag "HKCR\DirectAnimation.PathControl" verweist auf das ungültige Objekt "{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:51 - Eintrag "HKCR\DirectAnimation.Sequence" verweist auf das ungültige Objekt "{4F241DB1-EE9F-11D0-9824-006097C99E51}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:51 - Eintrag "HKCR\DirectAnimation.SequencerControl" verweist auf das ungültige Objekt "{B0A6BAE2-AAF0-11D0-A152-00A0C908DB96}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:51 - Eintrag "HKCR\DirectAnimation.SpriteControl" verweist auf das ungültige Objekt "{FD179533-D86E-11D0-89D6-00A0C90833E6}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:51 - Eintrag "HKCR\DirectAnimation.StructuredGraphicsControl" verweist auf das ungültige Objekt "{369303C2-D7AC-11D0-89D5-00A0C90833E6}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:53 - Eintrag "HKCR\SPhoneParser.FoundSkypeNumber" verweist auf das ungültige Objekt "{E40A96CC-4A5B-47F4-9957-87CDED1DFF45}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:53 - Eintrag "HKCR\SymWriter.pdb" verweist auf das ungültige Objekt "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:57 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\drivers\vsdatant.sys". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:57 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\gp.ocx". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:58 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:01 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\DOKUME~1\xxxx\LOKALE~1\Temp\WRSS\i386\". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:01 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\DOKUME~1\xxxx\LOKALE~1\Temp\WRSS\". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:01 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "AVG7Uninstall". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:01 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "AVGantiRootkit". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:01 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB873339". Maßnahme ergriffen: Einträge entfernt.
!!!! hier habe ich eine ganze Liste mit KBxxxxxx Objektverweisen entfernt !!!!
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "M886903". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "McAfee Uninstall Utility". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Microsoft .NET Framework 2.0". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Microsoft .NET Framework 3.0". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "QuickTime". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Skype_is1". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "ToolBand.SkypeIEToolbarToolbar". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{09966C32-C34D-4FF4-8C7E-94A9630DDEF8}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{125F0ACC-D3FC-402B-8D96-27F6E46D00D5}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{14D00B5A-64AE-4D82-8751-EC1F486D9292}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{19DBC608-AD2B-4F4C-AEE2-C19DAC252408}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{2F1F95D4-C1D4-4B76-9E04-9DAF45413C9B}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{3F17F488-C976-4DE5-86F1-66CDB7D89DAA}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{45D68F08-56A0-4412-BB0F-8492BE978AC7}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{558CD0A7-0548-4220-88FE-01CC1477DF61}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{5AC9F44E-06C7-41E3-A464-37177AB9105D}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{7C3E3706-8FBD-4169-9726-0A47FBF9D32A}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{901C63FD-6673-47A6-9B5F-B13E3EBFA470}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{A43BF6A5-D5F0-4AAA-BF41-65995063EC44}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{AC76BA86-0000-0000-0000-6028747ADE01}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{AC76BA86-7AD7-1031-7B44-A00000000001}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{B4B5AD48-8D34-41D3-BD8A-8A10BD9BDED3}_is1". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{BA9EC6B2-B074-4D6D-8C75-E33D13867EC1}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{C3CE4CED-46B0-407E-A703-7A83AAE02A36}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{CAED31B1-F1EF-4CD3-AE92-58FA3963DA3D}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{D264B937-F97B-4C4F-AA6A-7C31FC09AC4B}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{DBE84DB2-1794-4244-9859-9B720CA89B4D}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{E4AA17E3-D058-48B3-8D3B-E96FC2C95376}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{F10DA4F3-D5E3-46F8-B403-EFBD44936922}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{F25DB693-5AF2-4739-B20A-EB8E05E0F72D}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{F68E3631-68ED-4970-8D77-B81FE83AA6A1}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{FBA6882A-8289-4DAF-A8D1-AD591FD9DF3A}". Maßnahme ergriffen: Einträge entfernt.
23 Sep 2008 00:25:52 - Datei E:\Aspire1200_backup\xxxx\desktop.ini infiziert durch den Virus "VB.CO.Leftover"!  Maßnahme ergriffen: Datei gelöscht.
23 Sep 2008 00:26:05 - Datei E:\Aspire1200_backup\xxxx\desktop.ini infiziert durch den Virus "VB.CO.Leftover"!  Maßnahme ergriffen: Datei gelöscht.
23 Sep 2008 00:26:09 - Datei E:\Aspire1200_backup\xxxx2\desktop.ini infiziert durch den Virus "VB.CO.Leftover"!  Maßnahme ergriffen: Datei gelöscht.
         

Hi,

im wesentlichen gilt für dieses System das gleiche, was ich auch schon zu deinem anderen angemerkt habe. Im Log von Rootkitrevealer gibt es ein paar interessante Einträge (HKLM\SOFTWARE\Classes\CLSID\*): Ist oder war auf dem System Pinnacle Studio installiert?

Ansonsten ist auf dem System die Ask Toobar installiert, die wird als Spyware eingestuft. Leider gibt es immer mehr Hersteller von Securitysoftware, die für Geld die mit ihren Programmen mitinstallieren lassen. Schau mal in Systemsteuerung -> Software ob es dort möglich ist sie runterzuschmeißen.

Bei Rootkitrevealer ist es normal, dass er eine Menge Sachen meldet ohne dass die ein Problem sind.

Die 4 Funde von MBAM sind eine Überraschung, die der Escan ins System ablädt. Das ist noch schlimmer als die Fehlalarme. Ist zwar nur eine Simulation von Malware, aber das ist eine Rote-Karten-Sünde. Die gleiche Taktik wie sie auch Spysherrif, Winantivirus und all diese anderen Betrugsprogramme einsetzen. Wenn Escan sich auf dieses Niveau begibt

Gruß, Karl

nochmal herzlichen Dank, Karl.

ok, Ask Toolbar liess sich deinstallieren.

wenn ich Dich recht verstehe, ist eScan tatsächlich unbrauchbar, werde dieses Stück Software umgehend ersetzen.

Ich wollte schon antworten, dass ich nichts von Pinnacle habe/hatte, aber eine Suche in der Registry förderte ein paar alte Produktschlüssel zutage, die aber im wesentlichen ins Leere weisen. Diese und die entsprechenden leeren Directories kann ich wohl bedenkenlos löschen, nehme ich an.

ansonsten ist die Maschine überladen, aber sauber, wenn ich Dich recht verstehe.

Gruss, Paul

Die Basis sind die Erkennungen von Kaspersky, die ist schon recht gut. Was aber dann an Erweiterungen außen herum gebaut wurde, ist schlecht. Dazu die Installation solcher Malwaresimulationen. Ich würd schon sagen: Ab in die Tonne damit.

gestern habe ich mehrfach sfc laufen lassen. Das Tool hat auch diverse fehlerhafte files gefunden, sie aber nicht ersetzen können. Die Klippe mit dem SP3 habe ich umschiffen können, indem ich unter HKLM\SW\MS\Windows\CurrentVersion\Setup\SourcePath den Pfad des gecachten SP3 angegeben habe, trotzdem verlangt er immer nach einer "Windows XP Professional CD2", die ich natürlich nicht habe. Muss ich da noch einen anderen i386-Ordner suchen?

Anbei ein Auszug aus dem Eventlog mit dem Run, den ich nach einem Reboot mit sfc /scanonce ausgelöst habe. Das Format ist CSV mit ";"-Delimiter.

Code: Alles auswählenAufklappen

ATTFilter

Category;Computer Name;Event Code;Record Number;Source Name;Time Written;Event Type;User;Message;Strings
0;DELL9400_USER_X;64017;13011;Windows File Protection;20081009221405.000000+120;Information;;;
0;DELL9400_USER_X;64021;13010;Windows File Protection;20081009221404.000000+120;Information;;;c:\windows\ehome\snchk.exe;0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.
]
0;DELL9400_USER_X;64005;13009;Windows File Protection;20081009221401.000000+120;Information;;;c:\windows\ehome\ehtray.exe;USER_X;5.1.2715.2765
0;DELL9400_USER_X;64020;13008;Windows File Protection;20081009221358.000000+120;Information;;;c:\windows\ehome\ehtray.exe;5.1.2715.2765
0;DELL9400_USER_X;64005;13007;Windows File Protection;20081009221354.000000+120;Information;;;c:\windows\ehome\ehiwmp.dll;USER_X;5.1.2700.2180
0;DELL9400_USER_X;64020;13006;Windows File Protection;20081009221352.000000+120;Information;;;c:\windows\ehome\ehiwmp.dll;5.1.2700.2180
0;DELL9400_USER_X;64021;13005;Windows File Protection;20081009221351.000000+120;Information;;;c:\windows\ehome\ehituner.dll;0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.
]
0;DELL9400_USER_X;64021;13004;Windows File Protection;20081009221348.000000+120;Information;;;c:\windows\ehome\ehiepg.dll;0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.
]
0;DELL9400_USER_X;64005;13003;Windows File Protection;20081009221344.000000+120;Information;;;c:\windows\ehome\ehepgnet.dll;USER_X;5.1.2700.2180
0;DELL9400_USER_X;64020;13002;Windows File Protection;20081009221341.000000+120;Information;;;c:\windows\ehome\ehepgnet.dll;5.1.2700.2180
0;DELL9400_USER_X;64005;13001;Windows File Protection;20081009221341.000000+120;Information;;;c:\windows\ehome\ehepgdec.dll;USER_X;5.1.2700.2180
0;DELL9400_USER_X;64020;13000;Windows File Protection;20081009221339.000000+120;Information;;;c:\windows\ehome\ehepgdec.dll;5.1.2700.2180
0;DELL9400_USER_X;64021;12999;Windows File Protection;20081009221338.000000+120;Information;;;c:\windows\ehome\ko\ehepgdat.resources.dll;0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.
]
0;DELL9400_USER_X;64021;12998;Windows File Protection;20081009221333.000000+120;Information;;;c:\windows\ehome\ja\ehepgdat.resources.dll;0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.
]
0;DELL9400_USER_X;64021;12997;Windows File Protection;20081009221329.000000+120;Information;;;c:\windows\ehome\fr\ehepgdat.resources.dll;0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.
]
0;DELL9400_USER_X;64021;12996;Windows File Protection;20081009221320.000000+120;Information;;;c:\windows\ehome\de\ehepgdat.resources.dll;0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.
]
0;DELL9400_USER_X;64021;12995;Windows File Protection;20081009221311.000000+120;Information;;;c:\windows\ehome\zh-chs\ehepgdat.resources.dll;0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.
]
0;DELL9400_USER_X;64021;12994;Windows File Protection;20081009221305.000000+120;Information;;;c:\windows\ehome\ehcircl.dll;0x000004c7 [Der Vorgang wurde durch den Benutzer abgebrochen.
]
0;DELL9400_USER_X;64004;12993;Windows File Protection;20081009221245.000000+120;Information;;;c:\windows\ehome\ehchsime.dll;5.1.2700.2180;0x800b0100 [Es war keine Signatur im Antragsteller vorhanden.
]
0;DELL9400_USER_X;64020;12992;Windows File Protection;20081009221241.000000+120;Information;;;c:\windows\ehome\ehchsime.dll;5.1.2700.2180
0;DELL9400_USER_X;64004;12991;Windows File Protection;20081009221241.000000+120;Information;;;c:\windows\ehome\debugsvc.dll;5.1.2700.2180;0x800b0100 [Es war keine Signatur im Antragsteller vorhanden.
]
0;DELL9400_USER_X;64020;12990;Windows File Protection;20081009221217.000000+120;Information;;;c:\windows\ehome\debugsvc.dll;5.1.2700.2180
0;DELL9400_USER_X;64021;12989;Windows File Protection;20081009221130.000000+120;Information;;;c:\programme\windows media player\wmpns.dll;0x800b0100 [Es war keine Signatur im Antragsteller vorhanden.
]
0;DELL9400_USER_X;64021;12988;Windows File Protection;20081009215428.000000+120;Information;;;c:\programme\windows media player\npdrmv2.dll;0x800b0100 [Es war keine Signatur im Antragsteller vorhanden.
]
0;DELL9400_USER_X;64021;12987;Windows File Protection;20081009213238.000000+120;Information;;;c:\programme\windows media player\npwmsdrm.dll;0x800b0100 [Es war keine Signatur im Antragsteller vorhanden.
]
0;DELL9400_USER_X;64021;12986;Windows File Protection;20081009213237.000000+120;Information;;;c:\programme\windows media player\npdsplay.dll;0x800b0100 [Es war keine Signatur im Antragsteller vorhanden.
]
0;DELL9400_USER_X;64021;12985;Windows File Protection;20081009213226.000000+120;Information;;;c:\programme\windows media player\mplayer2.exe;0x800b0100 [Es war keine Signatur im Antragsteller vorhanden.
]
0;DELL9400_USER_X;64004;12984;Windows File Protection;20081009213224.000000+120;Information;;;c:\windows\system32\drmstor.dll;10.0.0.3646;0x800b0100 [Es war keine Signatur im Antragsteller vorhanden.
]
0;DELL9400_USER_X;64020;12983;Windows File Protection;20081009213223.000000+120;Information;;;c:\windows\system32\drmstor.dll;10.0.0.3646
0;DELL9400_USER_X;7036;12982;Service Control Manager;20081009213029.000000+120;Information;;;Konfigurationsfreie drahtlose Verbindung;Beendet
0;DELL9400_USER_X;7036;12981;Service Control Manager;20081009213029.000000+120;Information;;;IMAPI-CD-Brenn-COM-Dienste;Beendet
0;DELL9400_USER_X;7035;12980;Service Control Manager;20081009213028.000000+120;Information;;;Konfigurationsfreie drahtlose Verbindung;beenden
0;DELL9400_USER_X;7036;12979;Service Control Manager;20081009213022.000000+120;Information;;;IMAPI-CD-Brenn-COM-Dienste;Ausgef�hrt
0;DELL9400_USER_X;7035;12978;Service Control Manager;20081009213022.000000+120;Information;NT AUTHORITY\SYSTEM;;IMAPI-CD-Brenn-COM-Dienste;starten
0;DELL9400_USER_X;7036;12977;Service Control Manager;20081009213021.000000+120;Information;;;RAS-Verbindungsverwaltung;Ausgef�hrt
0;DELL9400_USER_X;7035;12976;Service Control Manager;20081009213018.000000+120;Information;NT AUTHORITY\SYSTEM;;RAS-Verbindungsverwaltung;starten
0;DELL9400_USER_X;7036;12975;Service Control Manager;20081009213017.000000+120;Information;;;Gatewaydienst auf Anwendungsebene;Ausgef�hrt
0;DELL9400_USER_X;7035;12974;Service Control Manager;20081009213017.000000+120;Information;NT AUTHORITY\SYSTEM;;Gatewaydienst auf Anwendungsebene;starten
0;DELL9400_USER_X;7036;12973;Service Control Manager;20081009213016.000000+120;Information;;;Terminaldienste;Ausgef�hrt
0;DELL9400_USER_X;7036;12972;Service Control Manager;20081009213013.000000+120;Information;;;COM+-Systemanwendung;Ausgef�hrt
0;DELL9400_USER_X;7036;12971;Service Control Manager;20081009213013.000000+120;Information;;;NLA (Network Location Awareness);Ausgef�hrt
0;DELL9400_USER_X;7035;12970;Service Control Manager;20081009213013.000000+120;Information;NT AUTHORITY\SYSTEM;;NLA (Network Location Awareness);starten
0;DELL9400_USER_X;7035;12969;Service Control Manager;20081009213013.000000+120;Information;NT AUTHORITY\SYSTEM;;Terminaldienste;starten
0;DELL9400_USER_X;7035;12968;Service Control Manager;20081009213013.000000+120;Information;NT AUTHORITY\SYSTEM;;COM+-Systemanwendung;starten
0;DELL9400_USER_X;64016;12967;Windows File Protection;20081009213006.000000+120;Information;;;
0;DELL9400_USER_X;7035;12966;Service Control Manager;20081009212959.000000+120;Information;NT AUTHORITY\SYSTEM;;Fax;beenden
0;DELL9400_USER_X;6005;12965;EventLog;20081009212933.000000+120;Information;;;
0;DELL9400_USER_X;6009;12964;EventLog;20081009212933.000000+120;Information;;;5.01.;2600;Service Pack 3;Multiprocessor Free
         

Ehrlich gesagt: Ich kann dieses Log nicht deuten. Ich habe mich nie mit sfc beschäftigt und habe meine Gründe dafür:

Die Theorie sagt dass sfc dann, wenn festgestellt wird, dass eine/mehrere Dateien verändert wurden, sie durch eine Kopie ersetzt, von der sfc ausgeht, dass sie ok ist. Dafür wird die Windows-CD angefordert.

Damit fängt das Problem schon mal an. Nach gemachten Windowsupdates sind die Dateien auf der CD als veraltet anzusehen, wenn von dort Dateien zurückgespielt werden, baut man sich die in der Zwischenzeit gepatchten Fehler wieder ins System ein. Und das mit Original-Microsoft-Dateien, die z.B. eine Überprüfung der Signatur bestehen (wenn sie dann Microsoft auch signiert hat, was nicht mal bei denen selbstverständlich ist).

Noch ein Problem: Microsoft hat da einen Mechanismus gebaut, der versucht aus einem laufenden System heraus zu prüfen, ob dieses System manipuliert wurde. Ein Widerspruch in sich, denn der Code, der benutzt wird zur Überprüfung könnte ja ebenfalls manipuliert sein. Theoretisch soll ein laufendes Windows die Veränderung von Systemdateien im Betrieb merken und dann die nötigen Schritte einleiten, eine saubere Kopie zurückzuschreiben. Ich hab aber schon einige Malware gesehen, deren erste Aktion es ist, diese Funktion auszuschalten. Es genügt ein einziges Byte zu ändern

Last but not least: Hier scheint es sich um ein Notebook zu handeln. Dort gibt es meistens keine Windows-CD sondern nur eine Recoverypartition von der man (wenn es gut konzipiert ist) eine Sicherung auf CD/DVD brennen kann, die sich auch zur Wiederherstellung eignet. Da hier jeder Notebookhersteller seine eigenen Wege geht (mache sogar mehrere) kann Microsoft da kaum eine Methode entwickeln, die mit allem kompatibel ist. Auf dem Computer gespeicherte Sicherheitskopien der Systemdateien sind für diesen Zweck komplett wertlos. Jede auch nur mäßig clever programmierte Malware wird natürlich die Kopien in dllcache, i386, usw. ebenfalls patchen.

Wenn man wirklich sinnvoll prüfen will, ob ein System manipuliert ist, dann muss man ein anderes System zur Hilfe nehmen, bei dem man wissen muss, dass dieses System nicht manipuliert ist. Z.B. ein Knoppix von einer CD starten, die Windows-Partition mounten und dann für alle Dateien Prüfsummen berechnen und die mit einer Liste der "sauberen" Werte vergleichen. Diese Liste muss natürlich auch aus einer Quelle stammen, die in der Zwischenzeit nicht geändert werden konnte, darf also ganz bestimmt nicht auf dem System gespeichert sein. Nach jedem Windowsupdate muss sie neu erstellt werden (mit der Unsicherheit ob wirklich nur die Veränderungen des gemachten Windowsupdates eingehen, könnte ja auch noch was anderes in der Zwischenzeit geändert worden sein). Auf den Systemen, auf denen ich Malware teste, mache ich das. Von CD booten, Registry kopieren und genaue Informationen über alle Dateien (im Systembereich gehören auch Prüfsummen dazu, aber MD5s zu berechnen ist auch nicht gerade schnell). Dann Malware starten und später wieder von CD starten und die vorher aufgezeichneten Informationen mit dem jetzigen Zustand des Systems vergleichen. Das sind aber auch Ex-und-Hopp-Systeme die Stunden später bereits gelöscht sind, die niemals ein Windowsupdate sehen werden (warum auch, verseucht zu werden ist ihre einzige Bestimmung), auf einem normalen System wäre mir das viel zu stressig. Sind ja nicht nur die Windowsupdates, um gründlich zu sein müsste ich auch jede andere Software auf Manipulation überwachen, ich käm zu nichts anderem mehr.

Bevor ich mir in diesem Teufelskreis die letzten Haare ergrauen lasse, nehme ich die Windows-CD, formatiere und installiere neu.

Außerdem geht der Gruß leider nicht mehr nach Mexiko sondern ins stinkende graue Berlin, Frust.

Vielen Dank für Deine Antwort. Eine XP Original-CD habe ich zwar, aber dass die i386-Ordner nicht infiziert sind, kann wohl niemand garantieren. Ich werd das Notebook auf alle Fälle weiterhin genau beobachten.

Gruss nach Berlin (ist es wirklich so grau? 1975 im Osten war grau, aber es gibt doch so viel ich weiss schöne Grünanlagen an Seen und Flüssen?)

CDs haben den Vorteil, dass sie readonly sind. Da ist garantiert, dass die Dateien so drauf sind, wie sie mal drauf gepresst bzw. gebrannt sind.

Nicht nur grau natürlich, aber im Vergleich finde ich das gerade sehr grau, ganz besonder die Gesichter. Wird schon wieder werden.