Hallo zusammen.

Mein Bruder war gestern auf der Google-Bildersuche und als er ein Bild anklickte, sprang AntiVir an und behauptete dreist, den Trojaner TR/Spy.Banker.vk.1 im Firefox-Browser-Cache gefunden zu haben.

Sofort wurde die Verbindung (Router) gekappt, alle Stecker gezogen und erstmal mit AntiVir das ganze System gescannt.

Dabei fand AntiVir zwar keinen Trojaner mehr, aber diesen Schädling: HTML/PicFrame.Gen und zwar in einer 3 Jahre alten jpg-Datei auf meinem Rechner. Fehlalarm?

Ich setze alle Sicherheitsvorschläge dieser Seite um (surfen mit eingeschränktem Konto, unnötige Dienste ausschalten, immer die neuesten Software- und Microsoft-Sicherheitsupdates...etc. etc.), Brain.exe natürlich auch aktiviert.

Das System habe ich mittlerweile mit Malwarebyte's Anti-Malware, AntiVir, Microsofts-Malware-Removetool, einem Rootkitscanner und Adaware gescannt und dabei ist nichts rausgekommen.
Habe auch bei heise.de meine Ports scannen lassen und alles ist dicht.

Nun wäre es nett, wenn sich mal die Spezialisten meinen Hijack-This-Log von heute morgen mal ansehen könnten.
Ich finde zwar nichts ungewöhliches, aber das muss nichts heissen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:23:25, on 06.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\SLEE401.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\internet\Zone Labs\ZoneAlarm\zlclient.exe
D:\Handy\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
D:\Sicherheit\HiJackThis\pruefcom.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LanguageShortcut] d:\Multimedia\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\internet\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Handy\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Office\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Update Service (gupdate1c995efc16e3a5e) (gupdate1c995efc16e3a5e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE401.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6016 bytes



Im Vorraus recht vielen Dank für Eure Arbeit und Mühe.

Grüße
Nez_Perces

Sollten Angaben fehlen oder man der Meinung sein, dass sich der Post der näheren Betrachtung nicht lohnt, dann würden 1-2 Sätze schon reichen.

Ich bin mir nur nicht sicher, wie sicher mein System nun ist, da ich irgendwo mal gelesen habe, dass dieser Trojaner über eine Backdoor-Funktion verfügen soll (tun das nicht alle Trojaner??).

Danke.

Nez_Perces

PS: Das ich den I-Explorer 6 noch drauf habe, weiss ich auch, aber ich surfe nicht mit ihm und verbiete ihm über die Firewall auch alle Aktivitäten ins Weltnetz. Dürfte also kein Problem sein, denke ich.

PPS:

Hier der Pfad unter welchem der vermeindliche Trojaner entdeckt wurde:

'C:\Dokumente und Einstellungen\W-W-W\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\m6r5lnhb.default\Cache\2F60B116d01'

Dein Java ist wohl veraltet, lade dir die neueste Version runter. Und der Internet Explorer sollte dennoch immer aktuell gehalten werden.

Nutzt du NoScript für den Firefox? Wenn nicht solltest du dieses Addon installieren.

Zum Abschluss kannst du ja noch SUPERAntiSpyware laden, es updaten und im abgesicherten Modus scannen lassen.


Hier sind noch Infos zum Spy.Banker.vk.1 --> http://www.avira.com/de/threats/section/fulldetails/id_vir/2754/tr_spy.banker.vk.1.html

Ps.: Malwarebytes und auch andere Programme am besten als Administrator updaten lassen, denn ich habe bei mir festgestellt, das Malwarebytes die Updates nicht korrekt macht, wenn ich mit eingeschränkten Rechten update. Er sagt dann, dass er erfolgreich von 1822 auf 1822 geupdatet hat (nur als Beispiel).

Danke für Deine Antwort, Kaos. :-)

NoScript für den Firefox nutze ich schon lange, da bin ich gleich auf Nummer sicher gegangen.

Das mit Malwarebytes habe ich auch herausgefunden und lade mir die neuesten Updates auch nur noch mit Admin-Rechten.

Den Avira-Link kenne ich und habe aber in meiner Registry keine der dort beschriebenen Änderungen entdecken können.

SUPERAntiSpyware habe ich mir jetzt runtergeladen und werde es dann mal durchlaufen lassen.

Das Ergebnis werde ich hier posten.
Java und den Explorer werde ich auch updaten.

Nochmals vielen Dank für Deine Antwort/Hilfe. :-)

Nachdem SuperAntiMalware zwar die beiden obengenannten Schädlinge nicht gefunden hat, dafür aber einen anderen Trojaner, habe ich mich entschlossen das System platt zu machen.

Da dies nun geschehen ist und ich am Neuaufsetzen bin, kann dieser Thread geschlossen werden.

Nochmals ein Dankeschön an Kaos für die Hilfe.

Wäre unser Leben nicht so stark vom PC und Internet bestimmt, dann wäre einiges einfacher....

Mein System ist neu aufgesetzt und alle Programme, die ich bisher installiert habe, stammen aus sicheren Quellen (CHIP-Internetseite oder PC-Magazin-Heft-DVD).
Mittels CHIP-Updater habe ich alle notwendigen Sicherheits-Patches von Microsoft heruntergeladen und installiert.

Dann habe ich AntiVir und Malwarebytes Antimalware ge-updated, durchlaufen lassen und mit HijackThis und GMER mal ein Scan gemacht.

Hier die Log-Files:

HiJackThis

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:07:48, on 11.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\RTHDCPL.EXE
D:\Internet\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
D:\Sicherheit\HiJackThis\pruefcom.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] d:\Drucker\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Internet\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] d:\Sicherheit\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Sicherheit\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Office\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - Winlogon Notify: !SASWinLogon - D:\Sicherheit\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4503 bytes
         

Malwarebytes Antimalware:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3

11.03.2009 07:07:12
mbam-log-2009-03-11 (07-07-07).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 90707
Laufzeit: 11 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\XXX\services.reg (Heuristics.Reserved.Word.Exploit) -> No action taken.
         

Und gmer:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2009-03-11 07:15:28
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwConnectPort [0xB04E88C0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwCreateFile [0xB04E56D0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwCreateKey [0xB04F24C0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwCreatePort [0xB04E8E80]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwCreateProcess [0xB04EFC70]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwCreateProcessEx [0xB04EFE80]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwCreateSection [0xB04F3D80]
SSDT            BAF8BAA4                                                                                                    ZwCreateThread
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwCreateWaitablePort [0xB04E8F70]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwDeleteFile [0xB04E5C60]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwDeleteKey [0xB04F2D40]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwDeleteValueKey [0xB04F2AF0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwDuplicateObject [0xB04EF5F0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwLoadKey [0xB04F3260]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwLoadKey2 [0xB04F32E0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwOpenFile [0xB04E5AC0]
SSDT            BAF8BA90                                                                                                    ZwOpenProcess
SSDT            BAF8BA95                                                                                                    ZwOpenThread
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwRenameKey [0xB04F39A0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwReplaceKey [0xB04F3400]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwRequestWaitReplyPort [0xB04E84E0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwRestoreKey [0xB04F37F0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwSecureConnectPort [0xB04E8A90]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwSetInformationFile [0xB04E5E90]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwSetValueKey [0xB04F2830]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)          ZwSystemDebugControl [0xB04F0570]
SSDT            \??\D:\Sicherheit\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)  ZwTerminateProcess [0xB0473F20]
SSDT            BAF8BA9A                                                                                                    ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text           ntkrnlpa.exe!ZwCallbackReturn + 2C7C                                                                        80504518 12 Bytes  [ 80, 8E, 4E, B0, 70, FC, 4E, ... ]
?               srescan.sys                                                                                                 Das System kann die angegebene Datei nicht finden. !
?               C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS                                                                 Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text           C:\WINDOWS\system32\SearchIndexer.exe[652] kernel32.dll!WriteFile                                           7C810E17 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                    [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                         [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                        [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                  [B04EB770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                    [B04EB770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                      [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                           [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                          [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                     [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                   [B04EB770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                         [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                          [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                           [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                            [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                       [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                    [B04EB770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                      [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                           [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                          [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                     [B04ED400] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                   [B04EB770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                         [B04EDB40] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                          [B04ED210] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

---- Devices - GMER 1.0.14 ----

Device          \Driver\Tcpip \Device\Ip                                                                                    vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\Tcpip \Device\Tcp                                                                                   vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\Tcpip \Device\Udp                                                                                   vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\Tcpip \Device\RawIp                                                                                 vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                           vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                    fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----
         

Der Fund von Malwarebytes AntiMalware macht mich stutzig, aber vor allem das Log-File von GMER schockt mich richtig.
Leider reichen meine Kenntnisse nicht aus, es richtig zu deuten, aber wie kann das sein, dass so viele Einträge bei einem frisch aufgesetzten System vorhanden sind??

Ich hoffe, Ihr könnt mir, wie schon so oft, helfen.

Vielen Dank für Eure Mühe und Arbeit im Vorraus.

Nez_Perces

PS: Bin jetzt daheim schon seit Tagen ohne funktionierenden Rechner, da ich nur Abends mich ans Neuaufsetzen machen kann.

Update mal Malwarebytes, lass dann noch mal laufen....wir sind nämlich bereits bei 1835

Hallo Redwulf,

Danke für Deine Antwort.

Malwarebytes habe ich eigentlich kurz vor dem Scan, im Admin-Modus, ge-updated. Dachte, dass würde so ok sein.
Ich werde es nochmal updaten.
Bloss bin ich im Moment bei der Arbeit und komme erst in der Mittagspause dazu.

Kann mir vielleicht jemand die vielen Einträge beim gmer-Scan erklären?
Verstehe das nicht.

Danke.

PS:

Den CCleaner hatte ich vor den Scans auch ausgeführt.
Die Liste aller auf meinem Rechner installierten Programme werde ich nach der Mittagspause nachreichen.

Manchmal könnte ich den Rechner einfach aus dem Fenster werfen......

Passiert offensichtlich beim Quick Scan. Ich erinnere mich, dass dies mal bei Malwarebytes diskutiert wurde. Passiert wenn Mlawarebytes in Ordner guckt in die es nicht gucken sollte, in deinem Fall wohl in die Uninstall ordner?
Vieleicht gibts heir ne andere Meinung noch dazu, aber ich würd sagen Fehlalarm.......

Mach mal nen Vollscan

Das dachte ich mir auch schon.

Übrigends habe ich eben gesehen, dass ich letztes Jahr einen ähnlichen Fall hatte, wo Malwarebytes mir "services.reg" moniert hatte.
In meinem Nachrichtenordner hier ist noch ein Schriftwechsel mit myrtille, die mir damals sehr geholfen hat (ein großes Dankeschön an Dich, myrtille, nochmals! ), wo es um das Problem mit der "service.reg" ging.

Ok, dann könnte das ein Fehlalarm gewesen sein.

Ich werde später trotzdem nochmal einen Scan mit Malwarebytes machen und den Log hier posten.

Hoffentlich kann mir noch jemand etwas zum gmer-Log sagen.

*piep* Rechner!

So, ich war in der Mittagspause daheim und habe Malwarebytes AntiMalware ge-updated.

Auch mit der aktuellen Version fand es in der Datei "services.reg" den (Heuristics.Reserved.Word.Exploit).
Ich habe die Datei bei virustotal.com hochgeladen und deren Scan hat keinen Treffer ergeben.

Die Datei wurde erstellt, als ich das Script zum abschalten unnötiger Windows-Dienste ausgeführt hatte.

Also denke ich, dass es sich hier um einen Fehlalarm handelt.

Was allerdings die vielen Einträge beim Gmer-Log sollen, verstehe ich immer noch nicht. Hoffentlich kann mir da einer helfen.


Hier noch die HiJackThis-Liste meiner installierten Programme:

Code: Alles auswählenAufklappen

ATTFilter

7-Zip 4.65
Avira AntiVir Personal - Free Antivirus
Brother MFL-Pro Suite
CCleaner (remove only)
CHIP Update-Manager
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915800-v4)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
IrfanView (remove only)
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Word 2000
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket
Mozilla Firefox (3.0.7)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser
Nero 7 Essentials
NVIDIA Drivers
PaperPort
Realtek High Definition Audio Driver
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows Media Player 9 (KB911565)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
SpeedCommander 7
SUPERAntiSpyware Free Edition
Update für Windows XP (KB943729)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VC 9.0 Runtime
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Imaging Component
Windows Internet Explorer 7
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Format SDK Hotfix - KB891122
Windows Media Player 11
Windows Media Player 11
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Search 4.0
Windows XP Service Pack 3
XML Paper Specification Shared Components Language Pack 1.0
ZoneAlarm
         

Wenn ich mir so manche Hilferufe hier durchlese, kommen meine Problem(chen) eher bescheiden daher, aber ich muss sicher sein, dass ich nach dem Neuaufsetzen keinen Schädling mehr habe.

Danke für Euer Verständnis.

Es ist alles ok, du durchlebst grad eine harte Zeit und wirst neurotisch....

Ist mir auch so ergangen,,,,

Die GMER Einträge sind auch vollkommen ok,dir jetzt die Einträge alle im einzelnen zu erklären würde voraussichtlich bis morgen früh dauern.
Ich persönlich würde die Zonealarm Firewall nicht nutzen. Die von Windows reicht vollkommen aus.

Eine tolle Nachricht! Danke für Deine Hilfe!

Ja, ich reagiere wirklich schnell neurotisch, wenn es um die "Sauberkeit" meines Systems geht.
Aber besser ich bin etwas neurotisch als, dass mein Rechner als Teil eines Botnetzes endet.

Recht hast du...viel Glück

Zum Abschluß möchte ich dir die gutgemeinten Hinweise in diesem Board ans Herz legen.

Admin wir sind fertig

Fettich.......