Hallo!

Ich hab mir wscsvc32.exe zugezogen (habe Windows XP).
Avira hat ihn nicht gleich erkannt (5.1. mittags), als die Pseudo-Sicherheitscenter-Fenster kamen hab' ich (allerdings auch nicht sofort) die Verbindung zum Internet gekappt, externe Festplatte und mp3-Player ausgestöpselt und Avira scannen lassen.
Ich war und bin auch jetzt nicht als Admin angemeldet.
Ergebnis war der wscsvc32.exe (als nicht lesbar, aber nicht erkannt); manuelles in-Quarantäne-setzen über Avira hat nichts gebracht, er war ja schon aktiv.
Ich hab' (vllt dummerweise) neu gebootet.
Am Nachmittag hab' ich dann doch nochmal Verbindung zum Internet hergestellt, Avira geupdated, seitdem wird er erkannt.
Ich hatte kurz den Namen (wscsvc) gegooglet und bin hier gelandet, habe daraufhin HijackThis geladen (Immer noch: Nicht als Admin. Vielleicht verfälscht das ja was.); raus kam dabei das hier:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:34:37, on 5.1.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\DOKUME~1\***\LOKALE~1\Temp\settdebugx.exe
C:\DOKUME~1\***\LOKALE~1\Temp\wscsvc32.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\***\LOKALE~1\Temp\settdebugx.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6187 bytes





Ich hatte seitdem keine Zeit mich damit auseinanderzusetzen, d.h. der PC war von da an aus.
Direkt nach dem Booten heute hat Avira 'C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\wscsvc32.exe' blockiert und ist seitdem auf 'Zugriff verweigern', 4 mal die Minute passiert das (will irgendwas auf wscsvc32.exe zugreifen.)
Ich habe im Moment keine Pseudo-SecurityCenter-Meldungen.

Den Inhalt von 'C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp' hatte ich nach dem Avira-Scan gelöscht, bis auf
wscsvc.exe (ließ sich natürlich nicht löschen),
settdebugx.exe(ließ sich ebenfalls nicht löschen)
und einen der beiden Ordner
hsperfdata_user und WPDNSE (einer ließ sich nicht löschen, ich weiß leider nicht mehr welcher; der andere wurde seitdem erstellt, beide scheinen leer).

Außerdem befinden sich dort drei Porno-Icons namens 1.ico, 2.ico und 3.ico, die seitdem erstellt wurden, und
jusched.log mit dem Inhalt:


Tue Jan 05 19:15:44 2010
:: **************** Running jusched ****************

Tue Jan 05 19:15:44 2010
:: Either not a Win2000, XP platform or Non-admin user or GetModuleFilename failed or Error Opening JavaUpdate Keys.

Thu Jan 07 13:29:38 2010
:: **************** Running jusched ****************

Thu Jan 07 13:29:39 2010
:: Either not a Win2000, XP platform or Non-admin user or GetModuleFilename failed or Error Opening JavaUpdate Keys.




Soweit ich das verstehe, muss ich letztlich ohnehin formatieren und Betriebssystem etc etc neu aufspielen, wenn ich den Pc wieder regulär benutzen will, dh eben auch zB onlinebanking?
Sicher, das wäre beträchtlicher Aufwand, aber vielleicht tät' das der Geschwindigkeit ganz gut... und dreieinhalb Jahre am Stück ohne ist ganz ok ;)
Spricht etwas dagegen, eine externe Festplatte anzuschließen (nicht die die schon dranhing als ich den Befall bemerkt habe, da ist nicht genug Platz), Daten die wichtig sind (oofficedateien, pdf, Bilder, Musik, Thunderbird-Postfach, Thunderbird-Adressbuch, Mozilla-Lesezeichen) draufzuziehen, das dann zu tun, und die Externe nach dem Neuaufspielen erstmal zu scannen?
Und reicht einfaches Formatieren mit format c: im dos-modus oder müsste ich etwas darüber hinaus tun?


Ich lese gerade von MAM, RSIT und GMER - ich kann die natürlich auch noch drüberlaufen lassen, aber
1. Ist das sinnvoll wenn ich vermutlich formatieren will/sollte (wie war das? never trust a system that has been compromised before?)
2. Muss ich dazu in den Admin-Modus? Bei CC und MAM ,zum Installieren oder so? Ich habe den Eindruck, die eingeschränkten Rechte haben mir einige Scherereien erspart. Und, wenn das alles sinnvoll ist - sollte ich vielleicht auch HijackThis nochmal als Admin ausführen?

Ich mach' das, wie gesagt, trotzdem gern, wenn mir jemand kurz rückmeldet dass das sinnvoll ist.
Vielen Dank im Voraus für Hilfe.

Hi,

die Typen Malwaredateien sind erkennbar, wenn Du Glück hast ist nur Defens und TDSS drauf...

Bereinigung für Rootkit "H8SRTd"

Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf
z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den
Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls MAM bereits installiert ist, weiter mit Avenger...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
H8SRTd.sys
         

3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris

Hallo.

Danke für die Antwort!
Ich bin zur Zeit etwas im Stress und nicht am PC, daher die lange Antwortlaufzeit - das ändert nichts dran dass ich sehr froh bin über Hilfestellung.

Ich habe jetzt Avenger wie beschrieben laufenlassen, ohne Ergebnis:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\H8SRTd.sys" not found!
Deletion of driver "H8SRTd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


Nach dem Neustart kam sofort wieder das "security Center" (das Avira vorher blockiert hatte). Ich hab' daraufhin nochmal gebootet, diesmal kam die Meldung von Avira schneller.
Avira erkennt inzwischen auch den settdebugx.exe im selben Verzeichnis und blockt jetzt beide;
allerdings sind die letzten Ereignisse
16:03 settdebugx
16:03 wscsvc32
16:03 settdebugx
16:03 wscsvc32
15:06 settdebugx
15:06 wscsvc32
14:32 settdebugx
14:32 wscsvc32
14:28 settdebugx
14:28 settdebugx
14:28 Dienst gestartet
im Vergleich zu vorher 4 mal pro Minute wscsvc32.

Jetzt eben lief noch MAM, sagt

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3526
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

9.1.2010 16:03:08
mbam-log-2010-01-09 (16-03-08).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 194581
Laufzeit: 1 hour(s), 24 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\cleanup (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\settdebugx.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\wscsvc32.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZEJ91487\eHff518f04V03004f35002R6238f589102Tb412db68Q00000047901807F0020000aJ0d000601l0007318U391c0c450[1] (Trojan.Vundo) -> Quarantined and deleted successfully.

Nach dem Posten Neustart...

Reboot erfolgreich, als Ahnungsloser erkenn' ich keine Merkwürdigkeiten.
Avira Guard meldet keine Aktivitäten,
im Temp sind wscsvc32 und settdebugx nicht mehr sichtbar.

Ich lass' gerade Avira scannen, dann nochmal MAM und HijackThis und werd' die Logs posten sobald ich sie hab'.

Hi,

Okay, bitte auch noch ein GMER-Log...

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

ok, Avira sagt



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 9. Januar 2010 16:20

Es wird nach 1512108 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ***

Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 2.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.2.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.2.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.1.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 6.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:16:55
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 14:16:55
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 14:16:55
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 14:16:55
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 14:16:55
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 14:16:55
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 14:16:55
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 14:16:55
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 14:16:55
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 14:16:55
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 14:16:55
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 14:16:55
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 14:16:56
VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 14:16:56
VBASE015.VDF : 7.10.1.178 195584 Bytes 7.12.2009 11:59:40
VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 08:20:23
VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 10:59:23
VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 22:07:30
VBASE019.VDF : 7.10.2.63 187392 Bytes 24.12.2009 15:18:56
VBASE020.VDF : 7.10.2.93 195072 Bytes 29.12.2009 12:58:28
VBASE021.VDF : 7.10.2.131 201216 Bytes 7.1.2010 13:16:48
VBASE022.VDF : 7.10.2.132 2048 Bytes 7.1.2010 13:16:48
VBASE023.VDF : 7.10.2.133 2048 Bytes 7.1.2010 13:16:48
VBASE024.VDF : 7.10.2.134 2048 Bytes 7.1.2010 13:16:48
VBASE025.VDF : 7.10.2.135 2048 Bytes 7.1.2010 13:16:48
VBASE026.VDF : 7.10.2.136 2048 Bytes 7.1.2010 13:16:49
VBASE027.VDF : 7.10.2.137 2048 Bytes 7.1.2010 13:16:49
VBASE028.VDF : 7.10.2.138 2048 Bytes 7.1.2010 13:16:49
VBASE029.VDF : 7.10.2.139 2048 Bytes 7.1.2010 13:16:49
VBASE030.VDF : 7.10.2.140 2048 Bytes 7.1.2010 13:16:49
VBASE031.VDF : 7.10.2.151 146944 Bytes 8.1.2010 17:39:09
Engineversion : 8.2.1.134
AEVDF.DLL : 8.1.1.2 106867 Bytes 8.11.2009 06:38:52
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 5.1.2010 12:59:13
AESCN.DLL : 8.1.3.0 127348 Bytes 11.12.2009 14:37:23
AESBX.DLL : 8.1.1.1 246132 Bytes 8.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 2.12.2009 14:17:00
AEPACK.DLL : 8.2.0.4 422263 Bytes 5.1.2010 12:59:12
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 8.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.194 2228599 Bytes 8.1.2010 17:39:38
AEHELP.DLL : 8.1.9.0 237943 Bytes 17.12.2009 19:45:38
AEGEN.DLL : 8.1.1.83 369014 Bytes 5.1.2010 12:59:06
AEEMU.DLL : 8.1.1.0 393587 Bytes 8.11.2009 06:38:26
AECORE.DLL : 8.1.9.1 180598 Bytes 11.12.2009 14:37:23
AEBB.DLL : 8.1.0.3 53618 Bytes 8.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.8.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.1.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 7.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.3.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.1.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.1.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2.2.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 7.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.5.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 9. Januar 2010 16:20

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '65227' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'THUNDE~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogitechDesktopMessenger.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Res.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eabservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '34' Prozesse mit '34' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Samstag, 9. Januar 2010 17:27
Benötigte Zeit: 1:06:45 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

9850 Verzeichnisse wurden überprüft
254387 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
254384 Dateien ohne Befall
1651 Archive wurden durchsucht
3 Warnungen
2 Hinweise
65227 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden



Soll ich nochmal mit Systemdatein-Integritätsprüfung und hoher Protokollierung scannen?
Das war mir vorher nicht aufgefallen.

In C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp befinden sich jetzt zusätzlich neu:
-Ordner svifk.tmp (mit der Datei svig0.tmp)
-Ordner plugtmp (scheinbar leer)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:40:53, on 9.1.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\Benjá\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Benjá')
O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" (User 'Benjá')
O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (User 'Benjá')
O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [settdebugx.exe] C:\DOKUME~1\BENJ~1\LOKALE~1\Temp\settdebugx.exe (User 'Benjá')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6072 bytes

Hi,

da ist noch was faul:

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [settdebugx.exe] C:\DOKUME~1\BENJ~1\LOKALE~1\Temp\settdebugx.exe (User 'Benjá')
         

Fixe diesen Eintrag und poste nach dem Reboot ein neues HJ-Log sowie ein neues GMER-Log!

chris

Hallo!

Werd' ich tun. Ich hatte gerade noch MAM laufen:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3526
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

9.1.2010 19:07:39
mbam-log-2010-01-09 (19-07-33).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 151526
Laufzeit: 56 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\settdebugx.exe (Trojan.FakeAlert) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


->Ich werd' zuerst MAM dieses eine zu entfernen versuchen lassen, dann wie geschrieben mit HiJack den Genannten fixen und HiJack- und GMER-Log reinstellen...

Nach MAM-Fix war die Zeile im HJ-Log weg.
Ich hoff' das ist positiv...?

Die HJ-Log sieht jetzt so aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13:45, on 9.1.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Yahoo! Search Marketing Deutschland
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = meinAOL | HP
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User '***')
O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" (User '***')
O4 - HKUS\S-1-5-21-842925246-838170752-839522115-1005\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (User '***')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5929 bytes




GMER:




GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-01-09 20:15:31
Windows 5.1.2600 Service Pack 3
Running: 7zig29p2.exe; Driver: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\uwtcyaob.sys


---- System - GMER 1.0.15 ----

SSDT F7B6ACB6 ZwCreateKey
SSDT F7B6ACAC ZwCreateThread
SSDT F7B6ACBB ZwDeleteKey
SSDT F7B6ACC5 ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xF737E84E]
SSDT sptd.sys ZwEnumerateValueKey [0xF737EBEE]
SSDT F7B6ACCA ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xF7379090]
SSDT F7B6AC98 ZwOpenProcess
SSDT F7B6AC9D ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF737ECC6]
SSDT sptd.sys ZwQueryValueKey [0xF737EB46]
SSDT F7B6ACD4 ZwReplaceKey
SSDT F7B6ACCF ZwRestoreKey
SSDT F7B6ACC0 ZwSetValueKey
SSDT F7B6ACA7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2480 80501CB8 4 Bytes CALL 4C3113F4
? kkqhg.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F68ED8AC 5 Bytes JMP 852178D0
? System32\Drivers\azntbvuo.SYS Das System kann den angegebenen Pfad nicht finden. !
.text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xB8A57400, 0x7960C, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB8AF9420] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB8AF9420]
.protectÿÿÿÿhardlockunknown last code section [0xB8AF9200, 0x5049, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xB8AF9200, 0x5049, 0xE0000020]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7379ABA] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7379C00] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7379B82] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F737A72E] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F737A604] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F738CA9A] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 853D21D8
Device \FileSystem\Fastfat \FatCdrom 850B75C8
Device \Driver\NetBT \Device\NetBT_Tcpip_{182B11AE-3700-4646-A2DB-68ABFEFC3F91} 84DCD1D8

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Company)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Company)

Device \Driver\usbohci \Device\USBPDO-0 852241D8
Device \Driver\usbohci \Device\USBPDO-1 852241D8
Device \Driver\usbehci \Device\USBPDO-2 851C91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 853681D8
Device \Driver\Cdrom \Device\CdRom0 851BD1D8
Device \Driver\Cdrom \Device\CdRom1 851BD1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F72D4B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [F72D4B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F72D4B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e [F72D4B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBt_Wins_Export 84DCD1D8
Device \Driver\00000046 \Device\0000004b sptd.sys
Device \Driver\NetBT \Device\NetbiosSmb 84DCD1D8
Device \Driver\NetBT \Device\NetBT_Tcpip_{3379C93A-B4F3-441F-AF9B-1BBF14B3096F} 84DCD1D8
Device \Driver\usbohci \Device\USBFDO-0 852241D8
Device \Driver\usbohci \Device\USBFDO-1 852241D8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 84DAD1D8
Device \Driver\usbehci \Device\USBFDO-2 851C91D8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 84DAD1D8
Device \Driver\Ftdisk \Device\FtControl 853681D8
Device \Driver\azntbvuo \Device\Scsi\azntbvuo1 851061D8
Device \Driver\azntbvuo \Device\Scsi\azntbvuo1Port2Path0Target0Lun0 851061D8
Device \FileSystem\Fastfat \Fat 850B75C8

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 84F6D1D8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 931196666
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 1898634765
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xE0 0x2B 0x27 0x35 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x89 0xB1 0x58 0x4F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x86 0x3F 0x7F 0x8D ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xE0 0x2B 0x27 0x35 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x89 0xB1 0x58 0x4F ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x80 0x37 0x31 0x41 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xE0 0x2B 0x27 0x35 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x89 0xB1 0x58 0x4F ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x86 0x3F 0x7F 0x8D ...

---- EOF - GMER 1.0.15 ----



-> bei sptd.sys hat auch von Avira vorher gewarnt, konnte den aber nicht erkennen.

Macht es denn zum Daten sichern Sinn, Linux zu installieren, damit ein Win-Trojaner nicht auf eine dazu angeschlossenen externe Platte zugreifen kann?

...schönen Samstag Abend, erstmal.
Und danke für die Hilfe bisher.
Bis morgen gibt's Wichtigeres.
Bis dann!

Hi,

ist eine Idee, dann ist aber eine Live-Cd die einfachere Wahl...

Normalerweise gehört die Datei sptd.sys zu Daemontools bzw. Alcohol180, wird aber bei deren deinstallation nicht mit entfernt, daher:

Daemon-Tools deinstallieren und dandach die sptd.sys entfernen lassen, dann bitte ein neues GMER-Log...
Zur vollautomatischen Deinstallation von SPTD.SYS kannst Du ein SPTD Entfernungstool (http://www.duplexsecure.com/en/downloads) nutzen.

Beachte die unterschiedlichen Versionen für 32bit und 64bit Systeme.

Starte die Datei und wählen Uninstall aus. Anschließend neu booten. Eventuell muss dann Nero neu installiert bzw. repariert werden.

So, nun zu GMER:
Hast Du was von der Fa. "Aladdin Knowledge Systems" installiert?
Sonst ist die hardlock.sys ev. ein Wurm... prüfen...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\drivers\hardlock.sys
C:\WINDOWS\System32\Drivers\azntbvuo.SYS
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Hast Du ein Fullbackup? Ich möchte gerne wegen der atapi.sys gerne ComboFix verwenden, der hat mir aber letztens einen Rechner total zerschossen (nicht mehr bootbar), da er sich mit Malware "gefetzt" hat...?

chris

Hi!

Live-CD heißt, eine CD, von der aus ich Linux starte?
Dh. Knoppix?

Wobei mir einfällt, dass mir Knoppicilin empfohlen wurde- evtl. auch um die externe Platte zu prüfen, bevor ich sie nach dem Neuaufsetzen wieder unter Win anschließe.
Um zusätzliche Meinungen bin ich dankbar

Die 32- bzw 64bit-Frage überfordert mich. Geht's dabei um Win-Systeme?
Nero benutze ich ohnehin nicht, das wird also kein Problem darstellen.

Mit Produkten von Aladdin Knowledge bin ich mir nicht sicher; möglich dass ich ein Lizenzdongle von denen hatte; derzeit nutze ich nichts von ihnen.




C:\WINDOWS\system32\drivers\hardlock.sys
scheint nichts zu sein:
http://www.virustotal.com/de/analisis/0f63b84b36e25ba208dfa6ad467eeaa20575519eff1ed62f3a35010cb7cdb9d8-1261883971

C:\WINDOWS\System32\Drivers\azntbvuo.SYS
finde ich nicht.

Nein, ich habe kein Fullbackup. Deshalb will ich, wie gesagt, auch einfach möglichst sicher sein dass ich keine Malware mit-sichere, wenn ich über eine externe HD meine Daten in Sicherheit bringe.
Dann werd' ich wohl ohnehin das System neu aufsetzen.
Alles andere kann mir ja, soweit ich das verstehe, keine halbwegs vernünftige Sicherheit bieten für Onlinebanking oä...

Hi,

Knoppix:
http://www.heise.de/software/download/knoppix/35154

-> https://www.datenschutzzentrum.de/sy...ldung/sm98.htm

UBCD4WIN (für XP, leider nicht für Vista):
Boot-CD erstellen:
Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!).
Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann.
Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u.
gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung.

Im Groben sieht das so aus;
UBCD runterladen, installieren, XP-CD auf die Festplatte kopieren (Speicherplatz beachten, es muss daraus dann nochmal eine ISO-Datei erstellt werden).
Erstelle auf Deinem Rechner ein Verzeichnis (C:\XPCD), kopiere dann den gesamten Inhalt der CD da rein (vorher im Explorer einschalten, dass alle versteckten Dateien etc. angezeigt und Systemdateien nicht ausgeblendet werden (damit auch alles kopiert werden kann)).
Ist die gesamte XP-CD kopiert, starte UBCD4WinBuilder.exe (Normalerweise im Verzeichnis C:\ubcd4win zu finden), Copyright etc. abnicken, "Search for Windows installation Files" -> No, im darauffolgenden Fenster "Source" ->C:\XPCD, Outputpath wie Du willst oder einfach so lassen, dann entweder für das spätere Brennen eine ISO-Datei erstellen lassen (dann einen Filenamen bei "Create ISO-Image" eingeben!), oder gleich eine leere DVD rein und direkt brennen lassen. "Custom" leer lassen. Dann Build auswählen... Nochmal MS-Copyright abnicken und es geht los.
Und nach ca. 0,5-1h haben wir eine Bootfertige Not-CD mit allem was man so braucht ;o)...

Dr. Web-Live-CD
Lade Dir das Abbild (http://freedrweb.com/livecd) runter (jeweils die neuste Version, z. Z. ftp://ftp.drweb.com/pub/drweb/livecd/20091231042002/) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen...
Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt...
Weiter Anweisungen: http://www.freedrweb.com/livecd/how_it_works/
Damit können Files allerdings nur "kopiert" werden...

chris

ok...
so wie ich das jetzt verstehe, hab' ich da 4 Optionen an der Hand um das selbe zu tun.

-Knoppicilin und Knoppix
-UBCD
-Dr. Web-Live-CD
-desinfec't

Das Vorgehen wäre jeweils: Mit Live-CD Datensicherung machen, dann System neu aufsetzen, von Live-CD das Daten-Backup scannen, falls befallen nochmal Backup davon und säubern, Daten wieder aufspielen und dann ist alles toll.



Hab' ich das richtig verstanden? Damit ich nicht Blödsinn mach' jetzt.

Die Live-CDs hören sich alle gut an, Knoppi würd' ich zurückstellen zugunsten von desinfec't, scheint ja quasi die Weiterentwicklung zu sein.
Aber mit den anderen drei müsste das jeweils gehen? Empfehlung?
UBCD, oder? Ich benutz' ja ohnehin XP. Gut, dann muss ich jetzt nur für 'ne Stunde an einen möglichst sauberen Rechner.

Und vor dem allem schau' ich dass ich Postfach, Adressbuch und Bookmarks exportier'?

...ich hätte halt eigentlich gern noch die hardlock.sys im Griff vorher (ccleaner belässt sie, obwohl kein Programm mehr installiert ist, das mit Hardwaredongle arbeitet) und die sptd.sys (das selbe; Virustotal meldet nur als Fehler, ich hätte eine leere Datei gesendet, bei mir wird sie mit 625kb angezeigt; und das mit 32/64bit hab' ich noch nicht verstanden, das Tool also noch nicht benutzt).
Und was war mit der atapi.sys?

Oder lass' ich das alles und vertrau' auf die Live-CD? Aber damit arbeit' ich ja dann erst nach dem Backup?

Entschuldigung, wenn ich etwas begriffsstutzig bin, ich bemüh' mich ja...

Und danke im Voraus für Bestätigen / nochmal-Korrigieren...