Was du tun musst, steht ja da. Den PE-Builder gibt's hier.
Wie gesagt, das ist dafür gedacht, dass du deine Festplatte von einem Fremdsystem aus untersuchst. So stellst du sicher, dass die Scanner nicht von Malware beeinflusst werden. Evtl. Rootkits sollten sich ebenfalls besser aufspüren lassen.

Zitat:

Zitat von cosinus

Was du tun musst, steht ja da. Den PE-Builder gibt's hier.
Wie gesagt, das ist dafür gedacht, dass du deine Festplatte von einem Fremdsystem aus untersuchst. So stellst du sicher, dass die Scanner nicht von Malware beeinflusst werden. Evtl. Rootkits sollten sich ebenfalls besser aufspüren lassen.

Also für mich sagt die Beschreibung der Notfall-CD eher, dass ich diese anwenden soll, sofern mein Rechner sich nicht starten lässt. Aber er läuft ja einwandfrei...

Ich verstehe nur den Ansatz daraus, dass ich meinen Rechner im DOS Modus scannen soll, um somit ggf. noch versteckte Viren/Malware/Würmer/Trojaner zu finden, aber dafür scheint mir diese Notfall-CD nicht ganz das Richtige zu sein, sondern eher etwas wenn das System zerschossen wurde.

Zitat:
"Zu Kaspersky Anti-Virus 7.0\Kaspersky Internet Security 7.0 wird das Service hinzugefügt, das Notfall-CD erstellt, um die Funktionsfähigkeit des Systems wiederherzustellen.

Diese Notfall-CD wird nützlich wenn die System-Dateien nach Viren-Angriff beschädigt werden und Betriebssystem nicht hochgefahren werden kann. In diesem Fall können Sie mit Hilfe der Notfall-CD Ihren Computer hochfahren und das System zur ursprünglichen Funktionsfähigkeit wiederherstellen."
Einstellen von „Viren Suche“

Du kannst diese Notfall-CD für mehrere Zwecke einsetzen, nicht nur um davon zu starten wenn Windows nicht mehr will. Es geht ja auch nicht darum, den Rechner zu reparieren, sondern um von einen anderen System aus die Platte zu scannen, um etwas verlässlichere Ergebnisse zu bekommen.
Wenn du von dieser CD bootest, startet ein Live-Windows (kein DOS!) und nicht das lokal auf der Platte installierte.
Aber wir können auch bleiben lassen wenn du nicht magst, und die Analyse vom lokal installierten Windows fortsetzen.

Zitat:

Zitat von cosinus

Du kannst diese Notfall-CD für mehrere Zwecke einsetzen, nicht nur um davon zu starten wenn Windows nicht mehr will. Es geht ja auch nicht darum, den Rechner zu reparieren, sondern um von einen anderen System aus die Platte zu scannen, um etwas verlässlichere Ergebnisse zu bekommen.
Wenn du von dieser CD bootest, startet ein Live-Windows (kein DOS!) und nicht das lokal auf der Platte installierte.
Aber wir können auch bleiben lassen wenn du nicht magst, und die Analyse vom lokal installierten Windows fortsetzen.

Doch ich habe nix gegen diese Art der Analyse, sofern es nicht zwangsmäßig eine automatische Windows Reparatur ist...

Oder könntest du mir alternative Scanner empfehlen DOS o.Ä. ?

Möchte meiner Bank nämlich bald mal bescheid sagen, dass alls in Ordnung ist.

Du musst ja nicht unbedingt die Kaspersky-Notfall-CD dafür nehmen. Es geht auch z.B. die UBCD4WIN, die erstell mal am besten auf einem garantiert sauberen PC und boote deinen davon. In diesem Live-Windows-XP sind schon mehrere AV-Programme mit drin.

Du könntest aber auch erstmal versuchen, im abgesicherten Modus zu scannen. Dort werden nur die allernötigsten Module geladen, die zum Windows-Betrieb nötig sind, etwaige Malware wird sehr wahrscheinlich nicht mitgeladen. Falls das mit Kaspersky im abgesicherten Modus nicht geht, dann mach das mal mit MWAV-eScan (klick den eScan-Link in meiner Signatur an).

Habe mit KAV die Notfall-CD nun erstellt und Live-Windows gestartet.

Habe KAV, Spybot und A-Squared im Live-Windows Modus scannen lassen. Es wurde jeweils keine schädlichen/infizierten Objekte gefunden.

Sollte das nun ausreichen?

Ich habe aber noch im abgesicherten Modus eScan laufen lassen, so wie in deinem Link beschrieben.

Ich war etwas schockiert über das Resultat, wobei die ICQ Folder für mich keine verdächtigen Datei enthalten, bereits selber überprüft (Fehlalarm?):

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.9
Sprache: German
C:\DOKUME~1\MASTER~1.BAS\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "optserve Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\scan\smitrem\process.exe
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\scan\smitrem\pv.exe
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\scan\smitrem\swreg.exe
Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\icq\***\receivedfiles\378667729 popelwicht\lp
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\icq\***\receivedfiles\378667729 popelwicht\lp
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\System\CurrentControlSet\Services\usrpda !!!
Offending Key found: HKLM\System\ControlSet001\Services\usrpda !!!
Offending Key found: HKLM\System\ControlSet002\Services\usrpda !!!
Offending Key found: HKLM\System\ControlSet003\Services\usrpda !!!
Offending Key found: HKLM\System\ControlSet004\Services\usrpda !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\usrpda !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 13:30:20,03
Batchende: 13:30:24,25




Ich habe daher die Dateien "swreg.exe" und "swsc.exe" von Online Virusscan Jotti & VirusTotal scannen lassen.

Als Beweis die Logs:

Code: Alles auswählenAufklappen

ATTFilter

Datei swsc.exe empfangen 2007.10.28 11:18:35 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 

Ergebnis: 1/32 (3.13%)

Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2007.10.27.0 2007.10.26 - 
AntiVir 7.6.0.30 2007.10.26 - 
Authentium 4.93.8 2007.10.26 - 
Avast 4.7.1074.0 2007.10.27 - 
AVG 7.5.0.503 2007.10.27 - 
BitDefender 7.2 2007.10.28 - 
CAT-QuickHeal 9.00 2007.10.26 - 
ClamAV 0.91.2 2007.10.28 - 
DrWeb 4.44.0.09170 2007.10.28 - 
eSafe 7.0.15.0 2007.10.22 - 
eTrust-Vet 31.2.5244 2007.10.26 - 
Ewido 4.0 2007.10.28 - 
FileAdvisor 1 2007.10.28 - 
Fortinet 3.11.0.0 2007.10.19 - 
F-Prot 4.3.2.48 2007.10.26 - 
F-Secure 6.70.13030.0 2007.10.27 - 
Ikarus T3.1.1.12 2007.10.27 - 
Kaspersky 7.0.0.125 2007.10.28 - 
McAfee 5150 2007.10.26 - 
Microsoft 1.2908 2007.10.28 - 
NOD32v2 2621 2007.10.28 - 
Norman 5.80.02 2007.10.26 - 
Panda 9.0.0.4 2007.10.27 - 
Prevx1 V2 2007.10.28 - 
Rising 19.46.60.00 2007.10.28 - 
Sophos 4.23.0 2007.10.28 - 
Sunbelt 2.2.907.0 2007.10.27 - 
Symantec 10 2007.10.28 - 
TheHacker 6.2.9.110 2007.10.27 - 
VBA32 3.12.2.4 2007.10.28 - 
VirusBuster 4.3.26:9 2007.10.27 - 
Webwasher-Gateway 6.6.1 2007.10.28 Virus.Win32.FileInfector.gen!90 (suspicious) 
weitere Informationen 
File size: 370688 bytes 
MD5: af52196cf5593c13f8c2f00a55fe132b 
SHA1: 8b6628f141f4cb889121d7c903c8f97b8a85fbae
         

Code: Alles auswählenAufklappen

ATTFilter

Datei:  swreg.exe   
 
Status:  EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)  
Entdeckte Packprogramme:  UPX 
Bit9 rapportiert:  No threat detected (more info)  
   
A-Squared  Keine Viren gefunden 
AntiVir  Keine Viren gefunden 
ArcaVir  Keine Viren gefunden 
Avast  Keine Viren gefunden 
AVG Antivirus  Keine Viren gefunden 
BitDefender  Keine Viren gefunden 
ClamAV  Keine Viren gefunden 
CPsecure  Keine Viren gefunden 
Dr.Web  Keine Viren gefunden 
F-Prot Antivirus  Keine Viren gefunden 
F-Secure Anti-Virus  Keine Viren gefunden 
Fortinet  Keine Viren gefunden 
Kaspersky Anti-Virus  Keine Viren gefunden 
NOD32  Keine Viren gefunden 
Norman Virus Control  Keine Viren gefunden 
Panda Antivirus  Keine Viren gefunden 
Rising Antivirus  Keine Viren gefunden 
Sophos Antivirus  Keine Viren gefunden 
VirusBuster  Keine Viren gefunden 
VBA32  Keine Viren gefunden
         

Ich habe mit dem Tool "smitRem" mein System checken lassen. Anscheinend gibt eScan einen Fehlalarm bei Datein von smitRem aus!
SmitRem habe ich hier vom Board und sollte daher ok sein: http://www.trojaner-board.de/21709-a...fakeale-c.html

Ach ja, weitere Scans mit Ad-Aware und Spybot im abgesicherten Modus brachten keine Befunde!

Bleibt jetzt nur die Frage, welche Meldung von eScan ein Fehlalarm ist oder nicht?

Wie soll ich nun weiter vorgehen?

thx