Alles klar,wird gelöscht.

Hier die HJT Logfile nach dem fixen der DNS Einträge. Eins kann ich jetzt schon sagen, wenn ich jetzt Fritz.box im Browser eingebe, komme ich auch wieder auf die Fritzbox Oberfläche. Vorher wurde ich zu www.openDNS.com "umgeleitet".

Logfile of HijackThis v1.99.1
Scan saved at 17:36:49, on 12.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\lg_fwupdate\fwupdate.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Ontrack\Internet Cleanup\onictask.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\TEMP\Antivirus tools\ABC.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.178.1;fritz.box
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Cleanup.lnk = C:\Programme\Ontrack\Internet Cleanup\onictask.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://ca.com/us/securityadvisor/pestscan/pestscan.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Laut eScan wurden 7 Viren entdeckt. Was ist mit denen?

HRR

So, hier schonmal die Erste Logfile:


+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

HRR

Eine Sache ist mir jetzt aber noch aufgefallen. Nach einem der letzten Reboots hatte ich auf einmal ein zweites IE Icon auf dem Desktop und zwar ohne den Verknüpfungspfeil. Sollte ich mir Gedanken machen?

Zweitens werden blöderweise die Icons im Systray (unten rechts) von Avira und der Fritzbox nach dem Hochfahren nicht mehr aktiv. Will sagen, das Antivir Guard Icon steht auf deaktiviert, obwohl der Guard aktiv ist. Das Icon zeigt erst wieder richtig an, wenn ich den Guard kurz deaktiviere und dann wieder aktiviere.

Auch das Fritzbox Icon zeigt keine Internetverbindung vom Router an, obwohl ich surfen kann. erst wenn ich die Diagnaose vom Fritzbox Startcenter anklicke, springt das Icon auf grün. Was ist da los?

HRR

Hallo

Zitat:

Nach einem der letzten Reboots hatte ich auf einmal ein zweites IE Icon auf dem Desktop und zwar ohne den Verknüpfungspfeil.

Hast du kürzlich die Updateseite von M$ besucht und den IE7 installiert?

Zitat:

Zweitens werden blöderweise die Icons im Systray (unten rechts) von Avira und der Fritzbox nach dem Hochfahren nicht mehr aktiv. Will sagen, das Antivir Guard Icon steht auf deaktiviert, obwohl der Guard aktiv ist. Das Icon zeigt erst wieder richtig an, wenn ich den Guard kurz deaktiviere und dann wieder aktiviere.

Wenn der Guard wirklich aktiv ist (im Taskmanager nachsehen) ok, aber erklären kann ich es nicht.

Zitat:

Auch das Fritzbox Icon zeigt keine Internetverbindung vom Router an, obwohl ich surfen kann. erst wenn ich die Diagnaose vom Fritzbox Startcenter anklicke, springt das Icon auf grün. Was ist da los?

Auch da bin ich überfragt.
Wenn aber noch zweifel bestehen, solltest du mal mit mindestens 4 Programmen von hier scannen (nicht mit Blacklight o. Gmer)
AntiRootkit Scanner Anleitung - HijackThis.de Support Board
berichte bitte ob etwas gefunden wurde.

MFG

EDIT : Eventuell hilft hier auch ein deinstallieren und ein neues installieren der Programme

@nochdigger:

Zitat:

Zitat von nochdigger

Hallo

Hast du kürzlich die Updateseite von M$ besucht und den IE7 installiert?

Ich hab den IE 7 bis jetzt nur runtergeladen, aber noch nicht installiert. In diesem Zusammenhang die Frage. Von welchen Dateien muss ich backups machen, bevor ich IE7 installiere. Überenimmt der die Einstellungen von IE6?

Zitat:

Zitat von nochdigger

Wenn der Guard wirklich aktiv ist (im Taskmanager nachsehen) ok, aber erklären kann ich es nicht.?

Der Guard ist aktiv und das Icon scheint jetzt wohl wieder zu funzen, nach dem ich es in den Systray Eigenschaften deaktiviert und wieder aktiviert habe. Das muss ich allerdings jetzt mal weiter beobachten.

Wegen der Geschichte mit dem nicht richtig funktionierenden Fritzbox Systray Icon stehe ich im Moment mit AVM in Kontakt.

Da ich supervorsichtig geworden bin, habe ich nochmal alles wie beschrieben abgearbeitet. Anbei die Logfile von eScan. Da wurde immer noch was gefunden. Ich bin mir sicher,dass ich die 2 Echsen im Sytem32 gelöscht habe. Jetzt sind die wieder da. Da sind auch noch ein paar andere Files in anderen Ordnern. Was passiert mit denen? Habe ich vielleicht irgendwo was falsch gemacht beim löschen?

Hier erstmal die aktuelle Logfile:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.4
Sprache: German
Virus-Datenbank Datum: 12/27/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei I:\Programme\Norton AntiVirus\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei I:\WINDOWS\TEMP\Norton Anti-Virus 2004\NAV\EXTERNAL\NORTON\NAVAPW32.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei I:\System Volume Information\_restore{7BDA0033-00BE-4B16-9CC4-3B7747B20435}\RP7\A0000435.exe//WISE0019.BIN//data0001.cab/VVSN.exe infiziert von "Trojan-Dropper.Win32.Agent.ay" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File I:\System Volume Information\_restore{7BDA0033-00BE-4B16-9CC4-3B7747B20435}\RP7\A0000436.exe//data0005 markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
I:\Papyrus\NASCAR Racing 2003 Season\NR2003.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
I:\Eigene Dateien\Downloads\RStudio-Demo-Deutsch.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
I:\Eigene Dateien\Downloads\Transam\NR2003.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt...
I:\Programme\Ontrack\SystemSuite\mxcwvi.mxd nicht gescannt. Wahrscheinlich durch Passwort geschützt...
I:\WINDOWS\SYSTEM\gif89.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
I:\WINDOWS\SYSTEM\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Camera Files\SOFTWARE\CW\ENGLISH\DATA1.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Camera Files\SOFTWARE\CW\JAPANESE\DATA1.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Camera Files\SOFTWARE\PR2\PRART.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Camera Files\SOFTWARE\WIA625\CANON CAMERA WIA DRIVER.MSI nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Camera Files\SOFTWARE\ZOOMBRSR\ENGLISH\ZBPSDK.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 135163
Gefundene Viren: 6
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 188
Dauer des Scans bisher: 02:17:13
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 0:03:57,48
Batchende: 0:04:08,98

Kannst Du hierzu noch etwas sagen?

HRR

Hallo

Zitat:

Kannst Du hierzu noch etwas sagen?

Ich versuch mich mal...

Zitat:

Von welchen Dateien muss ich backups machen, bevor ich IE7 installiere. Überenimmt der die Einstellungen von IE6?

Ich meine beim IE7 unter - Datei --> importieren und expotieren, sichern ist immer gut, wenn neue Software ins Spiel kommt

Zitat:

Ich bin mir sicher,dass ich die 2 Echsen im Sytem32 gelöscht habe.

Welche Echsen?
Du meinst sicherlich diese beiden Dateien

Zitat:

swreg.exe
swsc.exe

kann es sein, dass wenn du alles nochmal durchgespielt hast, diese Dateien von Fixwareout stammen?
Ich glaube jaaa

Dann wird wieder die Systemwiederherstellung angemeckert sowie auch das alte Norton.

Was haben die Rootkitscans ergeben?

MFG

Zitat:

Zitat von nochdigger

Hallo
Ich meine beim IE7 unter - Datei --> importieren und expotieren, sichern ist immer gut, wenn neue Software ins Spiel kommt

Welche Dateien muss ich sichern (exportieren)? Auch irgendwelche die mit Outlook Express zusammenhängen?

Zitat:

Zitat von nochdigger

Welche Echsen?
Du meinst sicherlich diese beiden Dateien

Genau. Echse = .exe

Zitat:

Zitat von nochdigger

kann es sein, dass wenn du alles nochmal durchgespielt hast, diese Dateien von Fixwareout stammen?
Ich glaube jaaa

Eigentlich nicht. Fixwareout hatte ich nach dem ersten Mal gelöscht.

Zitat:

Zitat von nochdigger

Dann wird wieder die Systemwiederherstellung angemeckert sowie auch das alte Norton.
Was haben die Rootkitscans ergeben?
MFG

Das mit der Systemherstellung hab ich zwar vom Ablauf her geschnallt, aber im sinnigen Zusammenhang noch nicht. Wenn ich aber etwas lösche, ist das doch der Systemwiederherstellung egal, oder nicht?

Das alte Norton ist auf ner Datenplatte, die früher mal ne Bootplatte war. Das kann ich auch löschen.

Ich muss ehrlich gestehen, dass ich nur den Rootkitscan gemacht habe, von dem ich auch eine Logfile gepostet habe. Zusätzlich noch den GMER. Für die anderen muss man sich zum einen registrieren. Bei einem anderen funktionierte der link nicht. Kann ich aber trotzdem noch machen.

HRR

Ich hab den IE 7 bis jetzt nur runtergeladen, aber noch nicht installiert. In diesem Zusammenhang die Frage. Von welchen Dateien muss ich backups machen, bevor ich IE7 installiere. Überenimmt der die Einstellungen von IE6?

Ob der AVGuard nach dem Reboot im Taskman aktiv ist muss ich schauen. Avira selbst zeigt den Guard als aktiv an.

Das mit den Rootkit Scannern versuche ich mal.

HRR