Das SDfix log ist zu kurz und nicht vollständig.
Das kann an Winpooch liegen, deaktivere es beim ausführen bitte!

Zitat:

Zitat von BataAlexander

Das SDfix log ist zu kurz und nicht vollständig.
Das kann an Winpooch liegen, deaktivere es beim ausführen bitte!

Nee, das ist eher unwahrscheinlich.
Das lief im abgesicherten Modus ohne irgendwelche Software im Hintergrund.

Aber mir ist dann doch noch was aufgefallen: Wenn ich im abgesicherten Modus starte, dann bietet er mir zwei Konten an: meinen normalen und "Administrator". (Beim normalen Hochfahren bietet er den Admin nie an.)
Bis jetzt habe ich dann immer "Administrator" gewählt, weswegen SDFix wohl auch so kurz angebunden war.

Nun also das Ergebnis, wenn ich auch im abgesicherten meinen üblichen Account nehme:

Code: Alles auswählenAufklappen

ATTFilter

SDFix: Version 1.191 
Run by m on 13.06.2008 at 10:44

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files : 

No Trojan Files Found






Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-13 10:49:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg41]
"ujdew"=hex:20,02,00,00,4d,2d,b0,10,e5,bc,f8,3c,e4,10,f5,d1,77,9f,da,41,de,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :



Files with Hidden Attributes :

Mon  8 May 2006       249,856 A..H. --- "C:\Programme\BabasChess\BabasCrashReport.exe"
Sat  3 Feb 2001        48,640 A..H. --- "C:\Programme\BabasChess\timeseal.exe"
Wed  4 Aug 2004     1,667,584 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"

Finished!
         

Die drei Dateien mit dem "versteckt"-Attibut hab ich mal zu VirusTotal geschickt und die konnten nichts daran finden. Komisch trotzdem, warum sollten die versteckt sein.
Naja.

Ich guck mal, ob ich bei einer der anderen Maßnahmen weiter oben erfolgreicher bin, wenn ich im abgesicherten Modus statt "Administrator" mal das normale Konto nehme.

Also,

Zitat:

Aber mir ist dann doch noch was aufgefallen: Wenn ich im abgesicherten Modus starte, dann bietet er mir zwei Konten an: meinen normalen und "Administrator". (Beim normalen Hochfahren bietet er den Admin nie an.)

das ist normal. Hier brauchst Du Dir keine Sorgen machen, das mit dem SDFis Log kann hierher kommen.
Alle Einträge sind ohne Befund.
Es ist ganz normal, das die svchost.exe ins Internet will. Solange diese nicht infiziert ist sollte sie das auch.
Von Personal Firewalls halte ich eh nichts. Ich sehe, dass Du kein Antivierenprogramm installiert hast. Ich würde hier die Firewall gegen ein Antivierenlösung tauschen wollen und dann einen Systemscan vornehmen.

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.


Lösche die Drei Dateien

Zitat:

C:\WINDOWS\system32\_fsmgmt.dl_
C:\WINDOWS\system32_sec_pol_._x_
C:\WINDOWS\system32_fsmgmt.dl_.tm_

Dann berichte, wie sich Dein Rechner verhält. Winpooch kenne ich nicht, würde ich aber genauso wie die hier benutzten Tools deinstallieren.

Erstmal vielen Dank für deine ganze Hilfe soweit.

Ein wenig Gewürm haben wir ja ganz zu Anfang erfolgreich erlegt und den restlichen Dreck habe ich inzwischen weggeräumt.
Zufällig habe ich gerade eben auch eine sehr unerwartete Lösung für mein "Das System lahmt"-Problem gefunden.
Weil ich jemandem ein neues System einrichten wollte, hab ich das c't-Update-Script für WinXP, von dem ich hier in eurem Programm gelesen hatte, erstmal an meinem eigenen Rechner ausprobiert.
Der hat dann unter anderem das SP3 und ein paar andere Updates draufgezogen und siehe da...
Alles läuft wieder fix.

Manchmal kommt dir Lösung von der unerwartetsten Seite...

Und jetzt löchere ich dich noch mit ein paar abschließenden Fragen. Wenn du Bock hast, sach was dazu, wenn nicht lass es.
Vielen Dank nochmal, jedenfalls.
Martin

Warum soll ich ComboFix deinstallieren? Inwiefern wäre das nachteilig, das nicht zu tun?
Wenn du gegen Desktop-Firewalls bist, was für eine Alternative empfiehlst du dem Einzelnutzer ohne Router? Bzw. welches Antivirenprogramm?

Hast du zufällig eine Idee, wieso svchost ständig Verbindungen aus dem Internet haben will? Es funktioniert doch auch alles, wenn ich das verweigere.
Deswegen hab ich das immer für eine 'Microsoft will Daten von mir haben'-Aktion gehalten.

WinPooch ist ein openSource-Wächter, der Zugriffe auf die Registry, wichtige Prozesse etc. überwacht und im Zweifel anhält, um Malware schon im Angriff zu stoppen. Hier ist das gut beschrieben und verlinkt.
Als verbreitetes openSource Programm halte ich das für per se vertrauenswürdig, und das Konzept der Angriffsverhinderung halte ich zumindest für ausprobierenswert sowie weniger aufwendig als ein ständiger Hintergrundvirenschutz.
Kennst du zufällig ClamAV, als dazu passenden openSource Virenscanner (reiner Scan ohne aktives Wachprogramm im Hintergrund)? Was hältst du davon?

Zitat:

Warum soll ich ComboFix deinstallieren? Inwiefern wäre das nachteilig, das nicht zu tun?

Brauchst Du nicht. So wie ich Bata verstanden habe, löscht "combofix /u" nur den Ordner c:\qoobox mehr nicht.

Zitat:

Wenn du gegen Desktop-Firewalls bist, was für eine Alternative empfiehlst du dem Einzelnutzer ohne Router? Bzw. welches Antivirenprogramm?

Wieso hast Du denn keinen Router?
Als Alternative zur PFW eines Drittherstellers ist die Windows-Firewall nicht zu verachten. Die macht sich nicht alle Nase lang bemerkbar um den Benutzer zu verunsichern leistet aber ordentliche Dienste v.a. was das "Abschotten" der Windows-NT-Netzwerkdienste anbelangt. Eine weitere Alternative wäre das Beenden von unnötigen Diensten.

Ich würde die Router-Lösung aber immer bevorzugen.

Zitat:

Hast du zufällig eine Idee, wieso svchost ständig Verbindungen aus dem Internet haben will? Es funktioniert doch auch alles, wenn ich das verweigere.
Deswegen hab ich das immer für eine 'Microsoft will Daten von mir haben'-Aktion gehalten.

svchost ist ein Hüllenprozess. Er stellt nicht eben nur Windows gewisse Funktionalitäten zur Verfügung sondern auch so ziemlich allen anderen Anwendungen. Wenn svchost nun ins Internet will, muß das also nicht Windows sein.
Und Du fest der Meinung bist, M$ sammelt Daten von Dir, Du M$ also nicht mehr traust, solltest Du vllt mal Dein OS wechseln. Linux ist da sehr schön.

Combofix löscht mit dieser Option seinen "Arbeitsordner". Combofix ist nach 14 Tagen nicht mehr lauffähig. Musst Du es nach einer Weile erneut ausführen kann es hier zu Problemen kommen. Daher die "alte" Version deinstallieren und löschen.

Wenn Du ohne Router im Internet bist, reicht die Windows Firewall aus. Die Problematik bei Personal Firewall liegt in Ihrem Ansatz (dazu müsste ich weiter ausholen, als es hier nötog ist). Nur soviel: Alle Anwendungen haben Fehler in Ihrem Code, hast Du nun 100 Codezeilen für ein OS (in Wahrheit sind es mehr) hast Du ca. 10 Potenzielle Fehler (müsste die Zahl noch mal nachschlagen, ist jetzt nur so aus dem Kopf), kommt nun eine Software hinzu hast Du 150 Codezeilen im Betriebszustand, also ca 15 Bugs die früher oder später auftauchen, dazu kommt dann noch die Interoperabilität der einzelnen Komponenten, die nicht in die Bugs eingerechnet ist, aber auch oft zu Problemen führt.
Die XP Firewall hat zwar den gleichen Ansatz wie alle anderen Personal Firewall, sie vergrößert aber die Codebasis nicht weiter, da sie eh mit integriert ist.
Sicherlicht hat man da nich so schöne bunte Meldungen, was der Rechner grad wieder so treiben soll, aber das ist zu verschmerzen.

Infos zur svchost hier, ansonsten ist roots Erklärung schon korrekt.

Werde mich Winpooch mal annehmen, allerdings habe ich mit Clam AV leider nur schlecht Erfahrungen sammeln können.