Liebe Leute,

vorgestern fand Antivir auf meinem Rechner Backdoorprogramm BDS/Generic.73918 gefunden. Antivir behauptet, es sei in der Datei Mouse32A.exe gewesen. Ich habe dann den Rechner im abgesicherten Modus gestartet und die genannte Datei gelöscht, denn vorher ging es nicht.

Heute bekomme ich eine Mail von meinem Provider, der sagt, aus meinem Account sei SPAM verschickt worden. Besorgniserregend sei, dass die Scripte wie ftpchk3.cgi und 2968906714.pl usw. per FTP hochgeladen worden sein.

Ich habe noch nie etwas mit FTP gemacht und keine Ahnung davon. Deswegen hatte ich das Passwort auch nicht geändert und das Backdoor hat es vielleicht aus einer Provider-Mail ausgelesen (wenn die soetwas können).

Macht dieses Programm "nur" Spam oder muss ich jetzt auch noch alle meine Banking-Passwörter ändern? Bin ich jetzt nach dem Löschen von Mouse32A.exe wieder auf der sicheren Seite? (ein Techniker des Providers hat das ganze Script-Zeug gelöscht) Oder ist es angesagt, den ganzen Rechner neu aufzusetzen? Was macht das Schadprogramm üblicherweise und was soll ich nun tun?

Vielen Dank für jeden Tipp (bin zum ersten Mal mit dem Thema konfroniert)
Frank

Ich empfehle dir deinen PC plattzumachen und neuzuinstallieren.
Backdoor Dateien öffnen immer mehr Hintertüren in dienem PC und lässt weitere Schadhafte Software download ohne dass der Benutzer dass weiss.
Dass dein Provider dir eine Mail schon geschickt hat, ist wirklich besorgniss erregend.
Durch eine sogenannte "Abuse"-Mail können sie dir deinen Telefon & Internet Anschluss Lebenslang sperren wenn von deinem PC, Account etc. Spam, Trojaner etc. verbreitet wird.

Hoffe es hat dir geholfen

Hallo Mr.Vain,

danke für deine Einschätzung. Die ganze Sache ist leider noch etwas komplexer: Es handelt sich nicht um einen Privat-PC sondern um einen Firmenrechner. Ich besitze eine kleine Firma und den Virus habe ich bei einem Mitarbeiter gefunden. Die entscheidende Frage: Hat er sich von dort aus in meinem LAN verbreitet?

Ich habe natürlich alle anderen Rechner auch mit Antivir gescannt und nichts gefunden. Nun schreibst du ja, dass oft mehrere Hintertüren geöffnet werden. Gibt es denn keine Möglichkeit, sie alle zu finden?

Wenn ich den einen Rechner neu aufsetze, kann der Mitarbeiter solange nicht kommen. Ich werde wahrscheinlich Tage dafür brauchen, weil ich noch nie XP installiert habe und auf den Rechnern sehr viel Software und Tools laufen, wo ich überall erst die Lizenznummern usw. heraussuchen muss...

Wenn ich aber nun wirklich alle Rechner neu aufsetzen muss, bin ich wahrscheinlich pleite. Es wird so lange dauern, bis alles wieder funktioniert wie es soll... und wir sind absolut auf das Internet angewiesen. Wenn wir schon einen Tag nichts machen können, ist es kritisch.

Vielleicht ist das LAN noch wichtig: 4 Rechner mit XP SP3, ein Router mit Endian Firewall. Vielleicht kennt auch jemand eine Service-Hotline, wo man die Dinge telefonisch klären kann (ich zahle auch!)?

Viele Grüße
Frank

Ich würde dir vorschlagen: Setz dich einfach mal am Samstag oder Sonntag dran und Installier XP einfach neu. Es ist nicht so schwer wie du vielleicht denkst. Bist du wieder ins Internet kannst dauert es höchstens 1,5 Stunden. Also alles nicht so dramatisch.

Beachten solltest du:
Netzwerkkarten Treiber brauchst du! Vorher besorgen! Über einen nicht infizierten Rechner bzw. auf CD.
Guck auch welche Grafikkarte du im PC hast.
Lies das:
http://www.trojaner-board.de/51262-a...sicherung.html

Hallo Frank,

Danke für diese ganzen Informationen

Ich habe mich eben etwas umgehört und habe einen Beitrag gefunden dass diese Backdoor Datei wohlmögich ein Fehlalarm von Avira Antivir "wäre" !

Nun stellt sich die Frage, wie kommt der Provider dazu dass von eurem Lan-Netzwerk bzw. FTP Server Spam verschickt wurde?

Was hatte der Provider denn genau geschrieben in der Mail?

Ich würde dir vorschlagen dich am Sonntag oder eben an einem Tag an dem ihr nicht arbeitet HijackThis Log's auf allen 4 PC's machst und die hier auswerten lässt (Bitte Nummerieren)

Gruß.

Zitat:

Zitat von Haengdichweg

Ich würde dir vorschlagen: Setz dich einfach mal am Samstag oder Sonntag dran und Installier XP einfach neu. Es ist nicht so schwer wie du vielleicht denkst. Bist du wieder ins Internet kannst dauert es höchstens 1,5 Stunden. Also alles nicht so dramatisch.

na ja, mit dem Betriebssystem ist es ja nicht getan. Dort sind sehr viele Programme und Tools installiert - alleine die ganzen CDs und Lizenzschlüssl zu finden, wird Stunden dauern. Dann sehe ich Probleme auftreten, wenn ich z.b. Office 2007 erneut installiere, weil ich erst mit MS telefonieren muss um zu erklären, warum ich den selben Lizenzschlüssel erneut verwende... Da hängt eine Menge dran.

Das schlimmste sind aber die anderen 4 Rechner. Wenn ich das alles für alle Rechner machen muss, bin ich pleite, bevor wir wieder durchstarten können. Und ich weiss gar nicht, wie ich das überhaupt anstellen soll. Ich speichere z.b. alle Benutzer-Dateien von Rechner 1 auf einer reinen Daten-Festplatte auf Rechner 2. Dann setze ich 1 neu auf und hole von 2 die Daten wieder rüber. Wie kann ich wissen, dass 2 auch wirklich "sauber" ist? Eventuelle hole ich mir so wieder neuen Mist auf das saubere System? Schad-Software könnte ja jetzt in jeder Daten Datei (z.b. Office-Datei) stecken...

Sorry, bin etwas nervös - habe eine schlaflose Nacht hinter mir und muss mit meiner Firma meine Familie ernähren ;-(

Vielen Dank
Frank

Zitat:

Zitat von Mr.Vain

umgehört und habe einen Beitrag gefunden dass diese Backdoor Datei wohlmögich ein Fehlalarm von Avira Antivir "wäre" !

urps, wo hast du denn das gefunden? Ich habe ewig gesucht und nichts zu dem Trojaner gefunden!

Allerdings: Die Mitarbeiterin, die an dem Rechner saß (wenig Internet/Computer erfahren) klagte seit einigen Tagen über einen langsamen Rechner. Deshalb hatte ich dort auch schon defragmentiert usw.

Zitat:

Zitat von Mr.Vain

Nun stellt sich die Frage, wie kommt der Provider dazu dass von eurem Lan-Netzwerk bzw. FTP Server Spam verschickt wurde?
Was hatte der Provider denn genau geschrieben in der Mail?

Der Provider ist nur für Mail und Hosting, er ist nicht mein DSL-Provider. Er schrieb mir eine Mail mit "Spam von Script per FTP-Upload" als Subjet und dann:

wie wir soeben bei Wartungsarbeiten am Server feststellen mussten, wird über Ihren Kundenaccount eine stark erhöhte Anzahl von E-Mails mittels eines Scripts versendet.
Bitte prüfen Sie daher umgehend die auf dem Account liegenden Scripte. Verdächtige Dateien sind/waren:

/www/htdocs/irgendeineNummer/cgi-bin/2968906714.pl
/www/htdocs/irgendeineNummer/cgi-bin/2968906714.pl
/www/htdocs/irgendeineNummer/cgi-bin/5484253425.pl
/www/htdocs/irgendeineNummer/cgi-bin/8329826767.pl
/www/htdocs/irgendeineNummer/ftpchk3.cgi
/www/htdocs/irgendeineNummer/ftpchk3.php
/www/htdocs/irgendeineNummer/ftpchk3.txt

Besorgniserregend ist, dass diese Dateien per FTP hochgeladen wurden! Prüfen Sie dazu bitte Ihre FTP Logs im Ordner /logs/. Falls die betroffenen Dateien nicht mehr existieren, so wurden diese ggf vom Hacker bereits gelöscht um Spuren zu verwischen. Eine Logfileauswertung können Sie hier durchführen: http://ftplog-analizer.script-test.de/

Wir haben daher aus Sicherheitsgründen alle Ihre FTP Passwörter dieses Accounts geändert. Wir raten Ihnen daher dringend Ihren PC auf eventuelle Trojaner etc zu prüfen!

Zitat:

Zitat von Mr.Vain

Ich würde dir vorschlagen dich am Sonntag oder eben an einem Tag an dem ihr nicht arbeitet HijackThis Log's auf allen 4 PC's machst und die hier auswerten lässt

Kann ich gerne machen, wenn es noch hilft. Wenn sich der Aufwand wirklich lohnen sollte, mache ich das so schnell wie möglich, denn ich muss den Mitarbeitern sagen, ob sie am Montag zur Arbeit kommen können.

Könnte man denn an den Logs dann definitv sagen, ob ein Rechner "verseucht" ist oder nicht? Wenn man es nämlich nur mit einer gewissen Wahrscheinlichkeit sagen kann, ist es keine Lösung. Dann muss ich auf jeden Fall erstmal "Betriebsferien" oder Bankrott anmelden.

Ganz herlichen Dank für deine Mühe - supernett, dass du extra recherchiert hast!
Viele Grüße
Frank

Hallo Frank,

Das ist erstmal gut dass die Mail nur von deinem Mail & Hosting Betreiber ist !
Habt ihr diese Daten analysieren lassen - per link auf die ftpanalyzing Homepage?
Vielleicht könnte man daraus etwas schliessen.

Du hast gefragt ob es sich lohnt diese Auswertung per HJT zu machen?
Es ist lohnenswert aber wenn man aus dem Log nix genaues entnehmen kann, könnte es wohlmöglich - wie oben beschrieben - ein Fehlalarm sein.
Ich weiss nicht wie gross eure Rechner sind (abgesehen vom Speicherplatz etc.)
Wenn ich das wüsste, könnte ich nach dem HJT-Log evtl. sagen ob ein Malware Scan noch nötig wäre...

Gruß.

Zitat:

Zitat von Mr.Vain

Habt ihr diese Daten analysieren lassen - per link auf die ftpanalyzing Homepage?
Vielleicht könnte man daraus etwas schliessen.

ich bekomme es leider nicht hin. Ich finde im Log-Verzeichnis Dateien die auf .gz enden. Für jeden Tag eine und noch 2 die etwas anders benannt sind. Wenn ich die beiden oder eine aus den letzen Tagen in das Tool eingebe, kommt als Ergebnis "b" und sonst nichts. Nehme ich ältere, kommt eine Tabelle die aussieht, als seien das die Zugriffe auf meine Site. Ich verstehe es nicht.

Zitat:

Zitat von Mr.Vain

Du hast gefragt ob es sich lohnt diese Auswertung per HJT zu machen? Es ist lohnenswert aber wenn man aus dem Log nix genaues entnehmen kann, könnte es wohlmöglich - wie oben beschrieben - ein Fehlalarm sein.

Zu dem möglichen Fehlalarm würde mich ja brennend interessieren, wo du das gefunden hast. Wenn es so wäre, würde ich einen Sekt aufmachen und dir eine Flasche schicken.

Aber die zeitliche Korrelation wäre doch sehr eigentümlich: Seit Dienstag klagt die Mitarbeiterin über den langsamen Rechner, dann finden wir den Trojaner und löschen die Datei und 2 Tage später schlägt mein Provider Alarm wg. Spam-Versand per Script...

Zitat:

Zitat von Mr.Vain

Ich weiss nicht wie gross eure Rechner sind (abgesehen vom Speicherplatz etc.

Wie meinst du "gross" - es sind ganz normale Arbeitsplatzrechner (4 GB Ram, 2x250 HD Raid)

Zitat:

Zitat von Mr.Vain

Wenn ich das wüsste, könnte ich nach dem HJT-Log evtl. sagen ob ein Malware Scan noch nötig wäre...

Wenn es Hoffnung gibt, die ganze Neuinstalliererei zu ersparen, will ich alles probieren. Wenn ich danach sicher sein kann, dass mein Lan nicht (mehr?) verseucht ist.

Allerdings verstehe ich nicht, wie man das aus dem HJT-Log sicher entnehmen kann? Wenn ein Rechner wirklich mit dem Trojaner verseucht ist, hilft ja nur neu-aufsetzen, gerade weil man eventuelle weitere Malware nicht finden kann! Also kann ich mir nach dem HJT-Log und Malware Scan doch auch nicht sicher sein, oder?

Viele Grüße
Frank

Gruß

Zitat:

Zitat von franky29

ich bekomme es leider nicht hin. Ich finde im Log-Verzeichnis Dateien die auf .gz enden. Für jeden Tag eine und noch 2 die etwas anders benannt sind. Wenn ich die beiden oder eine aus den letzen Tagen in das Tool eingebe, kommt als Ergebnis "b" und sonst nichts. Nehme ich ältere, kommt eine Tabelle die aussieht, als seien das die Zugriffe auf meine Site. Ich verstehe es nicht.

Gut dann lassen wir mal den Part aus ....

Zitat:

Zu dem möglichen Fehlalarm würde mich ja brennend interessieren, wo du das gefunden hast. Wenn es so wäre, würde ich einen Sekt aufmachen und dir eine Flasche schicken.

Backdoorprogramm BDS/Generic.73918 - Forum - CHIP Online
Hier liest du

Zitat:

Wenn es Hoffnung gibt, die ganze Neuinstalliererei zu ersparen, will ich alles probieren. Wenn ich danach sicher sein kann, dass mein Lan nicht (mehr?) verseucht ist.

Man kann nie 100% sicher sein.
Es gibt immer Sicherheitslücken in Systemen die Hacker ausnutzen.
Da hilft nur, Updaten und brain.exe benutzen :-)

Zitat:

Allerdings verstehe ich nicht, wie man das aus dem HJT-Log sicher entnehmen kann? Wenn ein Rechner wirklich mit dem Trojaner verseucht ist, hilft ja nur neu-aufsetzen, gerade weil man eventuelle weitere Malware nicht finden kann! Also kann ich mir nach dem HJT-Log und Malware Scan doch auch nicht sicher sein, oder?

HiJackThis scannt bestimmte Bereiche im System.
Dadurch kann man meist sichergehen ob sich ein Virus etc. auf den PC befindet.
Meist hilft nur Antiviren Scan Malware-Spyware Scan und der HijackThis Log.

Zitat:

Zitat von Mr.Vain

HiJackThis scannt bestimmte Bereiche im System.
Dadurch kann man meist sichergehen ob sich ein Virus etc. auf den PC befindet.
Meist hilft nur Antiviren Scan Malware-Spyware Scan und der HijackThis Log.

Ok, hier ist der Log vom befallenen Rechner:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:12:47, on 18.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Hewlett-Packard\WJA Update Service\HPWJAUpdateService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sandisk\Sansa Updater\SansaSvr.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Lan.FS\Lan-fs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\google-de_denick.exe
C:\Programme\SystemControl\SystemControl\SystemControl.exe
C:\Programme\ClipCache\clipc.exe
C:\Dokumente und Einstellungen\Nutzername\Desktop\Datenmüll\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Web-Recherche-Browser Helper Object - {255215E2-87DC-4819-8724-D0B4C94DBEF5} - C:\Programme\Web-Recherche\WRShell.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Web-Recherche-Symbolleiste - {8F0F47B1-7D4B-4834-A981-91E2A3DCE069} - C:\Programme\Web-Recherche\WRShell.dll
O3 - Toolbar: Web-Recherche-Bearbeitungsleiste - {5338DF6C-3B3B-4E38-8B31-7B99986627B2} - C:\Programme\Web-Recherche\WRShell.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MAF-Recovery] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Tech\Wheel Mouse\5.3\MOUSE32A.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Lan.FS] "C:\Programme\Lan.FS\Lan-fs.exe" -minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-299502267-73586283-682003330-1004\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'nutzername')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-299502267-73586283-682003330-1004 Startup: ClipCache Pro.lnk = C:\Programme\ClipCache\clipc.exe (User 'nutzername')
O4 - S-1-5-21-299502267-73586283-682003330-1004 Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE (User 'nutzername')
O4 - Startup: ClipCache Pro.lnk = C:\Programme\ClipCache\clipc.exe
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: google-de_denick.exe
O4 - Global Startup: SystemControl.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Web-Recherche: Bild speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#101
O8 - Extra context menu item: Web-Recherche: Bild speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#108
O8 - Extra context menu item: Web-Recherche: Link-Adresse speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#110
O8 - Extra context menu item: Web-Recherche: Markierte Ziele speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#111
O8 - Extra context menu item: Web-Recherche: Markierung speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#104
O8 - Extra context menu item: Web-Recherche: Markierung speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#109
O8 - Extra context menu item: Web-Recherche: Seitenbereich (Frame) speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#102
O8 - Extra context menu item: Web-Recherche: Seitenbereich (Frame) speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#106
O8 - Extra context menu item: Web-Recherche: Ziel speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#103
O8 - Extra context menu item: Web-Recherche: Ziel speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#107
O9 - Extra button: Fit-width Print - {3C34EBD2-038D-4d4f-B081-16D99D8BE2B4} - C:\WINDOWS\Downloaded Program Files\ieprint.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1B9935E4-8A50-4DD8-BD09-A7518723BF97} (Talisma NetAgent Customer ActiveX Control version 3) - http://etalk.epson.de/netagent/objects/custappx3.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100726058875
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1167239968459
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all02.kundenserver.de/app/static/activex/msxml4.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HPWJA Service (HPWJAService) - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Web Jetadmin 10\bin\HPWJAService.exe
O23 - Service: HP WJA Update Service (HPWJAUpdateService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Hewlett-Packard\WJA Update Service\HPWJAUpdateService.exe
O23 - Service: Sansa Updater Service (SansaService) - Unknown owner - C:\Programme\Sandisk\Sansa Updater\SansaSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 10659 bytes

Gut aus dem HJT-Log kann ich nix schlimmes entnehmen.

1. --> PC vom Netz trennen (Wenn möglich)

2. --> Falls die Systemwiederherstellung aktiv ist bitte deaktivieren und alle Punkte löschen!

3. --> Antiviren Scan mit Avira Antivir

4. --> Malwarebytes Anti-Malwre durchscannen (Scanlog bitte posten)

5. --> SuperAntiSpyware durchscannen (Scanlog bitte auch posten)

Zitat:

Zitat von Mr.Vain

Gut aus dem HJT-Log kann ich nix schlimmes entnehmen.

Danke, das ist gut. Trotzdem werde ich den Rechner nicht mehr an Internet/Lan anschliessen und formatieren. Das liegt an den Erkenntnissen und Infos, die ich in Backdoor BDS/Generic.73918 im LAN verbreitet? - Viren und andere Sicherheitsrisiken - Avira Support Forum erhalten habe. Dort hatte ich nachgefragt, weil ich durch deinen Tipp auf die Idee kam, es könne doch eine Falschmeldung sein. Jetzt glaube ich das aber nciht mehr.

Für mich ist nur noch die brennende Frage, ob ich wirklich nun alle Rechner im LAN neu aufsetzen muss??

Vom Netz getrennt ist der Rechner, Systemwiederherstllung ist aktiv und kann ich natürlich löschen (urps, ist das auch etwas böses?), Avira Antivir Scan ergab nichts böses, AntiMalware und AntiSpyware könnte ich noch machen, ist aber wahrscheinlich egal, wenn ich ihn eh neu aufsetze...

Viele Grüße
Frank