Zitat:

Zitat von undoreal

Nein.

Wenn du im Teskmanager im Reiter "Dienste" nach der PID Adresse sortieren lässt müsstest du festellen können ob die Einträge dort sichtbar sind oder nicht.

Das MS Tool zur Entfernung bösartiger Software hat versucht diese beiden Adressen zu erreichen hat aber eine STOP-Fehlermeldung provoziert.

Das die Registry Einträge über RegSearch nicht gefunden werden ist sehr merkwürdig da sie im ISeeYouXP log def. gelistet werden.

Guck mal nach ob du sie über regedit sehen kannst.
Alledings könnte es auch gut sein, dass da etwas verhindert das diese Schlüssel sichtbar sind..

Ich vermute, da ich Windows XP HE habe, kann ich PIDs nicht anzeigen lassen. Im Taskmanager gibt es den Reiter Dienste nicht, nur Prozesse.

Die beiden Einträge sind in der Registry, dort, wo du sie vermutet hast.
Haben sie definitiv mit Malware zu tun? Kann es nicht sein, dass sie mit dem XProtector, der ja scheinbar von einiger Software installiert wird, zusammenhängen. Ich habe eigentlich kein virentypisches Verhalten auf meinem Rechner. Bei dem CIADoor liest man immer wieder, dass er Firewalls, das Internet etc. blockiert. Auch findet keines der Virenscanner diese Malware.

Wie bekomme ich die Malware wieder los? Zum Neuaufsetzen komme ich in den nächsten 3-4 Wochen nicht, das ist ein Prozess, der erfahrungsgemäß bei mir 1-2 Tage dauert. Wir haben hier nur DSL Light, alleine die Updates aus dem Internet würden vermutlich 5-6 Stunden dauern.

Noch ein Nachtrag:

Wir haben hier in unserem kleinen Büro vier untereinander nicht vernetzte Rechner (u.a. ein Laptop, das seltenst im Internet ist), die auch nicht über USB-Stick etc. miteinander kommunizieren.

Auf zweien ist auch das XProtector-File drauf und auf allen der Eintrag in der Registry (die zwei nutze nur ich und habe dort identische Software aufgespielt) - die anderen beiden verwalte ich nicht, aber auch hier ist der Eintrag vorhanden:

HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shellexecutehooks
{AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ

Nur der zweite Eintrag "{56F9679E-7826-4C84-81F3-532071A8BCC5} REG_SZ" ist nicht auf allen vorhanden.

Kann es sein, dass dieser Reg-Schlüssel normaler Bestandteil eines Programmes ist, das auf allen Rechnern installiert ist, z.B. dem Backup-Programm? Dass alle vier den Virus abbekommen haben, obwohl sie nicht per LAN verbunden sind und auch darauf geachtet wird, dass sie nicht über USB-Sticks kommunizieren, halte ich für unwahrscheinlich. Wie siehst du das?

Danke übrigens, für die viele Zeit, die du in meine Problemlösung investierst, finde ich toll. :aplaus:

Zitat:

Im Taskmanager gibt es den Reiter Dienste nicht, nur Prozesse.

Klicke mal doppelt auf den grauen Rand des Taskmanagers...

Zitat:

Haben sie definitiv mit Malware zu tun?

Relativ sicher, ja. Ich habe zu dieser CLSID nur schädliche Programme gefunden..

Mein Bauch sagt mir, dass du in einem BotNetz hängst bzw. geowned bist.

Das du nichts merkst und kein Virensscanner was findet ist nicht ungewöhnlich.
http://oschad.de/wiki/Virenscanner
http://oschad.de/wiki/HomePage


Schwierig mit den Registry Einträgen.. Ich traue der Sache nicht...
http://www.google.de/search?q=AEB6717E-7E19-11d0-97EE-00C04FD91972&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:defficial&client=firefox-a

Zitat:

Kann es sein, dass dieser Reg-Schlüssel normaler Bestandteil eines Programmes ist, das auf allen Rechnern installiert ist, z.B. dem Backup-Programm?

Könnte sein, ja. Allerdings ist es sehr merkwürdig, dass google das dann nicht ausspuckt..


Lasse mal bitte counterspy laufen und poste das log.


Und ein Panda log würde ich gerne sehen.


Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Zitat:

Zitat von undoreal

Klicke mal doppelt auf den grauen Rand des Taskmanagers...

Relativ sicher, ja. Ich habe zu dieser CLSID nur schädliche Programme gefunden..

Mein Bauch sagt mir, dass du in einem BotNetz hängst bzw. geowned bist.

Das du nichts merkst und kein Virensscanner was findet ist nicht ungewöhnlich.
http://oschad.de/wiki/Virenscanner
http://oschad.de/wiki/HomePage


Schwierig mit den Registry Einträgen.. Ich traue der Sache nicht...
http://www.google.de/search?q=AEB671...ient=firefox-a


Könnte sein, ja. Allerdings ist es sehr merkwürdig, dass google das dann nicht ausspuckt..


Lasse mal bitte counterspy laufen und poste das log.


Und ein Panda log würde ich gerne sehen.


Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Ok, werde ich alles machen.

Noch kurz ein paar Fragen

1.) Sind CounterSpy und Viper identisch. Finde dort den Downloadlink für CounterSpy nicht, nur für Viper.

2.) Ich arbeite beruflich oft mit Adobe Acrobat Connect Pro Meeting, d.h. nehme an Online-Konferenzen teil. Kann es sein, dass daher die unbekannten Einträge kommen? Dazu muss ja quasi auch eine BackDoor geöffnet werden - oder? Ich kann dann auch anderen den Zugriff auf meinen PC erlauben. Wenn ich z.B. Personen fortbilde, können sie das sehen, was ich auf dem Desktop freigebe. Kommt daher eventuell der Eintrag?

3.) Leider haben wir hier im Moment nur DSL-Light, daher dauert alles sehr lange. Aber ich habe immer die volle Leistung. Wenn mein Rechner Teil eines Bot-Netzwerkes wäre, müsste mir dann nicht Leistung fehlen?

1) Jop. In VIPRE sollte Counterspy quasi eingebaut sein..

2) Das könnte die Einträge teilweise erklären..

3) Nicht zwingend. Die Netz arbeiten selten kontinuierlich sondern nur in "Schüben".

Panda-Log:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-03-15 23:52:20
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 2
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
G DATA AntiVirus 18.0 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Donnerstag\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Freitag\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Mittwoch\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Montag\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Samstag\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Sonntag\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Dienstag\cookies.txt[.adtech.de/]
02915730 Trj/Rebooter.J Virus/Trojan No 0 Yes No G:\Treiber + Downloads\SmitfraudFix.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location i
;===================================================================================================================================================== ==============================
No C:\Asus\GPS2Blue.exe i i
No C:\RECYCLER\S-1-5-21-1065656844-2122956271-3000891388-1009\Dc147.flv i
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description i
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================


Die Datei SmitfraudFix.exe ist kein Trojaner, sondern ein Cleaning-Tool, das ich für einen Bekannten vor ein paar Jahren geladen habe, da er angeblich einen Smitfraud auf seinem Rechner gemeldet bekommen hatte. Das Tool wurde auf meinem Rechner nie ausgeführt.

PS: Vipre habe ich nicht installiert, weil ich dazu hätte GDATA Antivirus 2009 deinstallieren müssen und ich froh bin, dass das diese AV so gut läuft.