Hallo

Ich habe so ziemlich/genau das selbe Problem wie Lodda. Auch das GMER-Programm, das ich laufen gelassen habe, zeigt viele dieser UACd...(irgendwas) Dateien/Einträge. Also handelt es sich warscheinlich um das selbe Problem.

Soll/Kann ich die Anleitung von john.doe ebenso gefahrlos befolgen? (einfach die entsprechenden Änderungen für mein System vornehmen, z.b. Benutzername) Und gibt es allenfalls Punkte, die ich weglassen kann?

Ich hoffe ihr könnt mir helfen.
Gruss
black messiah

PS: als Notlösung habe ich die Firefox.exe Datei umbenannt, danach tritt das Problem auch nicht mehr auf. Ist zwar nur eine Notlösung und bekämpft die Ursache nicht, aber dennoch villeicht ein kleiner Tipp für die Zwischenzeit, bis die Ursache gelöst wurde.

@black messia

Bitte eröffne dein eigenes Thema, wie jeder hier. Poste als erstes das Gmer-Log.

ciao, andreas

Hallo,

Zitat:

Zitat von john.doe

Funktioniert dein Sound noch? Checke das bitte, falls nicht, dann stellen wir den Eintrag wieder her.

Sound funktioniert, ja.

Zitat:

Zitat von john.doe

Schau mal mit dem Windowsexplorer in den Ordner C:\Windows. Alle Bilder (*.bmp) mit Ausnahme von winnt256.bmp und winnt.bmp können gelöscht werden, falls du sie nicht brauchst.

Hab ich gemacht.

Zitat:

Zitat von john.doe

Du hast drei verschiedene Anmeldekonten. Wozu?

Du meinst die normale Windows-Anmeldekonten? Davon hab ich zwei, nicht drei. Eines ist für mich, das andere hat meine Mitbewohnerin mal benutzt. Das Letzte Mal ist aber schon länger her.

Zitat:

Zitat von john.doe

1.) Deinstalliere (falls möglich): ...

Hab ich soweit möglich gemacht, oder zumindest versucht. Ist ja manchmal nicht so einfach die Reste zu finden

Auch die beiden Programme zum entfernen der Norton und Java Reste habe ich laufen lassen.

zu 4.) edit: Beim Antwort verfassen sehe ich grade, das ich combofix ja 2 mal laufen lassen sollte. Das habe ich übersehen. Das folgende Log ist also das des einzelnden Durchlaufs.

http://www.materialordner.de/3E0wxct63hi5xKE7v7ZBbPb8wOYsXxfQ.html

Zitat:

Zitat von john.doe

5.) Reinige mit CCleaner alle temporären Dateien und die Registry.

Erledigt.

Zitat:

Zitat von john.doe

6.) Installiere (Toolbars immer abwählen, Haken weg): ...

Hab ich gemacht, bis auf ICQ, das ich eigentlich nicht mehr brauche.

Zitat:

Zitat von john.doe

8.) SuperAntiSpyware starten und Log posten.

Ich habe erstmal einen schnellen Scan gestartet, für einen kompletten fehlt mir heute die Zeit. Bei Bedarf kann ich dies morgen nachholen.

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/03/2009 at 08:01 PM

Application Version : 4.26.1000

Core Rules Database Version : 3828
Trace Rules Database Version: 1784

Scan type       : Quick Scan
Total Scan Time : 00:14:12

Memory items scanned      : 585
Memory threats detected   : 0
Registry items scanned    : 435
Registry threats detected : 0
File items scanned        : 7957
File threats detected     : 26

Rogue.WinPCDefender
	C:\Dokumente und Einstellungen\Bene\Startmenü\WinPC Defender.LNK

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@banner_tracking[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@ad.71i[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@ads.heias[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@adsrv.admediate[2].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@im.banner.t-online[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@adserver[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@apmebf[2].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@allesklarcomag.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@ads.admediate[2].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@adserver.kfz-auskunft[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@atwola[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@ice.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@www.etracker[2].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@www.web-mediaplayer[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@de2.komtrack[2].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@bwinde.122.2o7[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@ad.zanox[2].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@webmasterplan[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@indextools[2].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@adserver.71i[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@adserver.easyad[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@ottogroup.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@ottotrialpopunders.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@web-mediaplayer[2].txt
         

Ich habe die 26 schädlichen Elemente enfernen und unter Quarantäne stellen lassen. Naja, um ehrlich zu sein, wars ein Versehen, eigentlich wollte ich die Antwort hier abwarten.

Zitat:

Zitat von john.doe

7.) MalwareBytes starten und Log posten.

Auch hier habe ich nur den schnellen Scan durchgeführt:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1938
Windows 5.1.2600 Service Pack 2

03.04.2009 20:22:50
mbam-log-2009-04-03 (20-22-38).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 81349
Laufzeit: 4 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\147793193612.CPX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\147793193631.CPX (Trojan.Agent) -> No action taken.
         

Hier habe ich dann tatsächlich ignoriert, und warte erst einmal auf Antwort.

Zitat:

Zitat von john.doe

9.) Neues HJT-Log posten.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:33, on 03.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\Bene\Desktop\HiJackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9115 bytes
         

Eine letzte Anmerkung, die mir aufgefallen ist: Beim Herunterfahren des Rechners, bekomme ich manchmal die Meldung das das folgende Programm beendet wird: ZcfgSvc.exe
Im Task-Manager wird diese Datei auch als Prozess, nicht als Programm angzeigt. Keine Ahnung, ob das von Bedeutung ist, aber der Vollständigkeit halber möchte ich es erwähnen.

Viele Grüße

Zitat:

Sound funktioniert, ja.

Zitat:

Davon hab ich zwei, nicht drei.

Zitat:

02.04.2009 14:21 <DIR> Bene
29.03.2009 22:42 <DIR> Administrator
29.03.2009 22:42 <DIR> Andere

Zitat:

Beim Antwort verfassen sehe ich grade, das ich combofix ja 2 mal laufen lassen sollte.

Nein. Zuerst ziehst du das Script drauf, dann startest du einmal.

Zitat:

Hab ich gemacht, bis auf ICQ, das ich eigentlich nicht mehr brauche.

Dann brauchst du es natürlich nicht zu installieren.

Zitat:

Bei Bedarf kann ich dies morgen nachholen.

Ja, Bedarf besteht.
Klicke vor dem erneuten vollständigen Scan von Malwarebytes auf die Karte Update und dann auf Suche nach Aktualisierungen. Du hast eine uralte Datenbank.

Zitat:

das das folgende Programm beendet wird: ZcfgSvc.exe

File Information - ZCfgSvc.exe Fehler deinstallieren
Lies es dir durch, auch die Userbewertungen und entscheide selbst, ob du es brauchst oder nicht. Die Toshiba-Software ist mir auch ein Dorn im Auge, genau wie Desktop Search von MS. Ich würde alles nicht Notwendige deinstallieren.

Die AVG-Ordner können eigentlich auch noch weg.

Lade die beiden Dateien, die MbAM anquengelt hat, bei einem Filehoster hoch und poste die Links. Das kann ein FP von MbAM sein. Das Datum ist zu alt und die Dateien zu klein, aber man weiß ja nie.

ciao, andreas

Guten abend,

alles arbeite ich jetzt nicht mehr ab, aber einen Teil kann ich ja noch angehen.

- Zu den drei Konten:

Zitat:

02.04.2009 14:21 <DIR> Bene
29.03.2009 22:42 <DIR> Administrator
29.03.2009 22:42 <DIR> Andere

Tja, wenn ich starte, habe ich definitiv nur zwei Konten. Ich würde dem ganzen aber auch nicht so eine besondere Bedeutung schenken, weil ich im Zuge der Viren/Trojanergeschichte die Adminrechte überhaupt erst neu zugeteilt habe. Vielleicht hängt es schlicht damit zusammen. Vorher waren die Konten jeweils ohne besondere Rechte eingerichtet, das habe ich erst die Tage jetzt geändert.

Zitat:

Beim Antwort verfassen sehe ich grade, das ich combofix ja 2 mal laufen lassen sollte.
ANTWORT: Nein. Zuerst ziehst du das Script drauf, dann startest du einmal.

Gut, dann habe ich das ja richtig gemacht, und das log pass dann auch.

Zitat:

Zitat:
Bei Bedarf kann ich dies morgen nachholen.
ANTWORT: Ja, Bedarf besteht.
Klicke vor dem erneuten vollständigen Scan von Malwarebytes auf die Karte Update und dann auf Suche nach Aktualisierungen. Du hast eine uralte Datenbank.

Hm, ich hab die vor dem Scan schon aktualisiert. Ich hab das grade nochmal überprüft und versucht. Malware bestätigt mir, das die verwendete Version [Datenbank-Version 1938] die aktuelle ist.

Zitat:

Zitat:das das folgende Programm beendet wird: ZcfgSvc.exe
Antwort: File Information - ZCfgSvc.exe Fehler deinstallieren
Lies es dir durch, auch die Userbewertungen und entscheide selbst, ob du es brauchst oder nicht.

Gut. Ich hab´s mir durchgelesen; und dann zunächst mal nach dem Programm gesucht, und es hier gefunden:

Code: Alles auswählenAufklappen

ATTFilter

ZCFGSVC.EXE-1FEE3EEE.pf   in   C:\Windows\Prefetch
ZCfgSvc.exe                in    C:\Programme\Intel\Wireless\Bin
         

Diese beiden Dateien habe ich dann bei Virustotal.com überprüfen lassen, ohne Ergebnis.
Wenn ich dich dich richtig verstehe, kann ich sie aber trotzdem löschen, weil sie unnötig sind. (?)

Zitat:

Die Toshiba-Software ist mir auch ein Dorn im Auge, genau wie Desktop Search von MS. Ich würde alles nicht Notwendige deinstallieren.

Die AVG-Ordner können eigentlich auch noch weg.

Lade die beiden Dateien, die MbAM anquengelt hat, bei einem Filehoster hoch und poste die Links. Das kann ein FP von MbAM sein. Das Datum ist zu alt und die Dateien zu klein, aber man weiß ja nie.

Dies, sowie die beiden Komplett Scans, mache ich dann morgen, wird mir jetzt zu spät.

Bis dahin, und ein herzliches Dankschön

Zweiter Teil der Antwort

1. Komplettscan durch Malware, heute aktualisiert:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1939
Windows 5.1.2600 Service Pack 2

04.04.2009 12:32:49
mbam-log-2009-04-04 (12-32-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 158803
Laufzeit: 48 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

2. Komplettscan durch Superantispyware -> 1 Ergebnis, in Quarantäne verschoben

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/04/2009 at 01:35 PM

Application Version : 4.26.1000

Core Rules Database Version : 3829
Trace Rules Database Version: 1785

Scan type       : Complete Scan
Total Scan Time : 00:34:57

Memory items scanned      : 571
Memory threats detected   : 0
Registry items scanned    : 6290
Registry threats detected : 0
File items scanned        : 19302
File threats detected     : 1

Adware.Vundo/Variant-MSFake
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{391197E0-8C57-4C06-9C98-32E013C26E86}\RP119\A0044170.EXE
         

3.

Zitat:

Lade die beiden Dateien, die MbAM anquengelt hat, bei einem Filehoster hoch und poste die Links. Das kann ein FP von MbAM sein. Das Datum ist zu alt und die Dateien zu klein, aber man weiß ja nie.

http://www.materialordner.de/VHyh10RxSvYW43ce4qLIf8dbVOFqTia.html
http://www.materialordner.de/JMTo4H3EjBJQZt8lT5euWRTSiTVI9BZI.html

Da ich über diese [Zahl].cpx Dateien in den letzten Tagen immer wieder gestolpert bin, habe ich alle 6 [Zahl].cpx Dateien im system32 Ordner auch nochmal bei virustotal.com überprüfen lassen; es gab aber keine Befunde mehr.

Zitat:

Tja, wenn ich starte, habe ich definitiv nur zwei Konten.

Hast du die Home-Edition? Da ist das Administratorkonto nur im abgesicherten Modus zu erreichen.

Zitat:

Wenn ich dich dich richtig verstehe, kann ich sie aber trotzdem löschen, weil sie unnötig sind. (?)

Nein, unnötig ist die nicht, aber bekannt dafür, dass sie Probleme verursacht. Falls sie weiterhin Probleme verursacht, dann melde dich nochmal. Dann können wir sie vorübergehend deaktivieren und du checkst dann, ob noch alles funktioniert und ob sich danach eine Besserung einstellt.

Zitat:

es gab aber keine Befunde mehr.

Nur die Art, wie sie installiert waren, kam mir merkwürdig vor. So installiert sich auch der Silent Banker. Aber die Dateien sind zu alt und zu klein, dazu noch nicht einmal Programme, also ungefährlich. KA, warum MbAM die angequengelt hat.

Gibt es noch irgendwelche Probleme? Oder tut der Rechner wieder, was er soll?

ciao, andreas

Hi,

der Rechner tut, was er soll, keine Probleme mehr.

Aber ein paar abschließende Fragen hätte ich noch:

1. Mich wundert, dass die kleinen Spezialprogramme, die man hier unter Anleitung laufen lässt, so viele Sachen mehr finden, als die "normalen" Antivirusprogramme. Heißt das, das die normalen Programme unzureichend sind?

2. Was mache ich mit den Spezialprogrammen? Soll ich sie deinstallieren? (zumindest bei Programmen wie combofix erscheint es mir ratsam, sie weingstens vom Desktop zu entfernen)
Oder soll ich SUPERAntiSpyware und Malware behalten, und ab und an laufen lassen?

3. Die Logs zeigen ja, das ich nur SP2 von Windows auf dem Rechner habe. Soll ich SP3 laden und installieren?

4. Kann ich jetzt wieder Online- Banking nutzen? Besser Passwörter ändern, oder?

Ich glaub das wärs fürs erste

Zitat:

der Rechner tut, was er soll, keine Probleme mehr.

Zitat:

Aber ein paar abschließende Fragen hätte ich noch:

Wer sagt dir, dass wir fertig sind? Ganz unten geht es weiter.

Zitat:

Heißt das, das die normalen Programme unzureichend sind?

Ja, besser hätte ich es nicht formulieren können. "Sicherheitsprogramme", egal ob Antivirenprogramm, Antispywareprogramm, Antibotprogramm, Personal Firewall oder was sich sonst noch so unter dem Namen "Sicherheitsprogrammen" tummelt, sind in meinen Augen nichts weiter als Abzocke.

Verkauft wird dir ein Gefühl, das Gefühl du seist damit sicher. Du hattest ein Antivirenprogramm, hat es dich beschützt? Du hattest ein Antispywareprogramm, hat es dich beschützt?

Schutz heißt selber aktiv zu werden. Klicke auf die letzten beiden Links in meiner Signatur. Die Ratschläge, die dort zu lesen sind, sind uralt aber immer noch aktuell. Vielleicht heute mehr als damals. Du musst einfach nur die Regeln befolgen, die dort stehen, dann bist du sicher.

Ich persönlich habe kein Antivirenprogramm, kein Antispywareprogramm, keine Personal Firewall und ich weigere mich auch konsequent bei Bekannten soetwas zu installieren.

Das ist in etwa vergleichbar mit der Risikokompensation bei Autos. Mir kann ja nichts passieren, mein Auto hat ABS, ESP, Airbags, ... also mit Tempo 200 in die Kurve.

Alle Experten warnen davor, Software per P2P zu saugen, aber die User sagen sich, ich habe ja ein Antivirenprogramm, mir kann nichts passieren. Tja. Was soll man noch schreiben?

Zitat:

Was mache ich mit den Spezialprogrammen? Soll ich sie deinstallieren?

1.) Start => Ausführen => combofix /u => OK
2.) Alle anderen Programme (mit Ausnahme von Avira/MalwareBytes) deinstallieren/löschen.

Zitat:

Soll ich SP3 laden und installieren?

Äh, klicke nochmal auf die letzten beiden Links in meiner Signatur und lese alles nochmal. Dann hat sich diese Frage erübrigt. Schaue gleich anschliessend mit dem MSIE bei Microsoft Windows Update vorbei und installiere alle Updates.

Zitat:

Besser Passwörter ändern, oder?

Besser ist das.

Kaspersky Online Scan

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

• Kaspersky Online Scanner
  • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
  • Java muss installiert, aktiv und erlaubt sein.
  • Bebilderte Anleitung von sundavis.
  • Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
  • Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Die Datenschutzerklärung akzeptieren.
  • Programm installieren lassen.
  • Update der Signaturen installieren lassen.
  • Wenn der Status "Complete" ist,
  • Scan-Einstellungen (Settings) Standard lassen
  • Links den Link "My Computer" anklicken.
  • Scan beginnt automatisch.
  • Wenn der Scan fertig ist, auf "View scan report" klicken,
  • "Save report as" und Dateityp auf .txt umstellen,
  • und auf dem Desktop als Kaspersky.txt speichern.
  • Logdatei hier posten.
  • Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

ciao, andreas

Guten abend,

Zitat:

Du hattest ein Antivirenprogramm, hat es dich beschützt? Du hattest ein Antispywareprogramm, hat es dich beschützt?

Öhem, nein und nein

Um in deinem Bild zu bleiben:
Mein Auto hatte keinABS, ESP, Airbags, ... aber trotzdem mit Tempo 200 in die Kurve. xD


Okay, zu den Aufagen. Gut das ich heute mittag angefangen habe, das hat mal wieder Stunden gedauert^^

1. combofix und SUPERAntiSpyware habe ich deinstalliert. HiJackthis kommt weg, wenn wir hier fertig sind. Den CCleaner behalte ich erstmal, gefällt mir gut das Tool.

2.Windows,IE und SP hab ich solange upgedatet, bis nix mehr ging. (Stunden später....

3. Der Online Scan von Kaspersky hat dann auch nur 3h gedauert. Keine Ergebnisse, hier das Log:

Code: Alles auswählenAufklappen

ATTFilter

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
 Sunday, April 5, 2009
 Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)
 Kaspersky Online Scanner 7 version: 7.0.25.0
 Program database last update: Sunday, April 05, 2009 15:56:33
 Records in database: 2015080
--------------------------------------------------------------------------------

Scan settings:
	Scan using the following database: extended
	Scan archives: yes
	Scan mail databases: yes

Scan area - My Computer:
	C:\
	D:\

Scan statistics:
	Files scanned: 71062
	Threat name: 0
	Infected objects: 0
	Suspicious objects: 0
	Duration of the scan: 03:05:39

No malware has been detected. The scan area is clean.

The selected area was scanned.
         

Falls es dem Rechner wieder gut geht, dann bist du entlassen.

Immer vorsichtig im Internet in der Zukunft, sonst bist du bald wieder hier.

ciao, andreas

Super.

Dann nochmal vielen herzlichen Dank für die Hilfe, und ein großes Lob für die Arbeit, die ihr euch macht!

Danke & byebye