Alles wieder ok?

Alisa · 05.08.2009, 21:58

Hier schonmal der SUPERAntiSpyware Log:

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/05/2009 at 10:09 PM

Application Version : 4.27.1000

Core Rules Database Version : 4040
Trace Rules Database Version: 1980

Scan type       : Complete Scan
Total Scan Time : 00:50:10

Memory items scanned      : 409
Memory threats detected   : 0
Registry items scanned    : 6936
Registry threats detected : 4
File items scanned        : 103040
File threats detected     : 2

Adware.MyWay
	HKU\S-1-5-21-1102195260-4110736100-4079726572-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D1-F8E0-41AD-92A3-14154ECE70AC}
	HKU\S-1-5-21-1102195260-4110736100-4079726572-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}
	HKU\S-1-5-21-1102195260-4110736100-4079726572-1008\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser#{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}

Adware.HDTBAR
	HKU\S-1-5-21-1102195260-4110736100-4079726572-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{56A7DC70-E102-4408-A34A-AE06FEF01586}

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\s***@doubleclick[1].txt

An den Kaspersky-Scan mache ich mich gleich...

Nebenbei; Danke Dir, dass Du so lange am Ball bleibst =)

Alisa · 06.08.2009, 06:17

Ach, ich vergesse immer, dass man hier nachher nicht mehr editieren kann.

Hier der Kaspersky- Report:

Code:

ATTFilter

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0 REPORT
 Thursday, August 6, 2009
 Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
 Kaspersky Online Scanner  version: 7.0.26.13
 Program database last update: Wednesday, August 05, 2009 22:31:20
 Records in database: 2584283
--------------------------------------------------------------------------------

Scan settings:
	Scan using the following database: extended
	Scan archives: yes
	Scan mail databases: yes

Scan area - My Computer:
	C:\
	D:\
	E:\
	F:\
	G:\
	I:\
	M:\
	N:\
	O:\

Scan statistics:
	Files scanned: 103838
	Threat name: 0
	Infected objects: 0
	Suspicious objects: 0
	Duration of the scan: 03:01:27

No malware has been detected. The scan area is clean.

The selected area was scanned.

HijackThis:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:13:06, on 06.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\LVComS.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\trend micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.freenet.de/freenet/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - h**p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.freenet.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7098 bytes

Ich trau mich ja fast nicht zu fragen, aber in einem anderen Thread waren die letzten Schritte sozusagen Dein Endspurt...haben wir es langsam geschafft?
Ich bin die Letzte, die sich beschweren will, aber ich mag das nicht, jmd die Arbeit so zu zu schieben -.-

Erklärst Du mir eins? Der Backdoor. Bot scheint laut google vorallem vom Malewarebytes gefunden zu werden. Gibt es Hoffnung, dass das Programm irgendetwas falsch interpretiert und deshalb so gerne Backdoors findet?

Lieben Gruß,
Alisa

kira · 06.08.2009, 07:44

Zitat:

Zitat von Alisa

Erklärst Du mir eins? Der Backdoor. Bot scheint laut google vorallem vom Malewarebytes gefunden zu werden. Gibt es Hoffnung, dass das Programm irgendetwas falsch interpretiert und deshalb so gerne Backdoors findet?

Malwarebytes sowie ich es kenne, sehr zuverlässig!
was ist ein Backdoor - "Hintertür" ->*Backdoor/Wikipedia*
Heute bieten uns die moderne Technik mittels div Tools, Programme etc einen tieferen Einblick in das System, aber eben nur begrenzt. Also einer Infektion mit einem Backdoor, man kann nie sicher sein, dass er zu 100 % weg ist und wo/wann er als nächstes auftaucht.

Zitat:

Zitat von Alisa

haben wir es langsam geschafft?
Ich bin die Letzte, die sich beschweren will, aber ich mag das nicht, jmd die Arbeit so zu zu schieben -.-

Ein Untersuchung ist sicherlich zeitraubend & aufwendig, aber wenn man auf Nummer sicher gehen will... wenn Du nicht schreiben magst, empfehle ich Dir dein System neu aufzusetzen! - Schneller & sicherer

Alisa · 06.08.2009, 08:15

Nein, so meinte ich das nicht. Ich mache weiter, wenn Du weiterhin helfen magst.
Mir gefällt es nur nicht so ganz, dass Du meine Arbeit machst und ich nur doof rumstehe und "aha" sage. Ich tu mich ein bissel schwer damit, Hilfe anzunehmen ^^"

Auf meinem PC gibt es nicht allzuviel zu holen, daher hält sich meine Sorge noch in Grenzen. Mir gefällt nur der Gedanke nicht, jemand könne über meinen PC irgendwelche Daten verschieben. Das ist doch möglich, oder? Merkt man das an irgendwas speziellem?

So, was ist denn der nächste Schritt?

Grüße,
Alisa

kira · 06.08.2009, 20:39

hi

1.
Falls Spybot noch vorhanden, bitte den TeaTimer deaktivieren:
Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident--> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) > exit.[/size][/quote]
(Tea Timer versucht positive änderungen auch zu blockieren)

2.
Hast Du denn bereits die empfohlene Schritt (2.) hier ausgeführt?:-> http://www.trojaner-board.de/75988-alles-wieder-ok.html#post453537
wenn nicht hole nach und ein neues Log posten

3.
Unnötige Autostart-Programme.
Programme im Autostart sind Programme, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben und sofort mit Windows hochfahren. Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows!
"Start→ ausführen→ "msconfig" (reinschreiben ohne ""→ OK" - it-academy.cc - pqtuning.de
Einfach dort den Haken herausnehmen, dann die Programme starten nicht mehr automatisch. Du kannst aber jeder zeit manuell starten - (nach deinen Bedürfnissen anpassen, es ist immer Benutzerspezifisch,ein allgemein gültiges Rezept gibt es nicht)
Wird noch nach dem nächsten Neustart wieder ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten`
*** auf keinen Fall Grafiktreibers, Firewall und Anti-Viren-Programmen abschalten!!
Ausschaltkandidaten sind:

Code:

ATTFilter

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

Alisa · 11.08.2009, 18:32

Hallo,

Habs gemacht, aber es brachte keine Veränderung. Ich starre weiterhin eine halbe Minute auf meinen Desktop-Hintergrund ohne alles, und weiterhin gibt es keine oder geringe Konnektivität.

Er scheint sich nun in einem Zustand zu befinden, den es nach Combofix gegeben hat, denn auch das Icon vom Internet Explorer prangert da, wo es nicht hingehört auf meinem Desktop. Das hatte ich vorher nicht...

kira · 11.08.2009, 18:46

kannst Du die Netzwerkverbindungen aufrufen?

Alisa · 11.08.2009, 18:49

Ja, allerdings gibts da -zumindest für mich- nichts interessantes. Ich kann dort auch nicht deaktivieren.
Im Gerätemanager gehts, allerdings steht dann auch nicht mehr die Option zum Reparieren zur Verfügung (keine Ahnung, ob das Helfen würde).

Man liest hier und da, dass es helfen soll, eine feste IP zuzuweisen...meinst, das bringt was?

11.08.2009, 18:46	#7
kira /// Helfer-Team	Alles wieder ok? kannst Du die Netzwerkverbindungen aufrufen?

Alles wieder ok?

Log-Analyse und Auswertung: Alles wieder ok?

Alles wieder ok?

Alles wieder ok?

Alles wieder ok?

Alles wieder ok?

Alles wieder ok?

Alles wieder ok?

Alles wieder ok?

Alles wieder ok?

Ähnliche Themen: Alles wieder ok?

11.08.2009, 18:49	#8
Alisa	Alles wieder ok? Ja, allerdings gibts da -zumindest für mich- nichts interessantes. Ich kann dort auch nicht deaktivieren. Im Gerätemanager gehts, allerdings steht dann auch nicht mehr die Option zum Reparieren zur Verfügung (keine Ahnung, ob das Helfen würde). Man liest hier und da, dass es helfen soll, eine feste IP zuzuweisen...meinst, das bringt was?