Den Fund von Antivir.

und wie?

Auf der AntiVir CD hab ich da keine Möglichkeit für gefunden...

Hab bei der Konfiguration umgestellt, so dass er die Funde löscht,...

Jetzt scannt er noch mal 20 Minuten - dann gibs ein neues HJT-Log.

Du hast recht. Der Fund lässt sich nicht löschen mit der CD. Nicht so tragisch, da der Fund in einem Wiederherstellungspunkt ist. Läßt sich relativ einfach entfernen. Das machen wir später, wenn du das Logfile postest.

Im Logfile von HijackThis ist die EXE nach wie vor aktiv.

Aber der Browser geht nicht mehr,...

Ich starte mal neu,...

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:02, on 12.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\BackupGenie\BackupGenie.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [xuinus] C:\Dokumente und Einstellungen\Administrator\xuinus.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BackupGenie.lnk = C:\Programme\BackupGenie\BackupGenie.exe
O4 - Startup: EcrSpool.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4642 bytes
         

Browser funzt wieder,...

Hey,
funktioniert dein Browser wieder?
Hast du Malwarebytes schon mal laufen gelassen?

Ja, der funzt wieder.

Noch mal laufen lassen? Neues Log kommt sofort,...

Dieser Prozess ist sehr mysteriös. Kann dazu keinerlei Infos finden. Auch diese Datei EcrSpool.exe kenne ich nicht. Versuche die .exe mal auf deinem Rechner über die Suchfunktion von Windows zu finden.

Hab die Datei gesucht und im Autostart gefunden.
Das Ding gehört allerdings zu einem Programm das nicht schädlich ist.
Hab's sicherheitshalber noch mal bei virustotal.com hochgeladen und es ist fast unauffällig. Lediglich Symantec meldet "Suspicious.Insight"

Könntest du uns sicherheitshalber, auch für später Personen, sagen von welchem Programm die EXE ist?

Wie sieht es mit Malwarebytes aus?

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3729
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

12.02.2010 18:27:04
mbam-log-2010-02-12 (18-27-04).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 155448
Laufzeit: 21 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Das ist ein Authentifizierungstool für ne Bankingsoftware - kannst nen USB-Dongle rausziehen und nix geht mehr,...

Hey,
dann scannen wir, um sicherzugehen, mit CureIt.

Führe bitte im abgesicherten Modus folgendes wie in der Anleitung beschrieben aus:
http://www.trojaner-board.de/59299-a...eb-cureit.html

Wie du in den abgesicherten Modus kommst erfährst du hier : http://hoax-info.tubit.tu-berlin.de/...savemode.shtml

Poste das Ergebnis dann hier hinein

Cureit:
Es wurden keine Viren bzw. verdächtige Objekte gefunden.

Und nun?

Hey,
du hast CureIT so angewandt wie in der Anleitung? Einstellungen übernommen und einen Full Scan im abgesicherten Modus?

Wenn ja, ist die Datei :

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Administrator\xuinus.exe
         

dennoch vorhanden ?

Bitte mal im Verzeichnis nach schauen und einmal nach xuinus* suchen

Bitte mal das komplette Logfile von CureIT einfügen!