| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: gmx und paypal aufgehackt, C:\windows\system32\CVHW.dllWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.04.2010, 22:47
| #46 |
 |  gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll Hallo Franz, ob es jetzt auch noch gut aussieht, musst du beurteilen: Bereits vorab schon mal  1) Log des Scans mit Superantispyware: SUPERAntiSpyware Scann-Protokoll hxxp://www.superantispyware.com Generiert 04/24/2010 bei 05:53 PM Version der Applikation : 4.35.1002 Version der Kern-Datenbank : 4846 Version der Spur-Datenbank : 2658 Scan Art : kompletter Scann Totale Scann-Zeit : 01:13:01 Gescannte Speicherelemente : 607 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 6830 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 93675 Erfasste Datei-Elemente : 0 2) Log des Scans mit SUPERAntiSpyware im abgesicherten Modus: SUPERAntiSpyware Scann-Protokoll hxxp://www.superantispyware.com Generiert 04/24/2010 bei 08:18 PM Version der Applikation : 4.35.1002 Version der Kern-Datenbank : 4846 Version der Spur-Datenbank : 2658 Scan Art : kompletter Scann Totale Scann-Zeit : 02:11:28 Gescannte Speicherelemente : 241 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 6865 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 93716 Erfasste Datei-Elemente : 0 3) Log des Scans mit Panda Activescan: ;***************************************************************************************************************************************************** ****************************** ANALYSIS: 2010-04-24 23:29:56 PROTECTIONS: 1 MALWARE: 2 SUSPECTS: 1 ;***************************************************************************************************************************************************** ****************************** PROTECTIONS Description Version Active Updated ;===================================================================================================================================================== ============================== AntiVir Desktop 10.0.1.44 Yes Yes ;===================================================================================================================================================== ============================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===================================================================================================================================================== ============================== 00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No c:\qoobox\quarantine\d\autorun.inf.vir 00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No c:\qoobox\quarantine\f\autorun.inf.vir 00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No c:\qoobox.zip[qoobox/quarantine/d/autorun.inf.vir] 00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No c:\qoobox.zip[qoobox/quarantine/f/autorun.inf.vir] 00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No f:\system volume information\_restore{cb7f9f3c-bd33-4b76-a02a-e36882fa8ee8}\rp122\a0029777.inf 00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No d:\system volume information\_restore{cb7f9f3c-bd33-4b76-a02a-e36882fa8ee8}\rp122\a0029776.inf 00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No d:\kopie von autorun.txt 06162619 Trj/Banbra.GQU Virus/Trojan No 1 Yes No d:\avenger_dl\avenger\avenger.exe 06162619 Trj/Banbra.GQU Virus/Trojan No 1 Yes No d:\avenger_dl\avenger.zip[avenger.exe] ;===================================================================================================================================================== ============================== SUSPECTS Sent Location ;===================================================================================================================================================== ============================== No c:\pvr150-cd27\smd\hcwsmd05.exe ;===================================================================================================================================================== ============================== VULNERABILITIES Id Severity Description ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== Das file "c:\pvr150-cd27\smd\hcwsmd05.exe" gehört zu einem Tool meiner TV-Karte; ich habe es aber trotzdem bei virustotal auswerten lassen: h**p://w*w.virustotal.com/de/analisis/e7a73d8e399caffd6175aaedfb002d9f4dba7bfd611358a7168f6af6b94c561f-1272145260 Der "Harakit" könnte in Zusammenhang mit dem ominösen "khq"-File(s) stehen; siehe hier (fast ganz unten): h**p://w*w.uninstall-spyware.com/uninstallW32Harakit.html Nochmals vielen Dank. Bis bald, Frank Geändert von PyLi (24.04.2010 um 22:56 Uhr) |
|
25.04.2010, 13:19
| #47 |
| /// Helfer-Team    | gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll Das kann man so lassen. Die beiden letzten Scans haben nichts neues mehr zutage gefördert, außer Spuren in der Systemwiederherstellung und den Backups von Avenger und Combofix.
__________________1. Deinstalliere Combofix (Start -> Ausführen -> combofix /u eingeben und mit <Enter> bestätigen) 2. Deaktiviere die Systemwiederherstellung, um die dort mitgespeicherten Schädlinge zu löschen. Alle Systemwiederherstellungspunkte gehen verloren! Bei Bedarf kannst du die SWH danach wieder aktivieren. 3. c:\qoobox und die Ordner, in denen sich Avenger-Dateien befinden, würde ich löschen.
__________________ |
|
29.04.2010, 13:47
| #48 |
| | gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll Hallo Franz,
__________________leider hat es wieder einige Zeit gedauert, bis ich die Zeit gefunden habe um deine Anweisungen umzusetzen. VIELEN DANK nochmals für deine Unterstützung! Die aufgefundenen, schädlichen Files (auch in den Ordnern) habe ich unter Linux vorsichtshalber auf einen USB-Stick verschoben und diesen dann "gut weggepackt". Es hatte ja den Anschein, als ob nun wieder alles in bester Ordnung wäre. Aber ich befürchte, dass wir uns da getäuscht haben! Neben deinen Anweisungen habe ich auch noch den PC aufgeräumt (z.B. gmer, OTL und mbr deinstalliert) und die Treiber auf den neuesten Stand gebracht. Während des Downloads eines Treibers hat dann wieder Antivir Alarm geschlagen. Gemeldet wurde ein Trojaner in "yjmirb.exe". Hier der Report von Antivir: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 29. April 2010 13:59 Es wird nach 2055714 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : LUCY Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 15:41:56 AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 15:41:56 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:25:38 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:25:38 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:25:38 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:25:38 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:25:38 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:23:12 VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 07:23:12 VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 07:23:12 VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 07:23:12 VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 07:23:12 VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 07:23:12 VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 07:23:13 VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 07:23:13 VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 07:23:13 VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 15:41:56 VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 14:47:14 VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 10:54:05 VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 11:01:52 VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 11:01:52 VBASE019.VDF : 7.10.6.233 2048 Bytes 28.04.2010 11:01:53 VBASE020.VDF : 7.10.6.234 2048 Bytes 28.04.2010 11:01:53 VBASE021.VDF : 7.10.6.235 2048 Bytes 28.04.2010 11:01:53 VBASE022.VDF : 7.10.6.236 2048 Bytes 28.04.2010 11:01:53 VBASE023.VDF : 7.10.6.237 2048 Bytes 28.04.2010 11:01:53 VBASE024.VDF : 7.10.6.238 2048 Bytes 28.04.2010 11:01:53 VBASE025.VDF : 7.10.6.239 2048 Bytes 28.04.2010 11:01:53 VBASE026.VDF : 7.10.6.240 2048 Bytes 28.04.2010 11:01:53 VBASE027.VDF : 7.10.6.241 2048 Bytes 28.04.2010 11:01:53 VBASE028.VDF : 7.10.6.242 2048 Bytes 28.04.2010 11:01:53 VBASE029.VDF : 7.10.6.243 2048 Bytes 28.04.2010 11:01:53 VBASE030.VDF : 7.10.6.244 2048 Bytes 28.04.2010 11:01:53 VBASE031.VDF : 7.10.6.251 102400 Bytes 29.04.2010 11:48:25 Engineversion : 8.2.1.224 AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 18:12:29 AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 23.04.2010 18:12:29 AESCN.DLL : 8.1.5.0 127347 Bytes 01.04.2010 14:25:36 AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 18:12:30 AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 07:23:29 AEPACK.DLL : 8.2.1.1 426358 Bytes 01.04.2010 14:25:36 AEOFFICE.DLL : 8.1.0.41 201083 Bytes 01.04.2010 14:25:36 AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16.04.2010 07:23:26 AEHELP.DLL : 8.1.11.3 242039 Bytes 07.04.2010 11:48:39 AEGEN.DLL : 8.1.3.7 373106 Bytes 16.04.2010 07:23:19 AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 18:12:27 AECORE.DLL : 8.1.13.1 188790 Bytes 07.04.2010 11:48:38 AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 18:12:27 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 07.04.2010 11:48:39 AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 15:41:56 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 15:41:56 AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 15:41:56 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 15:41:56 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_e0dc36e1\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Donnerstag, 29. April 2010 13:59 Der Suchlauf nach versteckten Objekten wird begonnen. c:\windows\system32\ntvdm.exe c:\WINDOWS\system32\ntvdm.exe [HINWEIS] Der Prozess ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'psi.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WindowsSearch.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ir.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HookManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LWEMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'InCD.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'fwupdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'floater.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DTHtml.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wpctrl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TBPanel.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpztsb09.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpcmpmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HPWuSchd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Acrotray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ULCDRSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'snmp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DTSRVC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Dokumente und Einstellungen\All Users\Dokumente\yjmirb.exe' C:\Dokumente und Einstellungen\All Users\Dokumente\yjmirb.exe [FUND] Ist das Trojanische Pferd TR/Agent.695907 Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\All Users\Dokumente\yjmirb.exe [FUND] Ist das Trojanische Pferd TR/Agent.695907 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d9ad14b.qua' verschoben! Ende des Suchlaufs: Donnerstag, 29. April 2010 14:02 Benötigte Zeit: 03:03 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 58 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 57 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise 48115 Objekte wurden beim Rootkitscan durchsucht 1 Versteckte Objekte wurden gefunden Die Suchergebnisse werden an den Guard übermittelt. Diese Meldung kommt mir doch sehr bekannt vor (siehe dazu frühere posts in diesem Thema)! Anders als beim ersten Angriff durch dieses file konnte ich die exe-Datei diesmal in Quarantäne packen. Interessant ist, dass es beim letztenmal während des Downloads von "Google Earth" und diesmal beim Download eines Treibes passiert ist. Zwischen diesen beiden Ereignissen habe ich jedoch auch schon Downloads (z.B. Panda) durchgeführt, ohne dass es zu einer Meldung gekommen ist. Langsam habe ich den Verdacht, dass sich auf meinem PC noch irgendetwas verbergen muss, das immer wieder versucht, mir beim Runterladen von erwünschten files zusätzlich malware zu installieren. Wäre dies möglich? Die Datei aus der Quarantäne habe ich bei virustotal auswerten lassen: h**p://w*w.virustotal.com/de/analisis/182b1552d582cdde5619f2b07817941a36d5eb56c5f531cc816cd3ff725a8aa8-1272544845 Ich würde mich freuen, wenn du dich (wieder bzw. weiter) "meiner annehmen würdest", und mir entsprechende Anweisungen geben kannst. LG, Frank |
|
29.04.2010, 16:17
| #49 |
| | gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll Erst mal sorry für den Doppel-Post. Hallo Franz, hier noch ein Nachtrag (der eigentliche post ließ sich nicht mehr editieren). Ich habe noch mal einen Vollscan mit Antivir gemacht und es gab weitere Funde. Irgendwie wird es immer mehr. Hier der Report: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 29. April 2010 15:38 Es wird nach 2056463 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : LUCY Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 15:41:56 AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 15:41:56 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:25:38 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:25:38 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:25:38 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:25:38 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:25:38 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:23:12 VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 07:23:12 VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 07:23:12 VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 07:23:12 VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 07:23:12 VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 07:23:12 VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 07:23:13 VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 07:23:13 VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 07:23:13 VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 15:41:56 VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 14:47:14 VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 10:54:05 VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 11:01:52 VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 11:01:52 VBASE019.VDF : 7.10.6.233 2048 Bytes 28.04.2010 11:01:53 VBASE020.VDF : 7.10.6.234 2048 Bytes 28.04.2010 11:01:53 VBASE021.VDF : 7.10.6.235 2048 Bytes 28.04.2010 11:01:53 VBASE022.VDF : 7.10.6.236 2048 Bytes 28.04.2010 11:01:53 VBASE023.VDF : 7.10.6.237 2048 Bytes 28.04.2010 11:01:53 VBASE024.VDF : 7.10.6.238 2048 Bytes 28.04.2010 11:01:53 VBASE025.VDF : 7.10.6.239 2048 Bytes 28.04.2010 11:01:53 VBASE026.VDF : 7.10.6.240 2048 Bytes 28.04.2010 11:01:53 VBASE027.VDF : 7.10.6.241 2048 Bytes 28.04.2010 11:01:53 VBASE028.VDF : 7.10.6.242 2048 Bytes 28.04.2010 11:01:53 VBASE029.VDF : 7.10.6.243 2048 Bytes 28.04.2010 11:01:53 VBASE030.VDF : 7.10.6.244 2048 Bytes 28.04.2010 11:01:53 VBASE031.VDF : 7.10.6.252 111616 Bytes 29.04.2010 13:36:49 Engineversion : 8.2.1.224 AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 18:12:29 AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 23.04.2010 18:12:29 AESCN.DLL : 8.1.5.0 127347 Bytes 01.04.2010 14:25:36 AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 18:12:30 AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 07:23:29 AEPACK.DLL : 8.2.1.1 426358 Bytes 01.04.2010 14:25:36 AEOFFICE.DLL : 8.1.0.41 201083 Bytes 01.04.2010 14:25:36 AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16.04.2010 07:23:26 AEHELP.DLL : 8.1.11.3 242039 Bytes 07.04.2010 11:48:39 AEGEN.DLL : 8.1.3.7 373106 Bytes 16.04.2010 07:23:19 AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 18:12:27 AECORE.DLL : 8.1.13.1 188790 Bytes 07.04.2010 11:48:38 AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 18:12:27 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 07.04.2010 11:48:39 AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 15:41:56 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 15:41:56 AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 15:41:56 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 15:41:56 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, F:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Donnerstag, 29. April 2010 15:38 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_USERS\S-1-5-21-2052111302-1682526488-839522115-1003\Software\SecuROM\License information\datasecu [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-2052111302-1682526488-839522115-1003\Software\SecuROM\License information\rkeysecu [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. c:\windows\system32\ntvdm.exe c:\WINDOWS\system32\ntvdm.exe [HINWEIS] Der Prozess ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '103' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '159' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'KHALMNPR.EXE' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'psi.exe' - '96' Modul(e) wurden durchsucht Durchsuche Prozess 'WindowsSearch.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'SetPoint.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'Ir.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'HookManager.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'LWEMon.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'InCD.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVDServ.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'floater.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'fwupdate.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'DTHtml.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'wpctrl.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'TBPanel.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'hpztsb09.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'hpcmpmgr.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'HPWuSchd.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'Acrotray.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'VTTimer.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '134' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'ULCDRSvr.exe' - '6' Modul(e) wurden durchsucht Durchsuche Prozess 'snmp.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'tcpsvcs.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'mdm.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '88' Modul(e) wurden durchsucht Durchsuche Prozess 'DTSRVC.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'InCDsrv.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '163' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '547' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <XP SOFTWARE> C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cevakrnl.rv0 [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.cvd [FUND] Enthält Erkennungsmuster des Trivial-28 (A)-Virus C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.ivd [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cevakrnl.rv0 [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.cvd [FUND] Enthält Erkennungsmuster des Trivial-28 (A)-Virus C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.ivd [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen Beginne mit der Suche in 'D:\' <XP DATEN> Beginne mit der Suche in 'E:\' <SPIELE> Beginne mit der Suche in 'F:\' <BACKUP> Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.ivd [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4edb0503.qua' verschoben! C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.cvd [FUND] Enthält Erkennungsmuster des Trivial-28 (A)-Virus [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '564c2aa5.qua' verschoben! C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cevakrnl.rv0 [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '04667050.qua' verschoben! Ende des Suchlaufs: Donnerstag, 29. April 2010 17:09 Benötigte Zeit: 1:27:03 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 12908 Verzeichnisse wurden überprüft 552429 Dateien wurden geprüft 6 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 552423 Dateien ohne Befall 3043 Archive wurden durchsucht 0 Warnungen 3 Hinweise 391171 Objekte wurden beim Rootkitscan durchsucht 4 Versteckte Objekte wurden gefunden LG, Frank |
|
30.04.2010, 10:51
| #50 | ||
| /// Helfer-Team | gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll Hallo Frank, Zitat:
Wenn ja: Es kommt vor, dass dein Hintergrund-Wächter (AntiVir) Alarm schlägt, wenn ein anderer Scanner auf deinem Rechner aktiv wird und, wie in diesem Fall, eigene temporäre Dateien ablegt. (Dies ist auch der Grund dafür, dass man niemals zwei Hintergrund-Wächter gleichzeitig aktivieren sollte.) Falls nötig, deinstalliere den F-Secure-Scanner über die Systemsteuerung und lösche mit dem CCleaner alle temporären Dateien in allen Pfaden, dann sollte der Spuk eigentlich vorbei sein.  Zu dem anderen Spuk, der yjmirb.exe: Zitat:
 Hast du Google Earth und den Treiber direkt von den Hersteller-Seiten heruntergeladen? Hast du inzwischen den Rechner wieder an dein Heimnetzwerk angeschlossen oder Wechselmedien angesteckt? Es ist ja auch möglich, dass die Infektion von einem deiner anderen Rechner kommt.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
|
30.04.2010, 22:22
| #51 |
| | gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll Hallo Franz, zunächst erst mal vielen Dank, dass du weiter "dran bleibst". Zu deinen Fragen: F-Secure: Ja, ich habe neben dem Scan mit Panda auch einen mit F-Secure gemacht (ebenfalls ohne Funde). Die Files können daher Reste von F-Secure sein (ehrlich gesagt dachte ich, dass es nur ein Onlinescanner ist und keine Reste bleiben würden). Ich kann auch keine Installation von F-Secure mehr finden (weder unter "alle Programme" noch in der Systemsteuerung). Ich habe daher C-Cleaner laufen lassen und den Bereich nochmals mit Antivir gescannt. Ist jetzt ohne Befund/Beanstandung. Google earth: Habe es nicht von der Herstellerseite, sondern bei CHIP runtergeladen. Kann man CHIP als Quelle nicht (mehr) vertrauen? Treiber: Auf diesen Download hatte ich selbst keinen direkten Einfluß. Mit dem Board (das Orginalboard habe ich mal ersetzt, um eine andere CPU nutzen zu können) des PCs wurde eine Software (Fox LiveUpdate) mitgeliefert, mit deren Hilfe man nach Updates für die Boardkomponeten suchen und diese ggf. auch updaten kann. Dieses Prozedere habe ich durchgeführt (Treiber für Onboard-LAN sollte erneuert werden) und dabei wurde dann "yjmirb.exe" gefunden und diesmal von Antivir das File in Quarantäne genommen. Heimnetzwerk: Der Rechner hatte schon länger (auch vor der Infektion) keinen Kontakt mehr mit anderen PCs. Es bestand keine Netzwerkverbindung und es wurden keine Daten (über Sticks, CDs usw.) ausgetauscht. Der betroffene PC wird fast ausschließlich als reines "Arbeitstier" (für chemische Berechnungen mittels "Gaussian") genutzt. Wenn man dann dabei mal auf das nahe Ende einer Berechnung warten musste bzw. eine Berechnung überwachte, dann wurde auch das Internet benutzt und ggf. Emails abgerufen (sowohl direkt auf der gmx-Homepage als auch via Outlook). Zur näheren Erklärung der aktuellen Situation: Ich habe Internet über Kabel-Deutschland. Dieser PC geht seit Bekanntwerden der Infektion direkt per LAN-Kabel an den Router/Splitter ins Internet. Alle anderen PCs nutzen W-LAN. Der W-LAN-Router kann nur alternativ zum direkten LAN-Kabel genutzt/angeschlossen werden. Es ist daher nicht möglich mit irgendeinem anderen PC ins Internet zu gehen, wenn der betroffene PC das Internet nutzt. Eine Übertragung von Daten zwischen den anderen PCs und dem betroffenen Rechner ist daher auszuschließen. Wechselmedien: Wie ich dir geschrieben hatte, wurde mit dem PC immer nur ein bestimmter USB-Stick benutzt. Dieser war während der gesamten bisherigen Bereinigung angeschlossen. Dieser hat auch eine "autorun.inf" drauf. Diese haben wir aber analysiert und festgestellt, daß sie nur zur Anzeige des Symbols dient. Um die ganzen "verdächtigen" Dateien und Ordner sicherheitshalber aufzubewahren, habe ich einen anderen USB-Stick benutzt. Dieser war "nagelneu" aus der verschweißten Packung entnommen und wurde nur während der Verwendung der Linux-Live-CD angesteckt. Bei der Verwendung unter Linux habe ich den USB-Stick zunächst geöffnet; er war völlig leer. Noch unter Linux hab ich den Stick dann abgemeldet und dann sofort sicher weggepackt. Der erste Fund hinsichtlich "yjmirb.exe" geschah, als ich Google Earth heruntergeladen/installiert habe. Damals hat Antivir Alarm geschlagen und den Schädling sofort gelöscht. Der jetzige, zweite Fund hinsichtlich "yjmirb.exe" erfolgte, als ich die Treiber für meine Onbord-LAN-Karte heruntergeladen/installiert habe (s.o.). Um gleich alle Bedenken zu zerschlagen; von diesem PC wurde (mit Ausnahme vom TB) nichts mehr genutzt, das irgendwie sensibel wäre (also keine Passwörter, gmx, Paypal usw.). Um das Problem näher zu untersuchen, habe ich mal einiges versucht: - Google Earth (mit Google Updater), Adobe Reader 9.x, Java und Secunia PSI deinstalliert. - PC neugestartet und dann mit C-Cleaner bereinigt. - Antivir-Update (war schon auf neuestem Stand). - TB geöffnet (in Firefox; nicht am TB angemeldet) - Deinem Link zu Java-Updates (im Firefox) gefolgt und Java als Onlinevariante installiert und Installation mit Hilfe der Java-Homepage überprüft. Alles i.O. keine Meldungen. - Deinem Link zu Adobe Raeder (im Firefox) gefolgt und Reader 9.3 installiert. Reader geöffnet und geupdatet. PC neugestartet. - Nochmal Reader gestartet und nochmals nach Updates gesucht. Keine weiteren Updates vorhanden. Alles i.O. keine Meldungen. - Wie damals nach "Google Earth Chip" (diesmal im Firefox; bin nicht mehr sicher, ob es damals nicht im IE war) gegoogelt und dem ersten Link auf w*w.chip.de/downloads/Google-Earth_13015193.html gefolgt und dann installiert. Google Earth gestartet. Alles i.O. keine Meldungen. Also hat es diesmal keine Antivir-Meldungen gegeben. Da ich leider nicht mehr sicher bin, ob ich damals "Google Earth" nicht unter IE gesucht und installiert habe, habe ich es wieder deinstalliert. Mit C-Cleaner bereinigt. Den letzten Schritt der obigen Liste unter IE wiederholt. Alles i.O. keine Meldungen. Fazit: Die Sache mit der "yjmirb.exe" ist bisher zweimal aufgetreten. Sie ist jedoch nicht so einfach reproduzierbar. D.h. sie kommt nicht bei jedem Download automatisch mit. Aus meiner Sicht ergibt das irgendwie keinen richtigen Sinn, wenn man annimmt, daß es auf dem PC irgendeinen Schädling gibt, der dieses "Zusatzdownload" veranlasst. Aus meiner Laien-Sicht könnte ich mir aber folgendes Szenario vorstellen: Jemand hat sich "von außen" einen Zugang zu meinem PC gelegt und kann diesen nutzen wann immer der PC im Internet ist. Je nach Gusto wird dann versucht, mir bei einem beliebigen Download auch noch irgendeine Schadsoftware mitzuschicken. Ist sowas denkbar? Hat es ggf. mit irgendwelchen offenen Ports zu tun, die ich einfach wieder schließen kann? Ich denke da an Ports die von "Pando" benutzt werden. Habe "Pando" bisher benutzt, um mit ehemaligen Kollegen an verschiedenen Unis größere Outputs von Berechnungen und Varianten für unsere Rechensoftware auszutauschen. Kannst du mir sagen, was die "yjmirb.exe" kann bzw. bezwecken sollte? Was kann ich weiter tun? Ist es unumgänglich, den PC neu aufzusetzen und dabei auch gleich alle Partitionen zu formatieren? Entschuldige bitte, wenn dieser post so lang/ausführlich war, aber ich wollte einfach mal alles zusammenfassen, um vieleicht den entscheidenden Hinweis für eine Bereinigung zu liefern. Vielen Dank, daß du bereits so viel DEINER Zeit in MEIN Problem investiert hast.  LG, Frank |
|
04.05.2010, 20:51
| #52 | |||||
| /// Helfer-Team | gmx und paypal aufgehackt, C:\windows\system32\CVHW.dllZitat:
Zitat:
Zitat:
Zitat:
 Zitat:
__________________ Alle Tipps und Anleitungen ohne Gewähr |
|
06.05.2010, 16:31
| #53 |
| | gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll Hallo Franz, hier die Antworten auf deine Fragen: Hardware-Firewall: Ob das Bauteil tatsächlich eine Funktionalität als Router hat, kann ich nicht beurteilen. Es sorgt für die Trennung des Anschlusses in Telefonleitungen und Internetzugang via LAN-Port (der Hersteller "Thomson" bezeichnet es als "Residential VOIP Modem"). Im Handbuch ist zum Thema Firewall nichts zu finden. Das Bauteil hat eine IP und man kann dort eine Art Administration aufrufen. In dieser ist aber auch nichts hinsichtlich Firewall zu finden. Windows-Firewall: Die Firewall ist an und war mit einer Ausnahme auch immer an. Ausnahme: Während des Scans mit ComboFix war sie entsprechend der Anleitung aus. Es sind jedoch einige Ausnahmen eingetragen. Bereits vorab Vielen Dank! LG, Frank |
|
| Themen zu gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll |
| .com, ad-aware, antivir, antivir guard, askbar, avgntflt.sys, bho, browser, components, desktop, device driver, excel, fehler, flash player, fontcache, gainward, gupdate, hkus\s-1-5-18, installation, internet, kompatibilität, logfile, malwarebytes' anti-malware, msiexec, msiexec.exe, object, pdf-datei, problem, prozessor, registry, rückgängig, scan, server, software, starten, system, timeout, uleadburninghelper, updates, windows, windows internet, windows internet explorer, windows xp, windows-sicherheitscenterdienst, wsearch |
