Hallo,

beim heutigen Virenscan mit Anmtivir wurde mir folgendes gemeldet:

'C:\System Volume Information\_restore{5F996B4C-7A3B-4A3B-BCEE-788EBF1346AD}\RP65\A0010881.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.SpyEyes.AU.1' [trojan].

Eine Bereinigung /Löschen mit Antivir führt natürlich nicht zum Erfolg.
Und ich hoffe, ihr könnt mir helfen.

Der Rechner arbeitet mit XP, die wenigen persönlichen Dateien auf C müsste ich noch auf eine externe Platte sichern.

Zwei Fragen an Euch: Muss ich bei der Sicherung etwas beachten, um nicht die externe Platte zu verseuchen?

Ein Neuaufsetzen des System wäre dann möglich, allerdings würde ich auch gern so bereinigen, um alle Programme nicht wieder neu installieren zu müssen, denn das sind schon ganz schön viele. Aber das überlass ich den Fachleuten hier, welcher Weg wohl der Beste wäre.

Könnt ihr mir helfen? Ich möchte ungern anderen Anleitungen zu dem Problem folgen, da ich mir nicht sicher bin, ob ich dann den korrekten Weg für meinen Rechner einschlage.

Muss ich das Onlinebanking jetzt sperren lassen? TAN wurde keine eingegeben in den letzten Tagen, nur die Kontobewegungen angesehen. Muss ich noch irgendwo Passwörter ändern? Einen Ersatzrechner (lahme Krücke) hab ich hier direkt daneben stehen. Mit dem könnte ich problemlos ins Internet, auch wenns dann ewig dauert.

Vielen Dank schon mal für Eure Hilfe.

SuperAntispyware (FreeVersion) findet das Teil übrigens nicht.

Liebe Grüße

Malwarebytes hab ich rüberlaufen lassen und dies hier bekommen:

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6633

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

21.05.2011 11:32:11
mbam-log-2011-05-21 (11-32-11).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 141502
Laufzeit: 3 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\aighfrshdgf.exe (Trojan.SpyEyes) -> Value: aighfrshdgf.exe -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
c:\aighfrshdgf (Trojan.SpyEyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINXP\system32\ALZALZ.BIN (Spyware.Passwords) -> Quarantined and deleted successfully.
c:\WINXP\system32\ALZZip.BIN (Spyware.Passwords) -> Quarantined and deleted successfully.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
c:\aighfrshdgf\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully.

hi.
bank anrufen, onlinebanking sperren lassen, du weist nicht wie lange das teil aktiev ist.
notfall nummer:
116 116
ich möchte mir noch 1 log ansehen, dann gehts lost mit dem sichern der daten.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
und über malware musst du dich nicht wundern, hier fehlen ne menge windows updates!
ich zeig dir wie dus in zukunft richtig machst :-) falls du das möchtest.

Hallo Markusg,

zuerst einmal herzlichen Dank für die prompte Hilfe, Onlinebanking ist gesperrt und hier folgt das gewünschte Logfile:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-05-19.02 - Anwender 21.05.2011  14:02:40.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.2046.1334 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Anwender\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
 ADS - WINXP: deleted 24 bytes in 1 streams. 
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programme\Internet Explorer\SETC6.tmp
C:\Thumbs.db
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_USNJSVC
-------\Service_usnjsvc
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-21 bis 2011-05-21  ))))))))))))))))))))))))))))))
.
.
2011-05-21 12:05 . 2011-05-21 12:05	--------	d-----w-	c:\winxp\system32\xircom
2011-05-21 12:05 . 2011-05-21 12:05	--------	d-----w-	c:\winxp\system32\wbem\snmp
2011-05-21 09:17 . 2010-12-20 16:09	38224	----a-w-	c:\winxp\system32\drivers\mbamswissarmy.sys
2011-05-21 09:17 . 2011-05-21 09:17	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-05-21 09:17 . 2010-12-20 16:08	20952	----a-w-	c:\winxp\system32\drivers\mbam.sys
2011-05-21 06:39 . 2011-05-21 06:39	--------	d-----w-	c:\programme\InCode Solutions
2011-05-21 06:38 . 2011-05-21 06:38	--------	d-----w-	c:\dokumente und einstellungen\Anwender\Anwendungsdaten\SUPERAntiSpyware.com
2011-05-21 06:30 . 2011-05-21 06:30	--------	d-----w-	c:\winxp\system32\wbem\Repository
2011-05-13 10:55 . 2011-05-13 10:55	--------	d-----w-	c:\programme\COMPUTERBILD-Abzockschutz
2011-04-29 13:30 . 2011-04-29 13:30	--------	d-----w-	c:\programme\ClearProg
2011-04-25 07:12 . 2010-02-14 13:35	4411392	----a-w-	C:\mplayerc.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-30 14:56 . 2009-10-30 14:56	2025768	----a-w-	c:\programme\SkypeSetup.exe
2008-06-17 18:49 . 2008-06-17 18:49	2404880	----a-w-	c:\programme\WLinstaller.exe
2008-06-16 21:41 . 2008-06-16 21:41	11814200	----a-w-	c:\programme\gmx_multimessenger.exe
2006-05-03 09:06	163328	--sh--r-	c:\winxp\system32\flvDX.dll
.
.
------- Sigcheck -------
.
[-] 2008-04-14 . 5251425B86EA4A3532B8BB8D14044E61 . 1571840 . . [5.1.2600.5512] . . c:\winxp\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\sfcfiles.dll
[-] 2007-10-09 . 6D60483EBCF29203C9B3B453471D3706 . 1548288 . . [5.1.2600.2180] . . c:\winxp\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Window Washer"="c:\programme\Webroot\Washer\wwDisp.exe" [2007-11-26 1206600]
"MsnMsgr"="c:\progra~1\WI1F86~1\MESSEN~1\msnmsgr.exe" [2007-10-18 5724184]
"Eraser"="c:\programme\Eraser\eraser.exe" [2007-12-22 916240]
"SWR3RauchFrei"="c:\programme\RauchFrei\RauchFrei.exe" [2004-04-06 895488]
"AnyDVD"="c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe" [2009-01-12 2522048]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-05-04 2424192]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]
"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2007-11-06 8523776]
"nwiz"="nwiz.exe" [2007-11-06 1626112]
"NvMediaCenter"="c:\winxp\system32\NvMcTray.dll" [2007-11-06 81920]
"NeroCheck"="c:\winxp\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2003-09-05 1200178]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 90112]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]
"Monitor"="c:\winxp\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NBKeyScan"="c:\programme\Nero\Nero BackItUp 4\NBKeyScan.exe" [2008-09-24 2254120]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-06-07 202256]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2004-08-03 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2010-05-04 124928]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21	548352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 20:41 67656]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.01.2010 16:46 108289]
R2 wwEngineSvc;Window Washer Engine;c:\programme\Webroot\Washer\WasherSvc.exe [20.05.2008 15:33 598856]
S2 gupdate1ca597db3e1d9ac;Google Update Service (gupdate1ca597db3e1d9ac);c:\programme\Google\Update\GoogleUpdate.exe [30.10.2009 18:26 133104]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [30.10.2009 18:26 133104]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49 227232]
S3 PAC207;PC Camera;c:\winxp\system32\drivers\PFC027.SYS [29.05.2007 13:30 508160]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [17.02.2010 20:15 12872]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Inhalt des "geplante Tasks" Ordners
.
2011-05-17 c:\winxp\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2011-05-21 c:\winxp\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-10-30 16:26]
.
2011-05-21 c:\winxp\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-10-30 16:26]
.
2011-05-21 c:\winxp\Tasks\RealUpgradeLogonTaskS-1-5-21-1844237615-527237240-682003330-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]
.
2011-05-21 c:\winxp\Tasks\RealUpgradeScheduledTaskS-1-5-21-1844237615-527237240-682003330-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]
.
2011-05-21 c:\winxp\Tasks\WGASetup.job
- c:\winxp\system32\KB905474\wgasetup.exe [2009-04-14 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} - hxxp://chkr-web.ifolor.net/ORDERINGGENERAL/LowRes/app_support/ActiveX/IfolorUploader_chkr.cab
DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} - hxxps://img.web.de/v/mail/activex/fa_os_mms/upload_1141.cab
FF - ProfilePath - c:\dokumente und einstellungen\Anwender\Anwendungsdaten\Mozilla\Firefox\Profiles\5o2zc0wf.default\
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\winxp\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Adobe DLM (powered by getPlus(R)): {E2883E8F-472F-4fb0-9522-AC9BF37916A7} - %profile%\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
FF - Ext: Multi Links: multilinks@plugin - %profile%\extensions\multilinks@plugin
FF - Ext: COMPUTERBILD-Abzockschutz: {d49175b3-3fd8-43b8-b28e-da5d47f3c398} - %profile%\extensions\{d49175b3-3fd8-43b8-b28e-da5d47f3c398}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-BitTorrent DNA - c:\programme\DNA\btdna.exe
HKCU-Run-HirschQuelle Trinkwecker - c:\dokumente und einstellungen\Anwender\Eigene Dateien\Downloads\trinkwecker(2).exe
AddRemove-Redirection Port Monitor - c:\winxp\system32\unredmon.exe
AddRemove-Window Washer - c:\winxp\Unwash6.exe
AddRemove-BitTorrent DNA - c:\programme\DNA\btdna.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-21 14:06
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(680)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
- - - - - - - > 'explorer.exe'(2440)
c:\programme\SlySoft\AnyDVD\ADvdDiscHlp1.dll
c:\winxp\system32\mshtml.dll
c:\winxp\system32\msls31.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\winxp\RTHDCPL.EXE
c:\winxp\system32\RUNDLL32.EXE
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Ahead\InCD\InCDsrv.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
c:\winxp\system32\nvsvc32.exe
c:\programme\Nero\Nero BackItUp 4\IoctlSvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-05-21  14:09:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-05-21 12:09
.
Vor Suchlauf: 9 Verzeichnis(se), 170.497.339.392 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 170.482.892.800 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 76641BAE2BE9216954DDCB47ED2A2EED
         

--- --- ---


Ich hoffe, ich hab alles richtig gemacht und bin für Sicherheitshinweise für die Zukunft mehr als dankbar.

wunderbar.
erst mal, sichere deine daten, dies ist gefahrlos möglich, nichts illegales wie keygens etc.
weist du wie das mit dem formatieren geht?
falls nein, nutzt du ne windows cd recovery cd oder recovery partition?

Hallo,

ich sichere dann erst mal die Daten, von allem anderen hab ich ehrlich egsagt null Ahnung, ich hätte jetzt die XP CD genommen und neu installiert, nur so einfach wird das wohl nicht sein oder?
Und eine FRage noch dazu, muss ich auch überall anders jetzt die Passwörter ändern? Mailprogramme, Onlineauktionshaus etc?

Liebe Grüße und ganz herzlichen Dank noch mal an Dich!

wenn der pc formatiert ist müssen alle pws geendert werden, sag wenn du fertig bist, dann gehts weiter.

Ich möchte mich mal kurz noch einmal melden, irgendwie will der Rechner mich nicht formatieren lassen, CD ist drin, er bootet und fährt aber ständig hoch ins XP. Ich bekomme überhaupt keine Auswahlmöglichkeit. Im Bios ist das CD Laufwerk als erstes Bootlaufwerk angegeben.

Hast du eine Ahnung, was ich noch machen könnte? Ansonsten würde ich den PC am MOntag meinem Mann mit geben in die Firma, wo sich der Netzwerktechniker eventuell die Sache ansehen könnte. Bei dem Trojaner wäre es mir allerdings lieber, wenn ich das von hier aus geregelt bekommen würde.

ist das ne original windows cd?

Ja ist es eine Original XP CD. Ich kann aber überhaupt keine einzige CD im Laufwerk lesen, also irgendwas scheint mit dem CD Laufwerk nicht zu stimmen, wir bringen das erstmal in Ordnung und dann melde ich mich wieder bei Dir. Tausend Dank erst einmal für Deine tolle Hilfe bis jetzt.

kein problem.
nen laufwerk ist nicht teuer, ne reparatur, außer du hast garantie, lohnt sich nicht, kauf dir dann lieber nen neues.