Hallo miteinander!
Ich habe meinen Rechner heute mithilfe eines BartPE Systems (von CD) und diversen Tools gescannt und bin zu folgenden Ergebnissen gekommen:
Antivirensoftware: AntiVirenKit 2005 (Kaspersky & BD Engine), AntiVir Personal, Bitdefender
Es wurden von allen Engines keine Viren/Trojaner gefunden - dem immer laufenden AntiVir Guard sei Dank! :aplaus:
Antispysoftware: Spybot S&D, Ad-Aware
Es waren ein paar Tracking Cookies und Exploits (DSOExploits, WhenUSaveNow) dabei. Diese liessen sich aber ohne Probleme mit den beiden Programmen entfernen. :aplaus:
Sonstige Scanner: RunAlyzer (SBSD compatible logfile), eScan (MWAV), HijackThis
Bei der Analyse mit RunAlyzer habe ich auch nichts Verdächtiges festgestellt. Auch die Onlineauswertung des Hijack Log brachte keine aufregenden Erkenntnisse. Aber eScan macht mir Angst, denn es meldet, dass sich Spyware/Adware und Keylogger auf meinem System befinden sollen. Diese kann ich aber nirgendwo finden. Besonders der Keylogger gibt mir zu denken!!!
Deshalb werde ich mal meine Logfiles posten, und möchte euch herzlich bitten, mich beim Aufspüren und Vernichten dieser kleinen Teufel zu unterstützen und mir zu sagen was ich tun kann um sie loszuwerden. Ich bin im Moment recht ratlos und mit meinem Latein am Ende! Mein System erschien mir bis zum eScan vollkommen sauber zu sein ...
Schonmal vielen Dank im voraus für jede Unterstützung!!!
Meine Logfiles
-----------------------
Hijack This im Abgesichertem Modus Code:
Logfile of HijackThis v1.99.1
Scan saved at 17:57:29, on 29.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\ESCAN\MWAVSCAN.COM
C:\PROGRA~1\ESCAN\kavss.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HijackThis\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127941420156
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15014/CTPID.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\apachefriends\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Ergebnis meiner Online Auswertung war ok ... :daumenhoc
eScan im Abgesichertem Modus (Alle Fundstellen) Code:
Object "FlashGet Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.
Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen.
Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen.
Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen.
Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen.
Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen.
Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen.
Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen.
Object "bearshare Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.
Object "FlashGet Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.
Object "PowerStrip Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.
Object "zipitpro Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.
Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{2318C2B1-4965-11d4-9B18-009027A5CD4F}". Action Taken: Keine Aktion vorgenommen.
Datei C:\Programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\drivers\etc\spsexec.exe markiert als not-a-virus:RiskTool.Win32.PsExec.13. Keine Aktion vorgenommen.
Meine letzten 2 cent ...
"Flashget" benutze ich als Downloadmanager, wusste nicht, dass der gefährlich sein soll - oder gehts nur um die harmlose Werbung, die ich gern in Kauf nehme?!? :confused:
"Powerstrip" benutze ich zum feintunen meiner Grafikkarte - das Programm hat aber keine Adware - ist das Programm jetzt wirklich gefährlich?!? :confused:
"SpySheriff Commercial KeyLogger" macht mir richtig Sorgen? Was ist das und warum findet es kein anderer Scanner? Ich kann das nicht entfernen, weil ich nicht weiss wie und wo. Soll ich einfach mal die entsprechenden Registryeinträge suchen und löschen? :teufel1:
"bearshare Spyware/Adware" - Kommentar siehe "SpySheriff Commercial KeyLogger"
"zipitpro Spyware/Adware" - Kommentar siehe "SpySheriff Commercial KeyLogger"
"mIRC" ist mir bekannt und ich denke, ich weiss mit den verborgenen Risiken dieser Software umzugehen. ;)
"C:\WINDOWS\system32\drivers\etc\spsexec.exe" - Ja moi, was ist denn damit nun wieder? Ich habe keine Ahnung .... :balla:
----------------------
Die Logfiles von AntiVirenKit 2005 (per BartPE c't Edt.), Ad-Aware und Spybot (beide im Abgesichertem Modus) hänge ich noch als .txt mit an.
