Trojaner-Board - Trojaner downloader

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojaner downloader (https://www.trojaner-board.de/38155-trojaner-downloader.html)

Trojaner downloader

Hallo bin neu hier und habe wahrscheinlich ein Trojaner downloader Problem.
Bei jedem neustart macht Antivir Meldung das sich im Temp-Verzeichnis Dinge wie TR/SPY.VBStat.B.1, TR/Undo.Gen, TR/Agent.123952 befinden.
Natürlich lösche ich sie immer gleich mit Antivir.
Auch Poppen immer wieder Internet Explorer Fenster auf obwohl ich Firefox verwende.

Hab auch schon UndoFix probiert der findet was, löscht und startet neu.
Nach dem Neustart kommt aber früher oder später wieder die selbe Antivir meldung.
Bevor die Antivir meldug kommt findet UndoFix nichts dannach schon.

Hier mein HiJackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:10:32, on 19.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\csrss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\system32\svchost.exe
J:\Programme\Windows Defender\MsMpEng.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\spoolsv.exe
J:\Programme\AntiVir PersonalEdition Classic\sched.exe
J:\Programme\AntiVir PersonalEdition Classic\avguard.exe
J:\WINDOWS\system32\nvsvc32.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\alg.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\Explorer.EXE
J:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
J:\Programme\Microsoft IntelliType Pro\itype.exe
J:\Programme\Windows Defender\MSASCui.exe
J:\Programme\Microsoft IntelliPoint\ipoint.exe
J:\WINDOWS\system32\ctfmon.exe
J:\Programme\Shutdown On Lan\sol.exe
J:\Programme\Mozilla Firefox\firefox.exe
J:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
J:\WINDOWS\system32\wbem\wmiprvse.exe
J:\Dokumente und Einstellungen\Optimuz\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "J:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] J:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [itype] "J:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Windows Defender] "J:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [IntelliPoint] "J:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE J:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "J:\Programme\RivaTuner v2.0 RC 16\RivaTuner.exe" /S
O4 - HKCU\..\Run: [ctfmon.exe] J:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ShutdownOnLAN.LNK = J:\Programme\Shutdown On Lan\sol.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://J:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - J:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - J:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - J:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158511945955
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175254985359
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - J:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - J:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - J:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - J:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Data Management Job Dispatch - Autodesk Inc - J:\Programme\Autodesk\Data Management Server 5\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
O23 - Service: Autodesk EDM Server - - J:\Programme\Autodesk\Data Management Server 5\Server\Webserver\Connectivity.EDMWS.Server.exe
O23 - Service: Autodesk Licensing Service - Autodesk - J:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - J:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MSSQL$AUTODESKVAULT - Unknown owner - J:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe" -sAUTODESKVAULT (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ServiceLayer - Nokia. - J:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SQLAgent$AUTODESKVAULT - Unknown owner - J:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlagent.EXE" -i AUTODESKVAULT (file missing)
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - J:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Hab die Log File auch schon bei "HiJackthis.de" auswerten lassen.
Dabei bin ich auf die Unbekannte Datei windows/system32/fcccdcc.dll gestoßen die sich selbst mit Killbox nicht löschen lässt.

Jetzt weiß ich nicht mehr weiter.
Es wäre nett wenn sich jemand meiner annehmen könnte.

Danke im Voraus.

Trojaner downloader

Was ich noch vergessen hatte HiJackthis erkennt die besagte fcccdcc.dll nur nach dem ich UndoFix angewendet habe und die Antivir meldung noch nicht gekommen ist.
Dabei befindet sich die Datei nach wie vor im system32 Ordner.

Zitat:

UndoFix

ich weiss das ich fix bin aber du meintest doch VundoFix oder? :) halli hallo übrigens.

Zitat:

windows/system32/fcccdcc.dll

also ich ginde diese Datei im HJT log nicht aber lasse sie doch mal auf Virustotal auswerten..

Dann mach mal folgendes:

-Deaktiviere die Systemwiederherstellung auf allen Laufwerken
-Sauge dir cCleaner und lasse das Prog arbeiten.

-Konfiguriere AntiVir aggressiv.
-Update AV
-wechsel in den abgesicherten Modus (F8 beim Hochfahren)
-Mache mit Anti Vir einen kompletten Systemscan

-Starte normal und lasse cCleaner wieder arbeiten.

Poste dann ob du Probleme hast.

mfg

Undoreal

Also AV hab ich heute schon Aktuallisiert und im Abgesichertengescannt.
Findet aber nichts.
cCleaner ist auch schon gelaufen.
Systemwiederherstellung verwende ich schon seit langem nicht mehr.

Virus Total sagt zur fcccdcc.dll:

Antivirus Version Update Result
AhnLab-V3 2007.4.19.1 04.19.2007 no virus found
AntiVir 7.3.1.53 04.19.2007 ADSPY/Virtumonde.IG.36
Authentium 4.93.8 04.18.2007 no virus found
Avast 4.7.981.0 04.19.2007 no virus found
AVG 7.5.0.464 04.19.2007 Adware Generic2.FE
BitDefender 7.2 04.19.2007 MemScan:Trojan.Vundo.DLM
CAT-QuickHeal 9.00 04.19.2007 Adware.Virtumonde.gen
ClamAV devel-20070416 04.19.2007 Trojan.Packed-7
DrWeb 4.33 04.19.2007 Trojan.Virtumod
eSafe 7.0.15.0 04.19.2007 no virus found
eTrust-Vet 30.7.3579 04.19.2007 Win32/Chisyne!generic
Ewido 4.0 04.19.2007 Adware.Virtumonde
FileAdvisor 1 04.19.2007 no virus found
Fortinet 2.85.0.0 04.19.2007 Adware/VirtuMonde
F-Prot 4.3.2.48 04.18.2007 no virus found
F-Secure 6.70.13030.0 04.19.2007 Vundo.gen17
Ikarus T3.1.1.5 04.19.2007 not-a-virus:AdWare.Win32.Virtumonde.bq
Kaspersky 4.0.2.24 04.19.2007 not-a-virus:AdWare.Win32.Virtumonde.ig
McAfee 5013 04.19.2007 no virus found
Microsoft 1.2405 04.19.2007 no virus found
NOD32v2 2205 04.19.2007 no virus found
Norman 5.80.02 04.19.2007 Vundo.gen17
Panda 9.0.0.4 04.19.2007 Suspicious file
Prevx1 V2 04.19.2007 Polynomial.Code.Exploit
Sophos 4.16.0 04.17.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.19.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.19.2007 no virus found
VirusBuster 4.3.7:9 04.19.2007 Adware.Vundo.Gen!Pac.8
Webwasher-Gateway 6.0.1 04.19.2007 Ad-Spyware.Virtumonde.IG.36

Aditional Information
File size: 26694 bytes
MD5: a7653da7a00bba70010ec2ac5fd70ec9
SHA1: d2a5ddbfd7c85336bd48ca47702e9e3c9b553287
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=915889814349

Übrigens hast du recht das Prog heißt VundoFix.
Hab mal ein Bild angefügt was es nach dem Scan aus Spuckt.

Führe bitte das aus: Vundofix

mfg

Wie gesagt habe VundoFix schon mehr mals aus gefürt, gerade eben wieder.

Nach dem Neustart zeigt mir HiJackThis dann das an:

Logfile of HijackThis v1.99.1
Scan saved at 22:33:36, on 19.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\Programme\Windows Defender\MsMpEng.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\system32\spoolsv.exe
J:\Programme\AntiVir PersonalEdition Classic\sched.exe
J:\Programme\AntiVir PersonalEdition Classic\avguard.exe
J:\WINDOWS\system32\nvsvc32.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\Explorer.EXE
J:\WINDOWS\system32\wuauclt.exe
J:\WINDOWS\System32\svchost.exe
J:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
J:\Programme\Microsoft IntelliType Pro\itype.exe
J:\Programme\Windows Defender\MSASCui.exe
J:\Programme\Microsoft IntelliPoint\ipoint.exe
J:\WINDOWS\system32\ctfmon.exe
J:\Programme\Shutdown On Lan\sol.exe
J:\Dokumente und Einstellungen\Optimuz\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - J:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - J:\Programme\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - J:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {9FE7CAAE-652B-48AE-833D-39B3D4AC9513} - J:\WINDOWS\system32\fcccdcc.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BF7A872B-EED0-401D-AF97-DB5CDA8B3E3D} - J:\WINDOWS\system32\ssqrr.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "J:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] J:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [itype] "J:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Windows Defender] "J:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [IntelliPoint] "J:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE J:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "J:\Programme\RivaTuner v2.0 RC 16\RivaTuner.exe" /S
O4 - HKCU\..\Run: [ctfmon.exe] J:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ShutdownOnLAN.LNK = J:\Programme\Shutdown On Lan\sol.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://J:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - J:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - J:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - J:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158511945955
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175254985359
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - J:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: fcccdcc - J:\WINDOWS\SYSTEM32\fcccdcc.dll
O20 - Winlogon Notify: WgaLogon - J:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - J:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - J:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - J:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Data Management Job Dispatch - Autodesk Inc - J:\Programme\Autodesk\Data Management Server 5\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
O23 - Service: Autodesk EDM Server - - J:\Programme\Autodesk\Data Management Server 5\Server\Webserver\Connectivity.EDMWS.Server.exe
O23 - Service: Autodesk Licensing Service - Autodesk - J:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - J:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MSSQL$AUTODESKVAULT - Unknown owner - J:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe" -sAUTODESKVAULT (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ServiceLayer - Nokia. - J:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SQLAgent$AUTODESKVAULT - Unknown owner - J:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlagent.EXE" -i AUTODESKVAULT (file missing)
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - J:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Aber wie schon vorhin nur bis AV wieder die Virusmeldungen Ausspuckt,
dannanch ist von der fcccdcc.dll nichts mehr zu sehen, und es sieht so aus:

Logfile of HijackThis v1.99.1
Scan saved at 22:42:06, on 19.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\csrss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\system32\svchost.exe
J:\Programme\Windows Defender\MsMpEng.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\spoolsv.exe
J:\Programme\AntiVir PersonalEdition Classic\sched.exe
J:\Programme\AntiVir PersonalEdition Classic\avguard.exe
J:\WINDOWS\system32\nvsvc32.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\Explorer.EXE
J:\WINDOWS\System32\alg.exe
J:\WINDOWS\System32\svchost.exe
J:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
J:\Programme\Microsoft IntelliType Pro\itype.exe
J:\Programme\Windows Defender\MSASCui.exe
J:\Programme\Microsoft IntelliPoint\ipoint.exe
J:\WINDOWS\system32\ctfmon.exe
J:\Programme\Shutdown On Lan\sol.exe
J:\Programme\Mozilla Firefox\firefox.exe
J:\Dokumente und Einstellungen\Optimuz\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "J:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] J:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [itype] "J:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Windows Defender] "J:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [IntelliPoint] "J:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE J:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "J:\Programme\RivaTuner v2.0 RC 16\RivaTuner.exe" /S
O4 - HKCU\..\Run: [ctfmon.exe] J:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ShutdownOnLAN.LNK = J:\Programme\Shutdown On Lan\sol.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://J:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - J:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - J:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - J:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158511945955
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175254985359
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - J:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - J:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - J:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - J:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Data Management Job Dispatch - Autodesk Inc - J:\Programme\Autodesk\Data Management Server 5\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
O23 - Service: Autodesk EDM Server - - J:\Programme\Autodesk\Data Management Server 5\Server\Webserver\Connectivity.EDMWS.Server.exe
O23 - Service: Autodesk Licensing Service - Autodesk - J:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - J:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MSSQL$AUTODESKVAULT - Unknown owner - J:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe" -sAUTODESKVAULT (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ServiceLayer - Nokia. - J:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SQLAgent$AUTODESKVAULT - Unknown owner - J:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlagent.EXE" -i AUTODESKVAULT (file missing)
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - J:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Hab auch schon versucht die fcccdcc.dll per Bootdisk zu löschen, ohne Erfolg.

Gut, dann anderes. Mache einen eScan. Anleitung ist in meiner Signatur verlinkt.

mfg

Undoreal

Sorry das ich mich erst jetzt melde aber ich hatte die letzten Tage viel um die Ohren.

Hab einen escan, nach deiner Anleitung gemacht. Das komische ist nur das sich escan, nach Starten des Scanvorgangs, jedes mal nach ca. 10 Sekunden von selbst schließt.

Hier das Log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sat Apr 21 11:47:11 2007 => Version 9.1.9
Sat Apr 21 11:30:48 2007 => Virus-Datenbank Datum: 4/20/2007
Sat Apr 21 11:33:06 2007 => Virus-Datenbank Datum: 4/20/2007
Sat Apr 21 11:33:18 2007 => Virus-Datenbank Datum: 4/20/2007
Sat Apr 21 11:46:19 2007 => Virus-Datenbank Datum: 4/20/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Sat Apr 21 11:47:24 2007 => Datei J:\WINDOWS\system32\eavqoaam.dll infiziert von "Trojan.Win32.BHO.g" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sat Apr 21 11:33:03 2007 => File J:\WINDOWS\system32\fcccdcc.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Apr 21 11:36:28 2007 => File J:\WINDOWS\system32\fcccdcc.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Apr 21 11:36:38 2007 => File J:\WINDOWS\system32\fcccdcc.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Apr 21 11:47:15 2007 => File J:\WINDOWS\system32\fcccdcc.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Apr 21 11:47:24 2007 => File J:\WINDOWS\system32\fcccdcc.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 21 11:33:06 2007 => Gefundene Viren: 1
Sat Apr 21 11:33:06 2007 => Anzahl Fehler: 0
Sat Apr 21 11:33:06 2007 => Dauer des Scans bisher: 00:00:10
Sat Apr 21 11:33:06 2007 => Gescannte Dateien: 89
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 21 11:32:56 2007 => Specherüberprüfung: Aktiviert
Sat Apr 21 11:36:25 2007 => Specherüberprüfung: Aktiviert
Sat Apr 21 11:47:11 2007 => Specherüberprüfung: Aktiviert
Sat Apr 21 11:32:56 2007 => Registry Überprüfung: Aktiviert
Sat Apr 21 11:36:25 2007 => Registry Überprüfung: Aktiviert
Sat Apr 21 11:47:11 2007 => Registry Überprüfung: Aktiviert
Sat Apr 21 11:32:56 2007 => System-Ordner Überprüfung: Aktiviert
Sat Apr 21 11:36:25 2007 => System-Ordner Überprüfung: Aktiviert
Sat Apr 21 11:47:11 2007 => System-Ordner Überprüfung: Aktiviert
Sat Apr 21 11:32:56 2007 => Überprüfung der Systembereiche: Deaktiviert
Sat Apr 21 11:36:25 2007 => Überprüfung der Systembereiche: Deaktiviert
Sat Apr 21 11:47:11 2007 => Überprüfung der Systembereiche: Deaktiviert
Sat Apr 21 11:32:56 2007 => Überprüfung der Dienste: Aktiviert
Sat Apr 21 11:36:25 2007 => Überprüfung der Dienste: Aktiviert
Sat Apr 21 11:47:11 2007 => Überprüfung der Dienste: Aktiviert
Sat Apr 21 11:32:56 2007 => Überprüfung der Festplatten: Deaktiviert
Sat Apr 21 11:36:25 2007 => Überprüfung der Festplatten: Deaktiviert
Sat Apr 21 11:47:11 2007 => Überprüfung der Festplatten: Deaktiviert
Sat Apr 21 11:32:56 2007 => Überprüfung aller Festplatten :Aktiviert
Sat Apr 21 11:36:25 2007 => Überprüfung aller Festplatten :Aktiviert
Sat Apr 21 11:47:11 2007 => Überprüfung aller Festplatten :Aktiviert

Der der den Dowloader geschrieben hat hats echt drauf...!

Was ich noch hinzufügen wollte,
Habe auch das gleich Problem was einige andere hier vermehrt berichten.

PC wird langsamer, 100 Prozent Auslastung, langsamer Start, langsames Laden von Programmen.

Außerdem, wie gesagt, Popups unter IE und Firefox.

Hallo. Folge bitte dieser Anleitung.
Dann machst du noch einen eScan, diesmal lässt du allerdings den Haken bei "Scan only" weg und wählst dann die Scan and Clean Variante..

Dann solltest du frei sein..

Gruß

Undoreal

Zitat:

Zitat von undoreal (Beitrag 264242)

Dann machst du noch einen eScan, diesmal lässt du allerdings den Haken bei "Scan only" weg und wählst dann die Scan and Clean Variante..

Und das Ergebnis der find.bat hier posten. Bitte darauf achten, dass es sich dabei um die aktuelle Version der find.bat handelt. Die neuste Version der Anleitung mit Links zu den aktuellen Dateien findest Du hier.

Gruß

Marc

Hat auch nicht geklappt escan schließt sich jedesmal nach 10 Sekunden,

Hab aber einen Trick angewandt und lasse escan gerade über Sandboxie laufen.
Nur geht das leider nicht im Abgesicherten Modus.

Finden tut escan aber so einiges, und löschen funktioniert auch.

Zitat:

Zitat von Optimusreim (Beitrag 264277)

Nur geht das leider nicht im Abgesicherten Modus.

Hattest Du es vorher auch im abgesicherten Modus probiert?

Zitat:

Finden tut escan aber so einiges, und löschen funktioniert auch.

Ergebnis der find.bat bitte posten.

Natürlich habe ich es schon vorher im abgesicherten Modus Probiert,
wie gesagt escan hat sich jedesmal geschlossen.

Bei Sandboxie ist das Problem das es im abgesicherten Modus den Treiber nicht initialisieren kann.

Der einzige weg escan zum laufen zu bringen war über Sandboxie im normalen Modus.

Natürlich werde ich dannach noch einmal versuchen escan ohne Sandboxie im abgesicherten Modus zu fahren.

Soll die scan Fehler im escan Log auch Posten.

Dadurch das ich über Sandboxie gescannt habe belaufen die sich nähmlich auf über 740.
http://www.trojaner-board.de/71542-a...sandboxie.html

Ich werde wenn alles vorbei ist sowie so noch mal ohne Sandboxie scannen.
Dann werden die Fehler sicherlich auch weniger.

Kann man eigentlich escan sagen das es bestimmte Ordner nicht scannen soll?

Bei nächsten mal würde ich den Sandbox Ordner gerne ausblenden, da escan sonst alles doppelt scannt.

Dauert halt und ich denke das das auch eine Fehlerursache ist.

So hier habt ihr mal drei logs von escan die unter Sandboxie erstellt worden.

allerdings hab ich nur den Windowsordner anstatt den gesamten Festplatten scannen lassen. Alle anderen Einstellungen hab ich aber befolgt.

Hab schon einen ganzen scan inklusive Festplatten gemacht, dabei wurde aber kein logfile gefunden. Aber der Scan hatte das gleiche Ergebniss wie die anderen zwei.

Escan funktioniert nach wie vor nur mit Sandboxie.

Ausserdem hab ich nochmal ein Hijackthis und ein Silentrunners Log erstellt.

So hier jetzt die Logs von Hijackthis und Silentrunners

Habe bis auf jetzt gerade eben die Internetverbindung deaktiviert und arbeite stattdessen mit meinem Laptop.

Ich denke das ist sicherer.

So hier nochmal ein Log aber diesmal von SmitfraudFix.
Hab es auch über Sandboxie laufen lassen da es ohne nichts gefunden hat.
Mit aber schon.

Wie gesagt das Problem ist nur das man unter Sandboxie nur scannen kann.

Hier hab ihr das Protokoll von RootkitRevealer ohne Sandboxie.

Warum meldet sich eigentlich niemand?
Ist meine Lage aussichtslos?

Soll ich alles platt machen?

Naja, egal lasst euch nur Zeit.

Schwer einzuschätzen was da bei Dir los ist. Ich denke das sinnvollste wäre, die Platte als Slave in einen zweiten Rechner zu hängen und dort zu scannen.

Den Logs die Du erstellt hast möchte ich nicht trauen (hat nichts mit Dir zu tun, sondern mit Deinem Rechner).

Gruß

Marc

Ich hab noch nen IDE auf USB Kabel, werde die Platte heut Nachmittag an meinen Laptop hängen.

Muss ich dabei irgendwas beachten?
Nicht das mein Laptop auch noch Krank wird.

Soll ich im abgesicherten Modus scannen oder normal?

Zitat:

Zitat von Optimusreim (Beitrag 264647)

Muss ich dabei irgendwas beachten?
Nicht das mein Laptop auch noch Krank wird.
Soll ich im abgesicherten Modus scannen oder normal?

Abgesicherten Modus benötigen wir nicht, da Du die Platte als Slave/2. Laufwerk einhängst und somit auch keine Programme/Dienste/sonstwas von dieser Platte gestartet werden.
Du könntest auf Deinem Laptop zum Scannen einen Account mit eingeschränkten Rechten verwenden. Nur so zur Sicherheit.

Gruß

Marc

Welche Rechte benötige ich zu Scannen?
Was macht Sinn?

Zitat:

Zitat von Optimusreim (Beitrag 264712)

Welche Rechte benötige ich zu Scannen?
Was macht Sinn?

Für die Systemordner sollten eingeschränkte Rechte reichen. Falls nicht wird Dir das wohl recht zügig mitgeteilt werden ;)

Sehr witzig:aplaus:

lasse den Scan gerade laufen, nur lieder in englisch, hoffe das das nicht so schlim ist.

Also escan hat nichts gefunden.

Hier der Log:

Hallo. :)

Also das eScan-Log sieht meiner Ansicht nach gut aus :), und das von HijackThis ebenfalls!

Die Virtumonde Datei -> J:\WINDOWS\system32\fcccdcc.dll scheint auch gelöscht zu sein, ebenso wie diese -> J:\WINDOWS\system32\eavqoaam.dll

Führe bitte nochmal einen Scan mit mit Blacklight durch, irgendwo habe ich was gesehen mit Rootkit. ;)

Hier die Anleitung:

F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Gruß
Sunny

Also ich glaube nicht daran das ich Clean bin!
Ich glaube viel mehr das mein Laptop jetzt auch verseucht ist.
Und das trotz eingeschränkter Benutzer rechte.

Ich habe jetzt auch bei ihm das Problem das sich escan immer schließt.

Hab mal nen Scan mit Sandboxie und escan durchgeführt.
Ausserdem hier noch das Hijackthis log (unauffällig).
Beides vom Laptop.

Als so der der das Programmiert hat hat sich echt was dabei gedacht.

Hier das Log von Blacklight, genau wie auf meinem anderen System nichts zu sehen:

04/24/07 21:55:37 [Info]: BlackLight Engine 1.0.61 initialized
04/24/07 21:55:37 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/24/07 21:55:37 [Note]: 7019 4
04/24/07 21:55:37 [Note]: 7005 0
04/24/07 21:55:41 [Note]: 7006 0
04/24/07 21:55:41 [Note]: 7011 228
04/24/07 21:55:41 [Note]: 7026 0
04/24/07 21:55:41 [Note]: 7026 0
04/24/07 21:55:46 [Note]: FSRAW library version 1.7.1021
04/24/07 22:04:14 [Note]: 2000 1012
04/24/07 22:05:11 [Note]: 7007 0

Wie zuverlässig sind die von mir bisher genutzten Programme eigentlich?

Irgendwas ist doch da nicht ganz Koscher!

Ich glaube ich werde mir am langen WE Zeit nehmen und beide Systeme neu aufsetzen.
Das ist sicherer.

Hab jetzt mal Netstat gecheckt, hätte ich früher tun sollen.

Ich glaube jetzt ist es engültig gelaufen.

Muss ich eigentlich etwas beachten wenn ich ein Paar Daten vom alten System für das neue auf einer externen Festplatte sichern will?

Ich hab mir gedacht ich starte mit Knoppix und sichere dann die Daten.

Nein, da brauchst du eigentlich nichts zu beachten!

Alles sichern, Windows neu installieren (sofern du das vor hast! ;) ) und auf das neue System aufspielen. FERTIG!

Sunny

Wenn es so schnell gehen würde...:dummguck:

Ich muss schließlich den Laptop auch neu aufsetzen.

Aber ich hab ja Erfahrung:D

Reichen mir eigentlich Antivir, ein Aktuelles System, der Windows Defender, die Windows Firewall, das Beenden unnötiger Dienste, und Sandboxie als Sicherheit?

Brain 1.0 nicht zu vergessen.
Hab ja hier ein update von 0.8 gemacht.:D