Trojaner-Board - Firewall - Windows Update - Worm

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Firewall - Windows Update - Worm - Virus? (https://www.trojaner-board.de/45016-firewall-windows-update-worm-virus.html)

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:25:24, on 29.10.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\Programme\Spyware Doctor\svcntaux.exe

C:\Programme\Spyware Doctor\swdsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Spyware Doctor\SDTrayApp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\ehome\mcrdsvc.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\CNYHKey.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\T-DSL SpeedManager\SpeedMgr.exe

C:\Programme\Analog Devices\Core\smax4pnp.exe

C:\Programme\Analog Devices\SoundMAX\Smax4.exe

C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\System32\alg.exe

C:\Programme\T-DSL SpeedManager\TSMSvc.exe

C:\Programme\internet explorer\iexplore.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\Programme\HijackThis\HijackThis.exe

C:\WINDOWS\system32\SearchFilterHost.exe

C:\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t-online.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Programme\Analog Devices\Core\smax4pnp.exe"

O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} - http://driveragent.com/files/driveragent.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{67E7074F-5524-4F4B-AF6C-5CB9B0C887B2}: NameServer = 193.158.124.58

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
 

--

End of file - 7225 bytes

Hallo Chris, hier das neue Ergenbis.

Herzlichen Gruß

Marliese07

Code:

Silent Runners.vbs", revision 52, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"" [null data]

"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"ehTray" = "C:\WINDOWS\ehome\ehtray.exe" [MS]

"ledpointer" = "CNYHKey.exe" ["Chicony"]

"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

"T-DSL SpeedMgr" = ""C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"" ["T-Systems Business Services"]

"SMSERIAL" = "sm56hlpr.exe" ["Motorola Inc."]

"SoundMAXPnP" = ""C:\Programme\Analog Devices\Core\smax4pnp.exe"" ["Analog Devices, Inc."]

"SoundMAX" = ""C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray" ["Analog Devices, Inc."]

"SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"]

"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]

"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Adobe PDF Reader"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "SSVHelper Class"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"

  -> {HKLM...CLSID} = "History Band"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]

"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"

  -> {HKLM...CLSID} = "SimpleShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [empty string]

"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"

  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"

                   \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"

  -> {HKLM...CLSID} = "TuneUp Theme Extension"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Outlook File Icon Extension"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL" [MS]

"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"

  -> {HKLM...CLSID} = "Microsoft Office Outlook"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\msohevi.dll" [MS]

"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"

  -> {HKLM...CLSID} = "Microsoft Office Metadata Handler"

                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]

"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"

  -> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"

                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]

"{97090E2F-3062-4459-855B-014F0D3CDBB1}" = "Windows Search Deskbar"

  -> {HKCU...CLSID} = "Windows-Such-Deskbar"

                   \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\deskbar.dll" [MS]

  -> {HKLM...CLSID} = "Windows Search Deskbar"

                   \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\deskbar.dll" [MS]

"{13E7F612-F261-4391-BEA2-39DF4F3FA311}" = "Windows Desktop Search"

  -> {HKLM...CLSID} = "Windows Desktop Search"

                   \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\msnlExt.dll" [MS]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"

  -> {HKLM...CLSID} = "iTunes"

                   \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"

                   \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

<<!>> "{56F9679E-7826-4C84-81F3-532071A8BCC5}" = (no title provided)

  -> {HKLM...CLSID} = "Windows Desktop Search Namespace Manager"

                   \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [MS]
 

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

  -> {HKLM...CLSID} = "WPDShServiceObj Class"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
 

HKLM\System\CurrentControlSet\Control\Session Manager\

<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]
 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
 

HKLM\Software\Classes\PROTOCOLS\Filter\

<<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}"

  -> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter"

                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS]
 

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
 

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"

  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"

                   \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Hallo Chris, hier das Ergebnis von Silent Runners
Herzlichen Gruß
Marliese07

Hi,

riecht schwer nach Fehlarlarm...
Ich finde nichts, da wo was sein sollte...
(Oder es ist was brandneues... was ich nicht glaube, wenn es sonst keine Beeinträchtigungen gibt...).

Wartet den Scan von Ewido ab, und stelle Antivir wie folgt ein:
Antivir und die Heuristik, die aggressive Variante - Virus Hilfe
Führe einen Systemscan durch und poste das Ergebnis!

Chris

Ps.: Wie gut bist Du mit Regedit?
Kannst Du zu diesem Ominösen Key mal navigieren und dann den Zweig exportieren (Mit der Maus rechtsklick auf den Key in der linken Seite, Exportieren, Name eingeben, speichern und dann posten)?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Control Panel\load

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\don't load]
"speech.cpl"=""
"infocardcpl.cpl"=""

Hallo Chris, der Schlüssel heißt bei mir don't load. Load ist nicht vorhanden.
Ewido ist noch am scannen.
Herzlichen Gruß

Marliese07

Hi,

der ist OK....
Seltsam....

Chris

Hallo Chris,
ewido ist fertig.
Scan finished 0 infections found.

Nun werde ich den deepscan mit Antivir durchführen.

Herzlichen Gruß

Marliese07

Hallo Chris,
Antivir ist schwer am schimpfen, habe die Meldungen in die Quarantäne verschoben, ist das OK?: confused:

Herzlichen Gruß

Marliese07

Hi,

ja, unbedingt NICHT löschen lassen, da mit diesen Einstellungen mit der Heuristik gearbeitet wird, und die erkennt des öfteren etwas, was eigentlich zu einem Programm gehört (false/Positiv); Zum Beispielt wird Sandboxie als Trojaner erkannt... oder auch Windowsblind....

Ich habe Antivir nicht auf der Heuristikstufe "hoch" laufen, sondern auf "mittel", da ist dann ganz gut... Aber wir wollen ja noch mal alles prüfen, daher auf hoch stehen lassen...

Poste dann das Log....

Chris

Code:



AntiVir PersonalEdition Classic

Erstellungsdatum der Reportdatei: Montag, 29. Oktober 2007  10:56
 

Es wird nach 906074 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir PersonalEdition Classic

Seriennummer:     0000149996-ADJIE-0001

Plattform:        Windows XP

Windowsversion:   (Service Pack 2)  [5.1.2600]

Benutzername:     ***

Computername:     ***-8F0CB1C81E
 

Versionsinformationen:

BUILD.DAT    : 270           15603 Bytes  19.09.2007 13:29:00

AVSCAN.EXE   : 7.0.6.1      290856 Bytes  06.09.2007 17:29:18

AVSCAN.DLL   : 7.0.6.0       57384 Bytes  06.09.2007 17:29:17

LUKE.DLL     : 7.0.5.3      147496 Bytes  06.09.2007 17:29:22

LUKERES.DLL  : 7.0.6.0       10792 Bytes  06.09.2007 17:29:22

ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18.07.2007 23:44:41

ANTIVIR1.VDF : 7.0.0.0     1640448 Bytes  13.09.2007 06:54:23

ANTIVIR2.VDF : 7.0.0.140    940544 Bytes  26.10.2007 08:27:04

ANTIVIR3.VDF : 7.0.0.145     29696 Bytes  29.10.2007 09:26:07

AVEWIN32.DLL : 7.6.0.30    3056128 Bytes  27.10.2007 08:27:04

AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26.02.2007 09:36:23

AVPREF.DLL   : 7.0.2.2       25640 Bytes  06.09.2007 17:29:16

AVREP.DLL    : 7.0.0.1      155688 Bytes  16.04.2007 12:16:24

AVPACK32.DLL : 7.3.0.15     360488 Bytes  22.08.2007 19:18:28

AVREG.DLL    : 7.0.1.6       30760 Bytes  06.09.2007 17:29:17

AVARKT.DLL   : 1.0.0.20     278568 Bytes  06.09.2007 17:29:16

AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  06.09.2007 17:29:16

NETNT.DLL    : 7.0.0.0        7720 Bytes  08.03.2007 10:09:03

RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  06.09.2007 17:29:12

RCTEXT.DLL   : 7.0.62.0      90152 Bytes  06.09.2007 17:29:12

SQLITE3.DLL  : 3.3.17.1     339968 Bytes  06.09.2007 17:29:22
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Lokale Laufwerke

Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldrives.avp

Protokollierung..................: niedrig

Primäre Aktion...................: interaktiv

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: E:, 

Durchsuche Speicher..............: ein

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: ein

Datei Suchmodus..................: Alle Dateien

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: aus

Archiv Smart Extensions..........: ein

Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 

Makrovirenheuristik..............: ein

Dateiheuristik...................: hoch

Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
 

Beginn des Suchlaufs: Montag, 29. Oktober 2007  10:56
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Es wurden '44416' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'HijackThis.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'TSMSvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ZDWlan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SMax4.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SpeedMgr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'CNYHKey.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'searchindexer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SDTrayApp.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'swdsvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svcntaux.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '43' Prozesse mit '43' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

      [HINWEIS]   Es wurde kein Virus gefunden!

Masterbootsektor HD1

      [HINWEIS]   Es wurde kein Virus gefunden!

      [WARNUNG]   Der Bootsektor konnte nicht gelesen werden!

      [WARNUNG]   Fehlercode: 0x0015

Masterbootsektor HD2

      [HINWEIS]   Es wurde kein Virus gefunden!

      [WARNUNG]   Der Bootsektor konnte nicht gelesen werden!

      [WARNUNG]   Fehlercode: 0x0015

Masterbootsektor HD3

      [HINWEIS]   Es wurde kein Virus gefunden!

      [WARNUNG]   Der Bootsektor konnte nicht gelesen werden!

      [WARNUNG]   Fehlercode: 0x0015

Masterbootsektor HD4

      [HINWEIS]   Es wurde kein Virus gefunden!

      [WARNUNG]   Der Bootsektor konnte nicht gelesen werden!

      [WARNUNG]   Fehlercode: 0x0015
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

      [HINWEIS]   Es wurde kein Virus gefunden!

Bootsektor 'J:\'

      [HINWEIS]   Es wurde kein Virus gefunden!

Bootsektor 'K:\'

      [HINWEIS]   Es wurde kein Virus gefunden!

Bootsektor 'L:\'

      [HINWEIS]   Es wurde kein Virus gefunden!

Bootsektor 'F:\'

      [HINWEIS]   Im  Laufwerk 'F:\' ist kein Datenträger eingelegt!

Bootsektor 'G:\'

      [HINWEIS]   Im  Laufwerk 'G:\' ist kein Datenträger eingelegt!

Bootsektor 'H:\'

      [HINWEIS]   Im  Laufwerk 'H:\' ist kein Datenträger eingelegt!

Bootsektor 'I:\'

      [HINWEIS]   Im  Laufwerk 'I:\' ist kein Datenträger eingelegt!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '29' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\' <Lokaler Datenträger>

C:\pagefile.sys

      [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\***\DoctorWeb\Quarantine\A0048185.exe

      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755af67.qua' verschoben!

C:\Dokumente und Einstellungen\***\DoctorWeb\Quarantine\A0048201.exe

      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755af74.qua' verschoben!

C:\Dokumente und Einstellungen\***\DoctorWeb\Quarantine\restart.exe

      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4798afb1.qua' verschoben!

C:\Dokumente und Einstellungen\***\DoctorWeb\Quarantine\RVAXO3

      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4766afaa.qua' verschoben!

C:\Dokumente und Einstellungen\***\DoctorWeb\Quarantine\RVAXO3_0

      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4766afae.qua' verschoben!

C:\Dokumente und Einstellungen\***\Eigene Dateien\Hijack Logs\avenger.zip

  [0] Archivtyp: ZIP

  --> avenger.exe

      [FUND]      Enthält Erkennungsmuster des SPR/Avenger-Programmes

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '478aafea.qua' verschoben!

C:\Dokumente und Einstellungen\***\Eigene Dateien\Hijack Logs\ComboFix.exe

  [0] Archivtyp: RAR SFX (self extracting)

  --> nircmd.exe

      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1

  --> nircmd.cfexe

      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4792afe7.qua' verschoben!

C:\Dokumente und Einstellungen\***\Eigene Dateien\Hijack Logs\SmitfraudFix.exe

  [0] Archivtyp: RAR SFX (self extracting)

  --> SmitfraudFix\Reboot.exe

      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes

  --> SmitfraudFix\restart.exe

      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '478eaff3.qua' verschoben!

C:\Dokumente und Einstellungen\***\Eigene Dateien\Hijack Logs\SmitfraudFix\Reboot.exe

      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4787afee.qua' verschoben!

C:\Programme\T-DSL SpeedManager\Pcandis5.sys

      [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\System Volume Information\_restore{6F00E85E-FEA8-4BB4-813E-478B4788F22B}\RP184\A0047330.exe

      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755b312.qua' verschoben!

C:\System Volume Information\_restore{6F00E85E-FEA8-4BB4-813E-478B4788F22B}\RP185\A0047860.exe

      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755b323.qua' verschoben!

C:\System Volume Information\_restore{6F00E85E-FEA8-4BB4-813E-478B4788F22B}\RP196\A0048731.exe

  [0] Archivtyp: RAR SFX (self extracting)

  --> RVAXO\RVAXO3

      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755b34f.qua' verschoben!

C:\System Volume Information\_restore{6F00E85E-FEA8-4BB4-813E-478B4788F22B}\RP202\A0049877.exe

      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755b36b.qua' verschoben!

C:\System Volume Information\_restore{6F00E85E-FEA8-4BB4-813E-478B4788F22B}\RP202\A0049878.exe

      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755b36e.qua' verschoben!

C:\System Volume Information\_restore{6F00E85E-FEA8-4BB4-813E-478B4788F22B}\RP202\A0049879.exe

      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755b370.qua' verschoben!

C:\WINDOWS\NirCmd.exe

      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4797b3ae.qua' verschoben!

Beginne mit der Suche in 'J:\' <Lokaler Datenträger Musik>

Beginne mit der Suche in 'K:\' <Lokaler Datenträger Bilder>

Beginne mit der Suche in 'L:\' <Lokaler Datenträger>

Beginne mit der Suche in 'F:\'

Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!

Das Gerät ist nicht bereit.
 

Beginne mit der Suche in 'G:\'

Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!

Das Gerät ist nicht bereit.
 

Beginne mit der Suche in 'H:\'

Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!

Das Gerät ist nicht bereit.
 

Beginne mit der Suche in 'I:\'

Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!

Das Gerät ist nicht bereit.
 

Beginne mit der Suche in 'D:\'

Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!

Das Gerät ist nicht bereit.
 

Beginne mit der Suche in 'E:\'

Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!

Das Gerät ist nicht bereit.
 
 
 

Ende des Suchlaufs: Montag, 29. Oktober 2007  11:52

Benötigte Zeit: 56:14 min
 

Der Suchlauf wurde vollständig durchgeführt.
 

  11747 Verzeichnisse wurden überprüft

 328919 Dateien wurden geprüft

     18 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

     16 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      2 Dateien konnten nicht durchsucht werden

 328901 Dateien ohne Befall

   8099 Archive wurden durchsucht

      2 Warnungen

      0 Hinweise

  44416 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

Hallo Chris, hier das Ergebnis von Antivir.

Herzlichen Gruß

Marliese07

Hi,

ist OK;
Das meiste kommt aus der Quarantäne von Dr. Web, unsere Tools (HJ, Combofix) und einiges aus der Systemwiederherstellung, und die müssen wir jetzt bereinigen:

Systemwiederherstellung löschen
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

So, danach noch die Backups der Tools löschen:
Backups von Avenger&Co (falls vorhanden) löschen:

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren
C:\RVAXO-results.log -->Papierkorb leeren

Das sollte es dann gewesen sein...

Chris

Hallo Chris,

habe alle Aufgaben erledigt.

Eine letzte Frage. Ich besitze mehrere externe Festplatten, diese hatte ich in den letzten Tagen nicht angeschlossen.
Auf den Platten sind Datensicherungen drauf, wie kann ich nun die Platten wieder benutzen, ohne das ich mir von dort wieder etwas einfange?
Gerne würde ich nochmals um deinen Rat bitten.
Herzlichen Dank!

Marliese07

Hallo,

wenn auf den externen Festplatten keine Programme drauf waren, sollte eigentlich nichts passieren, kritisch ist hierbei nur die "Autostart-Funktion" von Windows, die es gilt zu unterbinden...
Dabei gibt es mehrer Möglichkeiten, hier die einfachste:

Tweakui:
http://www.zdnet.de/downloads/prg/b/3/de0EB3-wc.html
Download und installieren, aufrufen:
MyComputer->AutoPlay->Types (alles raus (Autoply for CD and DVD/Removeable Drives)).
Sicherheitshalber kannst Du unter Drives alle Removeable Laufwerke
rausnehmen.
Dann Apply bzw. OK. Kannst dann mal testen, neuboot sollte nicht
benötigt werden...

Chris

Hallo Chris,

nochmals herzlichen Dank für die tolle Anregung.
Ja, es sind Programme auf den Festplatten, habe sogar ein Auto-Backup auf einer Platte.

*** Meinen besonderen Dank möchte ich diesem Board widmen. Schön, dass es euch gibt!

***Inbesondere dir Chris, danke ich für deine wertvolle Zeit, die ich in den letzten Tagen in Anspruch nehmen durfte.
Ebenso danke ich dir sehr für die kompetente Hilfe und den Erfolg, meinen PC von der Malware zu befreien!

Herzliche Grüße an alle Board-Betreuer!

Ihre Marliese07