Trojaner-Board - Virus, Trojaner o.Ä., bitte um Hilfe.

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Virus, Trojaner o.Ä., bitte um Hilfe. (https://www.trojaner-board.de/57971-virus-trojaner-o-ae-bitte-um-hilfe.html)

Virus, Trojaner o.Ä., bitte um Hilfe.

Hallo zusammen,

es wäre sehr nett, wenn mir jemand von Euch ein paar Tipps geben könnte.
Nachdem ich schon desöfteren Probleme mit Spyware auf meinem Labtop (mit Windows XP) hatte, die aber nie ganz lösen konnte bis irgendwann gar nichts mehr ging habe ich vor 2/3 Wochen eine neue Festplatte bekommen. Es lief dann erstmal alles wieder ok, bis ich vorhin eine Meldung von AntiVir bekam, dass etwas gefunden wurde. In Panik löschte ich die Datei sofort und lies CCleaner alles reinigen. Deswegen kann ich mich leider nicht mehr erinnern, was genau gefunden wurde.
Da die Reparatur extrem teuer war und ich Angst davor habe, dass dieser nervenaufreibende Stress jetzt wieder losgeht und ich auch finde, das alles wieder etwas langsamer läuft, obwohl die komplette Systemprüfung mit AntiVir nichts findet, wäre es sehr nett, wenn jemand von euch mal kurz schauen könnte.
Vielen Dank schonmal dafür!

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:47:51, on 16.08.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\Programme\Hp\HP Software Update\HPWuSchd2.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\HP\QuickPlay\QPService.exe

C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe

C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Veoh Networks\Veoh\VeohClient.exe

C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe

C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\Besitzer\Desktop\HiJackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://hp.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
 

--

End of file - 5371 bytes

Halli hallo colinzeal

:hallo:

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update der Viren-Signaturen deines Anti-Viren Programmes.
.
Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
Windows Update -> Der Frischmacher.
.
Vernünftige Ordneransicht -> Einstellungen.
.
Abschalten unnötiger Dienste:
XP_ dingens.org
Vista_ TechNET
.
Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
XP_ Firewall
Vista_ Firewall
.
Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

Häufig gestellte Fragen: XP | Vista

Zitat:

Nachdem ich schon desöfteren Probleme mit Spyware auf meinem Labtop (mit Windows XP) hatte, die aber nie ganz lösen konnte bis irgendwann gar nichts mehr ging habe ich vor 2/3 Wochen eine neue Festplatte bekommen.

:rolleyes: Hättest mal gleich zu uns kommen sollen... ;)
Installiere dir halt nicht so viel Müll! Dann hast du die Probleme auch nicht.

AntiVir erstellt log Dateien (Berichte) über alle Funde. Poste uns diesen bitte!

Danke für die rasche Antwort!

Ich habe jetzt alles gemacht. Ist das vorher gepostete Logfile denn soweit ok?

Hier ist der Bericht über den Fund gestern von AntiVir:

Code:

In der Datei 'C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0y9i45r0.default\Cache\9C7CAB69d01'

wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.

Ausgeführte Aktion: Datei löschen

Ansonsten scheint da nichts auffälliges dabei, außer, dass irgendwann einmal irgendein Update wohl nicht geklappt hat.

Was nun?

Die logs sind O.k. und auch der AntiVir Bericht sieht nicht zu Besorgnis erregend aus.

Konfiguriere AntiVir aggressiv und führe einen Vollscan durch. Poste das log.

Ich habe das jetzt unter den aggresiven Einstellungen gescannt. Soll ich die Einstellungen bei AntiVir so lassen?
Hier der Bericht des Scans:

Code:


 

Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Sonntag, 17. August 2008  23:29
 

Es wird nach 1559120 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir PersonalEdition Classic

Seriennummer:     0000149996-ADJIE-0001

Plattform:        Windows XP

Windowsversion:   (Service Pack 2)  [5.1.2600]

Boot Modus:       Normal gebootet

Benutzername:     SYSTEM

Computername:     PC701415791258
 

Versionsinformationen:

BUILD.DAT     : 8.1.00.295      16479 Bytes  09.04.2008 16:22:00

AVSCAN.EXE    : 8.1.2.12       311553 Bytes  18.03.2008 09:02:52

AVSCAN.DLL    : 8.1.1.0         57601 Bytes  30.01.2008 15:10:50

LUKE.DLL      : 8.1.2.9        151809 Bytes  28.02.2008 08:41:20

LUKERES.DLL   : 8.1.2.0         12545 Bytes  19.02.2008 08:39:40

ANTIVIR0.VDF  : 6.40.0.0     11030528 Bytes  18.07.2007 10:33:34

ANTIVIR1.VDF  : 7.0.5.1       8182784 Bytes  24.06.2008 17:36:00

ANTIVIR2.VDF  : 7.0.6.10      2587136 Bytes  14.08.2008 12:50:39

ANTIVIR3.VDF  : 7.0.6.24       103424 Bytes  16.08.2008 12:26:46

Engineversion : 8.1.1.19  

AEVDF.DLL     : 8.1.0.5        102772 Bytes  25.02.2008 09:58:21

AESCRIPT.DLL  : 8.1.0.63       311673 Bytes  07.08.2008 15:01:15

AESCN.DLL     : 8.1.0.23       119156 Bytes  28.07.2008 17:36:10

AERDL.DLL     : 8.1.0.20       418165 Bytes  28.07.2008 17:36:10

AEPACK.DLL    : 8.1.2.1        364917 Bytes  28.07.2008 17:36:09

AEOFFICE.DLL  : 8.1.0.21       192891 Bytes  28.07.2008 17:36:09

AEHEUR.DLL    : 8.1.0.47      1368437 Bytes  07.08.2008 15:01:15

AEHELP.DLL    : 8.1.0.15       115063 Bytes  28.07.2008 17:36:07

AEGEN.DLL     : 8.1.0.35       315764 Bytes  07.08.2008 15:01:14

AEEMU.DLL     : 8.1.0.7        430452 Bytes  03.08.2008 13:33:12

AECORE.DLL    : 8.1.1.8        172406 Bytes  03.08.2008 13:33:12

AEBB.DLL      : 8.1.0.1         53617 Bytes  28.07.2008 17:36:05

AVWINLL.DLL   : 1.0.0.7         14593 Bytes  23.01.2008 17:05:55

AVPREF.DLL    : 8.0.0.1         25857 Bytes  18.02.2008 10:29:37

AVREP.DLL     : 8.0.0.2         98344 Bytes  03.08.2008 13:33:11

AVREG.DLL     : 8.0.0.0         30977 Bytes  23.01.2008 17:05:52

AVARKT.DLL    : 1.0.0.23       307457 Bytes  12.02.2008 08:29:19

AVEVTLOG.DLL  : 8.0.0.11       114945 Bytes  28.02.2008 08:31:27

SQLITE3.DLL   : 3.3.17.1       339968 Bytes  22.01.2008 17:28:02

SMTPLIB.DLL   : 1.2.0.19        28929 Bytes  23.01.2008 17:06:34

NETNT.DLL     : 8.0.0.1          7937 Bytes  25.01.2008 12:05:07

RCIMAGE.DLL   : 8.0.0.35      2371841 Bytes  10.03.2008 14:34:46

RCTEXT.DLL    : 8.0.32.0        86273 Bytes  06.03.2008 11:58:49
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Vollständige Systemprüfung

Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp

Protokollierung..................: niedrig

Primäre Aktion...................: interaktiv

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: C:, D:, 

Durchsuche Speicher..............: ein

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: aus

Datei Suchmodus..................: Intelligente Dateiauswahl

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: aus

Archiv Smart Extensions..........: ein

Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 

Makrovirenheuristik..............: ein

Dateiheuristik...................: hoch

Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
 

Beginn des Suchlaufs: Sonntag, 17. August 2008  23:29
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'HpqToaster.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'hpqwmiex.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'hpqimzone.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'VeohClient.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'HP Wireless Assistant.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'eabservr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'QPService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '38' Prozesse mit '38' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

      [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

      [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'D:\'

      [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '33' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\hiberfil.sys

      [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\pagefile.sys

      [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Beginne mit der Suche in 'D:\' <HP_RECOVERY>
 
 

Ende des Suchlaufs: Sonntag, 17. August 2008  23:45

Benötigte Zeit: 15:47 min
 

Der Suchlauf wurde vollständig durchgeführt.
 

   4246 Verzeichnisse wurden überprüft

 211551 Dateien wurden geprüft

      0 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      2 Dateien konnten nicht durchsucht werden

 211551 Dateien ohne Befall

   6771 Archive wurden durchsucht

      2 Warnungen

      0 Hinweise

Zitat:

Soll ich die Einstellungen bei AntiVir so lassen?

Das musst du selber wissen. Es kommt relativ schnell zu falschen Alarmen aber wenn du in der Lage bist die zu erkennen dann solltest du die Einstellungen so belassen.

Zitat:

Zitat von undoreal (Beitrag 363482)

Das musst du selber wissen. Es kommt relativ schnell zu falschen Alarmen aber wenn du in der Lage bist die zu erkennen dann solltest du die Einstellungen so belassen.

OK. Aber ist denn dann jetzt was drauf auf meinem PC oder ist das Thema dann jetzt durch? Ich habe ja nach wie vor das Gefühl, dass seit dem Fund alles etwas langsamer geworden ist.

Dann mache noch Scans mit Anti-Malware und SuperAntiSpyware..