Trojaner-Board - Sicherheit nach Zurücksetzen des Systems

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Sicherheit nach Zurücksetzen des Systems (https://www.trojaner-board.de/42631-sicherheit-zuruecksetzen-systems.html)

Sicherheit nach Zurücksetzen des Systems

Hallo,
ich hatte mir gestern Malware eingefangen und zwar folgende Sachen:
C:\WINDOWS\duocore.dll
C:\WINDOWS\wmpenv.dll
C:\WINDOWS\wmpconf.dll
HijackThis hat diese festgestellt und ich habe mich dann im Internet über google schlau gemacht. Die letzteren beiden konnte ich schlußendlich auch entfernen, nur duocore.dll war irgendwie nicht beizukommen. Ich habe dann das System mit der Systemwiederherstellung auf einen Punkt zurückgesetzt, bevor ich mir diese Programme eingefangen habe, aber ich glaube mittlerweilen, daß das ein Fehler war.
Immerhin ist das Programm jetzt verschwunden, es wird weder der Prozess duocore.dll ausgeführt, noch findet HijackThis oder ein anderes Scanprogramm irgendwas Besonderes. Wenn ich das HijackThis file online auswerten lasse, dann ist damit alles in Ordnung. Auch online Portscans haben nichts Auffälliges ergeben.
Dennoch frage ich mich nun allerdings, wie sicher mein System jetzt ist, denn eigentlich müsste doch duocore.dll (jetzt vielleicht inaktiv) noch irgendwo im System vorhanden sein, oder?
Ich muß noch darauf hinweisen, daß ich auf diese Malware nur durch einen Verdacht gekommen bin, nicht weil mein System plötzlich verrückt gespielt hätte, das System lief völlig einwandfrei. Das heißt, ich habe jetzt auch keinen vorher-nacher Vergleich.
Auf lange Sicht möchte ich das System sowieso neu aufsetzen, ich komme aber erst übernächste Woche an meine Windows CD ran und deswegen wollte ich euch mal fragen, ob ich vielleicht noch irgendwas tun kann/muß bzw. ob ich bis übernächste Woche einigermaßen sicher bin!

Vielen herzlichen Dank schonmal für die Antworten, ich hoffe, ich habe keinen Doppelthread eröffnet, gefunden habe ich jedenfalls keinen! :)

Viele Grüße,
Sidewinder

http://www.world-of-smilies.com/smil...18_x_b_f_b.gif

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\duocore.dll
C:\WINDOWS\wmpenv.dll
C:\WINDOWS\wmpconf.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

Gruß :daumenhoc
Sunny

Hallo Sunny,
vielen Dank für deinen Beitrag und deine Hilfe, aber die Sachen habe ich alle schon gemacht. Die letzteren beiden Files konnte ich ja erfolgreich entfernen, nur beim duocore.dll war ich mir nicht sicher, seit ich den Computer zurückgesetzt habe, ist auch dieses File nicht mehr zu finden. Ich kann also gar keine Files mehr zu Virustotal hochladen, HijackThis zeigt auch nur noch an, daß alles sauber ist.
Ich bin so weit ja auch ganz zufrieden, ich wollte nur wissen, ob vielleicht die duocore.dll noch versteckt irgendwo im System sein und sich wieder reaktivieren kann. Bisher ist dies nicht passiert! :)

Viele Grüße,
Sidewinder

P.S. Habe jetzt nochmals ganz explizit nach diesen Files gesucht, nur um sicher zu gehen, sie sind definitiv weg bzw. zumindest nicht zu finden, bin extra nochmal exakt nach der "Suchbeschreibung" vorgegangen. Eigentlich müssten dann ja alles in Ordnung sein, oder?

Zitat:

Zitat von Sidewinder (Beitrag 289808)

Ich bin so weit ja auch ganz zufrieden, ich wollte nur wissen, ob vielleicht die duocore.dll noch versteckt irgendwo im System sein und sich wieder reaktivieren kann. Bisher ist dies nicht passiert! :)

>Bei der duocore.dll handelt es sich laut Aussage von greatis.com um einen Backdoor-Trojaner.

Versuch nochmal die Auswertung der Datei bei Virustotal, zur Not einfach mal den Dateipfad in das weiße Feld bei Virustotal reinkopieren und auf SEND klicken.

außerdem:

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]

Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.

Gruß
Sunny

Hallo Sunny,
herzlichen Dank für die weitere Hilfe.
Also arbeiten wir die Sachen mal ab: wenn ich bei Virustotal den Pfad kopiere, einfüge und auf "send" drücke, dann bekomme ich folgendes: 0 bytes size received / Se ha recibido un archivo vacio.
Also ist das File schilcht und ergreifend nicht da, denke ich!

So, nun jeweils die letzten 30 Tage aus jedem directory:

Directory of C:\ (hier gabs nur die untenstehenden)

26.08.2007 11:48 2.145.386.496 pagefile.sys
24.04.2007 22:55 211 boot.ini
24.04.2007 22:44 0 IO.SYS
24.04.2007 22:44 0 MSDOS.SYS
24.04.2007 22:44 0 CONFIG.SYS
24.04.2007 22:44 0 AUTOEXEC.BAT
04.08.2004 14:00 250.032 ntldr
04.08.2004 14:00 47.564 NTDETECT.COM
8 File(s) 2.145.684.303 bytes
0 Dir(s) 23.564.996.608 bytes free

Directory of C:\WINDOWS\system32

26.08.2007 11:49 2.206 wpa.dbl
25.08.2007 13:29 0 tmp.txt
25.08.2007 11:34 35.600 mlfcache.dat
25.08.2007 06:33 116.050 perfc009.dat
25.08.2007 06:33 554.800 perfh009.dat
03.08.2007 06:34 16.789.464 MRT.exe
19.07.2007 22:15 4.937 jupdate-1.6.0_02-b06.log
19.07.2007 08:59 3.583.488 mshtml.dll
14.07.2007 09:33 666.218 PerfStringBackup.INI
13.07.2007 14:56 180.240 FNTCACHE.DAT
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
04.07.2007 15:31 1.024 pdfeditor.dat
29.06.2007 06:24 65.536 QuickTimeVR.qtx
29.06.2007 06:24 49.152 QuickTime.qts
27.06.2007 16:34 232.960 webcheck.dll
27.06.2007 16:34 823.808 wininet.dll
27.06.2007 16:34 193.024 msrating.dll
27.06.2007 16:34 671.232 mstime.dll
27.06.2007 16:34 1.152.000 urlmon.dll
27.06.2007 16:34 102.400 occache.dll
27.06.2007 16:34 105.984 url.dll
27.06.2007 16:34 477.696 mshtmled.dll
27.06.2007 16:34 52.224 msfeedsbs.dll
27.06.2007 16:34 1.824.256 inetcpl.cpl
27.06.2007 16:34 27.648 jsproxy.dll
27.06.2007 16:34 459.264 msfeeds.dll
27.06.2007 16:34 44.544 iernonce.dll

Directory of C:\WINDOWS

26.08.2007 12:22 75.167 wmsetup.log
26.08.2007 12:22 1.902.908 WindowsUpdate.log
26.08.2007 11:49 54.156 QTFont.qfn
26.08.2007 11:48 159 wiadebug.log
26.08.2007 11:48 49 wiaservc.log
26.08.2007 11:48 0 0.log
26.08.2007 11:48 2.048 bootstat.dat
26.08.2007 11:47 32.536 SchedLgU.Txt
25.08.2007 13:55 218.988 setupapi.log
25.08.2007 13:29 242.705 setupact.log
25.08.2007 13:28 144.590 ntbtlog.txt
25.08.2007 12:31 37 dat.txt
25.08.2007 12:31 18.250 rs.txt
25.08.2007 11:33 921 deskinst.log
23.08.2007 14:01 624 win.ini
23.08.2007 01:43 8.174 ModemLog_Agere Systems HDA Modem.txt
21.08.2007 19:40 2.072 mozver.dat
21.08.2007 19:40 28.518 WIC.log
15.08.2007 11:18 11.326 spupdsvc.log
15.08.2007 10:49 518.930 msxml6-KB933579-enu-x86.LOG
15.08.2007 10:49 823.840 iis6.log
15.08.2007 10:49 20.900 KB938127-IE7.log
15.08.2007 10:49 320.808 tsoc.log
15.08.2007 10:49 34.893 tabletoc.log
15.08.2007 10:49 150.689 ntdtcsetup.log
15.08.2007 10:49 1.374 imsins.log
15.08.2007 10:49 250.512 comsetup.log
15.08.2007 10:49 37.950 ocmsn.log
15.08.2007 10:49 119.799 netfxocm.log
15.08.2007 10:49 48.272 MedCtrOC.log
15.08.2007 10:49 347.204 ocgen.log
15.08.2007 10:49 34.567 msgsocm.log
15.08.2007 10:49 671.532 FaxSetup.log
15.08.2007 10:49 224.204 msmqinst.log
15.08.2007 10:47 1.374 imsins.BAK
15.08.2007 10:47 19.614 KB936021.log
15.08.2007 10:47 92.771 updspapi.log
15.08.2007 10:47 290.062 msxml4-KB936181-enu.LOG
15.08.2007 10:47 18.387 KB936782.log
15.08.2007 10:47 707 avmcoins.log
15.08.2007 10:46 23.997 KB937143-IE7.log
15.08.2007 10:46 12.168 KB938829.log
15.08.2007 10:46 11.507 KB921503.log
15.08.2007 10:45 11.615 KB938828.log
14.07.2007 09:18 49.968 KB936357.log
14.07.2007 09:17 49.381 KB935839.log
14.07.2007 09:17 48.460 KB935840.log
14.07.2007 09:17 49.521 KB929123.log
14.07.2007 09:17 62.398 KB933566-IE7.log
14.07.2007 09:14 29.417 KB892130.log

Directory of C:\WINDOWS\Prefetch

26.08.2007 16:56 13.122 FIND.EXE-0EC32F1E.pf
26.08.2007 16:56 13.238 CMD.EXE-087B4001.pf
26.08.2007 16:56 32.522 WINRAR.EXE-39C6DAD9.pf
26.08.2007 16:47 114.148 THUNDERBIRD.EXE-38CA75D9.pf
26.08.2007 16:47 103.558 FIREFOX.EXE-28641590.pf
26.08.2007 16:14 15.662 VERCLSID.EXE-3667BD89.pf
26.08.2007 16:03 88.890 TASKMGR.EXE-20256C55.pf
26.08.2007 16:03 100.942 ITUNES.EXE-1A268432.pf
26.08.2007 16:03 163.438 WMIPRVSE.EXE-28F301A9.pf
26.08.2007 16:02 205.970 A2HIJACKFREE.EXE-162F6732.pf
26.08.2007 16:01 99.060 A2START.EXE-2CA89B80.pf
26.08.2007 16:01 14.140 RUNDLL32.EXE-451FC2C0.pf
26.08.2007 15:30 96.096 A2SCAN.EXE-1E40FF71.pf
26.08.2007 14:06 17.334 RUNDLL32.EXE-3199C753.pf
26.08.2007 14:03 23.582 DWWIN.EXE-30875ADC.pf
26.08.2007 14:03 48.272 DUMPREP.EXE-1B46F901.pf
26.08.2007 13:44 91.146 ICQLITE.EXE-2D093781.pf
26.08.2007 13:05 26.282 A2GUARD.EXE-00EEFDED.pf
26.08.2007 13:04 70.474 RSTRUI.EXE-03C49A96.pf
26.08.2007 13:00 59.088 EUPOD.EXE-01506765.pf
26.08.2007 12:55 49.346 VLC.EXE-22DF01AA.pf
26.08.2007 12:53 54.350 WMP11-WINDOWSXP-X86-ENU.EXE-37B1E5E2.pf
26.08.2007 12:48 31.854 WGAPLUGININSTALL.EXE-27344AB9.pf
26.08.2007 12:48 21.190 PLUGININSTALLER.EXE-3A6CF561.pf
26.08.2007 12:22 75.530 ACRORD32INFO.EXE-24548733.pf
26.08.2007 12:20 34.630 EXCEL.EXE-13B3F319.pf
26.08.2007 12:20 22.452 WUAUCLT.EXE-399A8E72.pf
26.08.2007 12:20 57.880 SETUP_WM.EXE-3135CBD6.pf
26.08.2007 12:16 73.662 WMPLAYER.EXE-18DDEFA2.pf
26.08.2007 12:16 18.052 EXPLORER.EXE-082F38A9.pf
26.08.2007 12:08 59.674 AVCENTER.EXE-12CB2D60.pf
26.08.2007 12:07 49.586 AVNOTIFY.EXE-2774DD28.pf
26.08.2007 12:07 18.668 GUARDGUI.EXE-1EE08CA2.pf
26.08.2007 11:58 26.376 A2WIZARD.EXE-0AD6BA53.pf
26.08.2007 11:58 17.800 A2SERVICE.EXE-2B69BCDE.pf
26.08.2007 11:58 13.172 REGSVR32.EXE-25EEFE2F.pf
26.08.2007 11:58 20.912 IS-9RG5F.TMP-088031EC.pf
26.08.2007 11:58 14.660 A2ANTIMALWARESETUP.EXE-0873BAFC.pf
26.08.2007 11:52 48.882 RUNDLL32.EXE-2BD46B7D.pf
26.08.2007 11:52 63.752 IEXPLORE.EXE-27122324.pf
26.08.2007 11:50 981.436 NTOSBOOT-B00DFAAD.pf
26.08.2007 11:46 12.856 IGFXSRVC.EXE-2FB63FE8.pf
26.08.2007 11:46 29.140 LOGONUI.EXE-0AF22957.pf
26.08.2007 11:00 16.382 _IU14D2N.TMP-2282BC7D.pf
26.08.2007 11:00 17.924 UNINS000.EXE-1CFDBE67.pf
26.08.2007 11:00 55.054 RUNDLL32.EXE-2CD85FD3.pf
26.08.2007 10:59 35.152 SPYWAREBLASTER.EXE-20CF1E62.pf
26.08.2007 10:59 18.714 IS-4H64F.TMP-3A0B8F13.pf
26.08.2007 10:59 14.864 SPYWAREBLASTERSETUP351.EXE-38B458A6.pf
26.08.2007 10:52 17.164 RUNDLL32.EXE-4B9628C3.pf
26.08.2007 10:52 6.662 LOGON.SCR-151EFAEA.pf
26.08.2007 10:52 44.454 RUNDLL32.EXE-2576181F.pf
26.08.2007 10:51 17.092 RUNDLL32.EXE-470F11BD.pf
26.08.2007 09:06 19.516 SMITFRAUD_REMOVER.EXE-141ABB56.pf
54 File(s) 3.455.802 bytes
0 Dir(s) 23.564.865.536 bytes free

Directory of C:\WINDOWS\tasks

26.08.2007 11:48 6 SA.DAT
23.08.2007 11:33 284 AppleSoftwareUpdate.job
04.08.2004 14:00 65 desktop.ini
3 File(s) 355 bytes
0 Dir(s) 23.564.853.248 bytes free

Directory of C:\WINDOWS\temp

26.08.2007 14:01 33.265.260 a2cache_4C319152.dat
26.08.2007 11:49 409 WGANotify.settings
26.08.2007 11:48 255 WGAErrLog.txt
3 File(s) 33.265.924 bytes
0 Dir(s) 23.564.853.248 bytes free

Directory of C:\DOCUME~1\SEBAST~1\LOCALS~1\Temp

26.08.2007 16:56 125.039 filelist.txt
26.08.2007 16:48 512 ~DF27B7.tmp
26.08.2007 16:48 16.384 ~DF27A4.tmp
26.08.2007 16:48 512 ~DF2739.tmp
26.08.2007 16:48 512 ~DF2763.tmp
26.08.2007 16:48 512 ~DF278D.tmp
26.08.2007 16:48 16.384 ~DF277A.tmp
26.08.2007 16:48 16.384 ~DF2750.tmp
26.08.2007 16:48 16.384 ~DF2726.tmp
26.08.2007 16:00 941 WCESCOMM.LOG
26.08.2007 15:30 2 Trust
26.08.2007 13:44 16.384 ~DF1EB2.tmp
26.08.2007 13:44 512 ~DF1228.tmp
26.08.2007 13:44 16.384 ~DF1211.tmp
26.08.2007 13:01 1.333 WCESLog.log
26.08.2007 12:16 48 WcesView.log
26.08.2007 11:54 346 jusched.log
26.08.2007 10:59 668.938 _iu14D2N.tmp
23.08.2007 14:59 122 8A56EAB7.TMP
19 File(s) 897.633 bytes
0 Dir(s) 23.564.853.248 bytes free

Ich hoffe, ich habe das richtige kopiert, ich war mir jetzt nicht sicher, ob die letzten 30 Tage oder die letzten 30 Einträge gemeint sind. Manchmal standen nur ein paar Einträge drin. Ich hoffe, es passt so! :)

Und hier das DSS logfile:

Code:

Deckard's System Scanner v20070819.64

Extra logfile - please post this as an attachment with your post.

--------------------------------------------------------------------------------
 

-- System Information ----------------------------------------------------------
 

Microsoft Windows XP Professional (build 2600) SP 2.0

Architecture: X86; Language: English
 

CPU 0: Genuine Intel(R) CPU           T2300  @ 1.66GHz

CPU 1: Genuine Intel(R) CPU           T2300  @ 1.66GHz

Percentage of Memory in Use: 29%

Physical Memory (total/avail): 2037.92 MiB / 1430.99 MiB

Pagefile Memory (total/avail): 3929.59 MiB / 3384.56 MiB

Virtual Memory (total/avail): 2047.88 MiB / 1965.83 MiB
 

C: is Fixed (NTFS) - 74.53 GiB total, 21.77 GiB free. 

E: is CDROM (No Media)

F: is CDROM (No Media)

H: is Removable (FAT32)
 
 

-- Security Center -------------------------------------------------------------
 

AUOptions is disabled.

Windows Internal Firewall is disabled.
 

FirstRunDisabled is set.

FirewallDisableNotify is set.
 

AV: Avira AntiVir PersonalEdition v 6.39.1.44

 (Avira GmbH)
 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\Program Files\\ICQLite\\ICQLite.exe"="C:\\Program Files\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"

"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:*:Enabled:ActiveSync RAPI Manager"

"C:\\Program Files\\Soulseek\\slsk.exe"="C:\\Program Files\\Soulseek\\slsk.exe:*:Enabled:SoulSeek"

"C:\\Program Files\\map&guide\\map&guide base\\bin\\MGBase.exe"="C:\\Program Files\\map&guide\\map&guide base\\bin\\MGBase.exe:*:Enabled:map&guide base Client"

"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"

"C:\\Documents and Settings\\All Users\\Start Menu\\MiniWebServer.exe"="C:\\Documents and Settings\\All Users\\Start Menu\\MiniWebServer.exe:*:Enabled:MiniWebServer"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
 
 

-- Environment Variables -------------------------------------------------------
 

ALLUSERSPROFILE=C:\Documents and Settings\All Users

APPDATA=C:\Documents and Settings\Sebastian Lehner\Application Data

CLASSPATH=.;C:\Program Files\Java\jre1.6.0_02\lib\ext\QTJava.zip

CLIENTNAME=Console

CommonProgramFiles=C:\Program Files\Common Files

COMPUTERNAME=SEBASTIA-BE30E8

ComSpec=C:\WINDOWS\system32\cmd.exe

DEFAULT_CA_NR=CA18

FP_NO_HOST_CHECK=NO

HOMEDRIVE=C:

HOMEPATH=\Documents and Settings\Sebastian Lehner

LOGONSERVER=\\SEBASTIA-BE30E8

NUMBER_OF_PROCESSORS=2

OS=Windows_NT

Path=C:\Program Files\Common Files\Microsoft Shared\MODI\11.0;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Common Files\Teleca Shared;C:\Program Files\Common Files\Adobe\AGL;C:\Program Files\Common Files\GTK\2.0\bin;C:\Program Files\QuickTime\QTSystem\;C:\PROGRA~1\COMMON~1\MICROS~1\MODI\11.0

PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

PROCESSOR_ARCHITECTURE=x86

PROCESSOR_IDENTIFIER=x86 Family 6 Model 14 Stepping 8, GenuineIntel

PROCESSOR_LEVEL=6

PROCESSOR_REVISION=0e08

ProgramFiles=C:\Program Files

PROMPT=$P$G

QTJAVA=C:\Program Files\Java\jre1.6.0_02\lib\ext\QTJava.zip

SESSIONNAME=Console

SystemDrive=C:

SystemRoot=C:\WINDOWS

TEMP=C:\DOCUME~1\SEBAST~1\LOCALS~1\Temp

TMP=C:\DOCUME~1\SEBAST~1\LOCALS~1\Temp

USERDOMAIN=SEBASTIA-BE30E8

USERNAME=Sebastian Lehner

USERPROFILE=C:\Documents and Settings\Sebastian Lehner

windir=C:\WINDOWS
 
 

-- User Profiles ---------------------------------------------------------------
 

Sebastian Lehner (admin)
 
 

-- Add/Remove Programs ---------------------------------------------------------
 

 --> C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0

 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf

a-squared Anti-Malware 3.0 --> "C:\Program Files\a-squared Anti-Malware\unins000.exe"

Adobe Bridge 1.0 --> MsiExec.exe /I{B74D4E10-6884-0000-0000-000000000103}

Adobe Common File Installer --> MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5101}

Adobe Flash Player 9 ActiveX --> C:\WINDOWS\system32\Macromed\Flash\UninstFl.exe -q

Adobe Help Center 1.0 --> MsiExec.exe /I{E9787678-119F-4D52-B551-6739B2B22101}

Adobe Photoshop CS2 --> msiexec /I {236BB7C4-4419-42FD-0409-1E257A25E34D}

Adobe Reader 8.1.0 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81000000003}

Adobe Reader for Pocket PC 2.0 --> C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{291A772C-FFB9-4681-B720-AB2A0A620896} 

Adobe Stock Photos 1.0 --> MsiExec.exe /I{786C5747-0C40-4930-9AFE-113BCE553101}

Adobe Stock Photos 1.0 --> MsiExec.exe /I{EE0D5DCD-2B97-4473-98DF-E93C0BD92F7A}

Agere Systems HDA Modem --> agrsmdel

Apple Mobile Device Support --> MsiExec.exe /I{967D588C-9B96-40C9-A222-DCD6922563CA}

Apple Software Update --> MsiExec.exe /I{492724FC-3B26-46B4-824F-3CE2722D9AA0}

Avira AntiVir PersonalEdition Classic --> C:\Program Files\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE

Azureus --> C:\Program Files\Azureus\Uninstall.exe

Cartes du Ciel --> "C:\Program Files\Ciel\Uninstall.exe" "C:\Program Files\Ciel\install.log"

Cole2k Media - Codec Pack (Advanced) --> C:\WINDOWS\system32\C2MP\Uninst.exe

FLAC 1.1.4b (remove only) --> C:\Program Files\FLAC\uninstall.exe

Google Earth --> MsiExec.exe /I{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}

GTK+ 2.10.6-1 runtime environment --> "C:\Program Files\Common Files\GTK\2.0\setup\unins000.exe"

High Definition Audio Driver Package - KB888111 --> 

HijackThis 2.0.2 --> "C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall

Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"

hp LaserJet 1010 Series --> MsiExec.exe /x {292C47B2-8DB7-47BF-896C-C3C5EE8108C4}

ICQ 5.1 --> C:\Program Files\ICQLite\ICQLiteUninstall.EXE

Intel(R) Graphics Media Accelerator Driver --> RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx2ID PCI\VEN_8086&DEV_27A6 PCI\VEN_8086&DEV_27A2

iTunes --> MsiExec.exe /I{E0219810-16E4-437D-9165-93D7B22524F9}

J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}

Java(TM) 6 Update 2 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}

map&guide base --> MsiExec.exe /X{CDE0FD0E-E7E9-41DA-9E01-269F410A5342}

Microsoft ActiveSync 4.0 --> MsiExec.exe /I{B208806F-A231-4FA0-AB3F-5C1B8979223E}

Microsoft Base Smart Card Cryptographic Service Provider Package --> "C:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe"

Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"

Microsoft Office Standard Edition 2003 --> MsiExec.exe /I{91120407-6000-11D3-8CFE-0150048383C9}

Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"

Mozilla Firefox (2.0.0.6) --> C:\Program Files\Mozilla Firefox\uninstall\helper.exe

Mozilla Thunderbird (2.0.0.6) --> C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe

Mp3tag v2.38 --> C:\Program Files\Mp3tag\Mp3tagUninstall.EXE

MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}

MyPhoneExplorer --> C:\Program Files\MyPhoneExplorer\uninstall.exe

neroxml --> MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}

O2Micro Smartcard Driver --> C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{C5BED10B-42A9-4142-B4C2-008C0FDE27D5} /l1033 

QuickTime --> MsiExec.exe /I{95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC}

RealPlayer --> C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0

Realtek High Definition Audio Driver --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x9  -removeonly

Security Update for CAPICOM (KB931906) --> MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}

Security Update for CAPICOM (KB931906) --> MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}

Security Update for Step By Step Interactive Training (KB898458) --> 

Stellarium 0.9.0 --> "C:\Program Files\Stellarium\unins000.exe"

Synaptics Pointing Device Driver --> rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall

TightVNC 1.3.9 --> "C:\Program Files\TightVNC\unins000.exe"

VideoLAN VLC media player 0.8.6b --> C:\Program Files\VideoLAN\VLC\uninstall.exe

Windows Communication Foundation --> MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}

Windows Imaging Component --> "C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"

Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"

Windows Media Format SDK Hotfix - KB891122 --> "C:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe"

Windows Presentation Foundation --> MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}

Windows Workflow Foundation --> MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}

WinRAR archiver --> C:\Program Files\WinRAR\uninstall.exe

XML Paper Specification Shared Components Pack 1.0 --> 
 
 

-- Application Event Log -------------------------------------------------------
 

Event Record #/Type2760 / Error

Event Submitted/Written: 08/26/2007 02:03:03 PM

Event ID/Source: 1002 / Application Hang

Event Description:

Hanging application a2HiJackFree.exe, version 3.0.0.397, hang module hungapp, version 0.0.0.0, hang address 0x00000000.
 

Event Record #/Type2759 / Warning

Event Submitted/Written: 08/26/2007 00:07:02 PM

Event ID/Source: 4113 / H+BEDV AntiVir

Event Description:

AntiVir erkannte in der Datei

C:\Documents and Settings\Sebastian Lehner\Local Settings\Application Data\Mozilla\Firefox\Profiles\j6u19k6q.default\Cache(8)\13C838D4d01

verdächtigen Code mit der Bezeichnung 'DR/Dldr.Zlob.cbo'!
 

Event Record #/Type2738 / Error

Event Submitted/Written: 08/25/2007 01:57:47 PM

Event ID/Source: 1002 / Application Hang

Event Description:

Hanging application iexplore.exe, version 7.0.6000.16512, hang module hungapp, version 0.0.0.0, hang address 0x00000000.
 

Event Record #/Type2737 / Error

Event Submitted/Written: 08/25/2007 01:56:38 PM

Event ID/Source: 1002 / Application Hang

Event Description:

Hanging application iexplore.exe, version 7.0.6000.16512, hang module hungapp, version 0.0.0.0, hang address 0x00000000.
 

Event Record #/Type2691 / Error

Event Submitted/Written: 08/19/2007 10:51:54 AM

Event ID/Source: 1002 / Application Hang

Event Description:

Hanging application slsk.exe, version 1.0.0.1, hang module hungapp, version 0.0.0.0, hang address 0x00000000.
 
 
 

-- Security Event Log ----------------------------------------------------------
 

No Errors/Warnings found.
 
 

-- System Event Log ------------------------------------------------------------
 

Event Record #/Type5543 / Error

Event Submitted/Written: 08/26/2007 01:44:27 PM

Event ID/Source: 6004 / EventLog

Event Description:

A driver packet received from the I/O subsystem was invalid.  The data is the

packet.
 

Event Record #/Type5332 / Error

Event Submitted/Written: 08/25/2007 01:30:04 PM

Event ID/Source: 10005 / DCOM

Event Description:

DCOM got error "%%1084" attempting to start the service EventSystem with arguments ""

in order to run the server:

{1BE1F766-5536-11D1-B726-00C04FB926AF}
 

Event Record #/Type5331 / Error

Event Submitted/Written: 08/25/2007 01:29:05 PM

Event ID/Source: 10005 / DCOM

Event Description:

DCOM got error "%%1084" attempting to start the service EventSystem with arguments ""

in order to run the server:

{1BE1F766-5536-11D1-B726-00C04FB926AF}
 

Event Record #/Type5274 / Warning

Event Submitted/Written: 08/25/2007 11:36:37 AM

Event ID/Source: 3 / Print

Event Description:

Printer deskPDF was deleted.
 

Event Record #/Type5269 / Warning

Event Submitted/Written: 08/25/2007 11:36:33 AM

Event ID/Source: 4 / Print

Event Description:

Printer deskPDF is pending deletion.
 
 
 

-- End of Deckard's System Scanner: finished at 2007-08-26 17:52:36 ------------

Ich hoffe, ich habe alles richtig gemacht!

Viele Grüße,
Sidewinder

Hallo nochmal.. ;)

Also das sich die besagte Datei nicht auswerten lässt ist ein Zeichen dafür das es sich dabei wirklich um einen Schädling handelt.

Findest du denn die Datei noch auf deinem System?
Hast du auch die versteckten Dateien sichtbar gemacht?

Außerdem fehlt mir immer noch ein Hijacklog ;)

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

Gruß
Sunny

Hallo!
Vielen Dank für die Antwort! :)
Die Datei ist nicht mehr auf dem System zu finden, ich habe extra eine ausführliche Suche gemacht, ich habe alle versteckten Dateien und Systemdateien anzeigen lassen und dann die Windows Suche auch so eingestellt, daß sie die entsprechenden Verzeichnisse (auch versteckte Verzeichnisse etc.) durchsucht: nichts zu finden.

Der Hijack This Log ist hier:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:48:36, on 27.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe
C:\Program Files\Ahead\nero\nero.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [C:\Program Files\1&1\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/micr...?1183402930515
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1183402898687
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7965 bytes

Viele Grüße,
Sidewinder

P.S. Ich wollte noch was anmerken: die Datei ließ sich noch auswerten, als sie noch da war, also VOR dem Zurücksetzen des Systems. Jetzt, nach dem Zurücksetzen, ist sie nicht mehr aufzufinden, das war ja auch meine Eingangsfrage, ob das Zurücksetzen die Datei gelöscht hat, oder ob sie noch irgendwo versteckt sein kann! :)

Dein Hiajcklog ist meiner Ansicht nach auch sauber, die anderen Scanner haben auch nichts verdächtiges gefunden. Wahrscheinlich hat deine AV-Software die Dateien gelöscht bevor sie aktiviert werden konnten. ;)

Wenn du aber wirklich auf Nummer sicher gehen willst, führe mal ein paar Online-Viren-Scanns durch:

Free online antivirus. Download ActiveScan and clean your PC. Panda Security
Trend Micro HouseCall - Free Online Virus and Spyware Scan

Die Überprüfung dauert zwar ziemlich lange, ist aber eigentlich sehr genau und gründlich. :daumenhoc

Gruß
Sunny

Hallo!
Vielen Dank!
Na dann hoffe ich mal das beste, ich werde das System so oder so neu aufsetzen, aber ich komme erst nächste Woche an die Windows CD ran und bis dahin muss ich noch wichtige Sachen am Computer machen (z.B. eBanking etc.), deshalb wollte ich da auf Nummer Sicher gehen!
Dann scanne ich mal und schau, ob sich da noch was findet!

Viele Grüße,
Sidewinder

P.S. Zum Löschen VOR der Aktivierung: vorm Zurücksetzen des Systemes hat HijackThis diese Dateien aber gefunden, bedeutet das nicht gleichzeitig, daß sie schon aktiv waren!?

Zitat:

Zitat von Sidewinder (Beitrag 290052)

P.S. Zum Löschen VOR der Aktivierung: vorm Zurücksetzen des Systemes hat HijackThis diese Dateien aber gefunden, bedeutet das nicht gleichzeitig, daß sie schon aktiv waren!?

Sicher das HijackThis die Dateien gefunden hat?
Oder meinst du eher dein Antivirenprogramm? :rolleyes:

Wenn letzteres der Fall ist ;), heißt es nicht unbedingt das die Dateien (Programme!) aktiv waren, auch das Hijacklog (von HijackThis!) sagt dies nicht, dann wird nämlich in den meisten Fällen ein Eintrag bleiben mit "file missing" das die Dateien aktiv waren. ;)

Moin Digger .. :p

Hallo!
Nein, ich meine nicht mein Antivirenprogramm, ich meine das HijackThis, da wurden die Dateien nämlich geführt und zwar mit einem "gelben X" (alle anderen Dateien hatten die grünen Haken) in der Online Auswertung. Mittlerweilen sind sie aber verschwunden, wie du ja auch sagst, das Logfile sieht sauber aus.
Sehr komisch das ganze! Naja, ich scanne jetzt mal noch und dann hoffe ich mal, daß ich so weit sauber bin!

Hallo

Zitat:

Sehr komisch das ganze! Naja, ich scanne jetzt mal noch und dann hoffe ich mal, daß ich so weit sauber bin!

wenn die Dateien noch irgendwo im System stecken sollten, kannst du diese mit Smitfraudfix (Option 1 für den Suchlauf) ab Version 2.211 (August 11, 2007) aufspüren.
Smidfraudfix

MFG

Moin Sunny:)

Hey, danke für den Tip!