Warum ist bei dir das Service Pack 3 nicht drauf??
Das muss sein..

Fixe mit HJT folgende Einträge:

Folge dieser Anleitung (Analyse und Bereinigung) und poste den rapport.



Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Die Dateien gefallen mir garnicht... Könnte sein, dass bei dir ein Prorat Server läuft. Sende mit dem Rechner vorerst keine wichtigen Daten!

So habe alles so gemacht wie du es mir geschrieben hast, die Sachen mit HJT gefixt.
Dann die Dateien mit Virustotal alle durchgescant, wobei ich zu den 3 Dateien:
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\sw24.exe
C:\WINDOWS\system32\sw20.exe
sagen muss, das sind Dateien die zu meiner Nvidia Grafikkarte gehören, damals vor ca 1 Jahr als ich mein windows neu aufgesetzt hatte u die Graka neu hatte, da meldeten auch einige Virenprogramme darin ein schädling, ich glaube sogar das es auch hier diskutiert wurde, ich habe dann die Dateien auch zu der Firma Nividia geschickt und mich dort noch mal genau erkundigt, das war ok so. Scheinbar befinden einige wenige Antivirus Programme die als schädling. Das wollte ich nur noch mal kurz dazu erzählen.

Hier der Log von Virustotal:


Hier der rapport von Smitfraud

Allerdings wenn ich jetzt ein scan normal mit Bitdefender 2008 mache, dann meldet der mir:

IRC-Worm Generic 3868
C:\Dokumente und Einstellungen\Isa\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\c5l9i2rw.default\Cache\63329BDCd01=](RAR Sfx o)=]SmitfraudFix\IEDFix.exe

Ist das normal?

Schönen Dank für die Mühe noch mal :-), ich hoffe ich das ich den großen Log von Virustotal einigermaßen gut lesbar posten konnte.
und bin gespannt auf deine Antwort.
Gruß Lana

Ja, das ist es.

Wie geht's deinem Rechner?

Suche mal bitte wie in meiner Signatur beschrieben nach folgender Datei: bdoscandel.exe

Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Hallo, so habe alles so gemacht, mein Rechner geht es gut, wieso fragst du?

Die Datei bdoscandel.exe wurde nicht gefunden, meine Datei ansicht ist so das ich auch alle Dateien und versteckte Dateien sehen kann.
Was ist eigentlich ein Prorat Server?

Hier der Rapidshare Link
RapidShare: Easy Filehosting

Kann ich das Avz Tool wieder löschen von meinem Rechner? oder brauche ich es noch?
Gruß Lana :-)

Ein Prorat Server wäre ein Backdoor Server. Google hilft.. ;)

Aber da die Dateien sauber sind ist diese Möglichkeit zum Glück nicht mehr aktuell.

Folgende Dateien bitte auch analysieren lassen:
Wenn die auch O.k. ist dann ist dein Rechner, aus meiner Warte aus gesehen sauber.

Hallo Undo, habe die dll mit virustotal geprüft siehe Ergebniss:

Nur Sophos fand: MadCodeHook

Genau wie bei der überprüfung von der Datei WinSys2.exe da fand Sophos genau das selbe.

Ist das jetzt relevant?? :confused:

Gruß Lana :)

Ich denke das passt. Und wenn es deinem Rechner gut geht dann bist du entlassen.. ;)

Eeecht? :aplaus:
vielen dank für die Mühe :)
und da ist nichts verdächtiges in den ganzen Logdateien und rapports ?
Meinst du ich könnte also wieder onl. banking machen?

Und was ist mit diesem einen Fund von sophos: MadCodeHook?

Ich hatte von einem bekannten gehört das es ein mini linux gibt das nur von CD läuft, mit browser und alles was man braucht, und das wenn ich damit zb online banking machen würde, das es dann sicherer wäre.

Oder ich richte mir ein Konto mit eingeschränkten nutzerrechten ein, wenn ich mit so einem Konto surfe bin ich doch um einiges sicherer oder?

Schöne Grüße Lana :))

Das ist die sicherste Variante die es gibt ja.

Das solltest du so oder so tun.. ;)

Ok danke für den tip.
Ich habe eben noch mal bei meinem Bitdefender geschaut, der zeigt auch unter Systeminfo die Prozesse an, und unter Winsys2.exe zeigt er die dazugehörigen Dll's usw, und da ist auch die MADCHOOK.DLL zu sehen. Wenn man da drauf geht dann steht dort:


Objekt: C:\WINDOWS\system32\MADCHOOK.DLL
Datei: MADCHOOK.DLL
Pfad: C:\WINDOWS\system32\MADCHOOK.DLL
Dateiversion: 2.2.2.5
Produktversion: 2.2.2.5
Hersteller: www.madshi.net
Beschreibung: api hooking for 9x/nt

habe mir die webseite mal angeschaut, leider auf englisch, mein englisch ist nicht so gut, also weiss ich gar nicht so genau was da angeboten wird. Kannst es dir ja mal selber anschauen wenn du magst. Ich weiss nicht was api hooking bedeutet :-)

Gruß Lana

Sophos hat nur die Info rausgegeben, dass es sich hierbei um einen madcodehook handelt. Das ist kein eine Methode die Schädlinge benutzen. Da aber alle Dateien sauber sind die hier "gehookt" sind besteht keine Gefahr. Einige Schädlinge nutzen die gleichen Dateinamen daher ist eine Überprüfung sinnvoll.
http://wiki.hackerboard.de/index.php...PI#API-Hooking ;)

Ok dann ist ja wohl alles inordnung.
Ich habe noch eine frage bitte, hatte diesbezüglich schon die Boardsuche benutzt aber nichts gefunden was genau auf mein fall zutrifft.

Ich habe 2 Benutzerkonten laufen, einmal ein Admin Konto (Administrator) was ich nie benutze (dort ist auch nichts installiert usw), und mein Konto (Isa) mit Admin Rechte, wo meine ganzen Einstellungen laufen.

Wenn ich mir jetzt ein Konto mit eingeschränkten nutzerrechten erstellen will, wie mache ich das genau?
Vielen dank noch mal
Grüße Lana :)

Du kannst einfach dein "Isa"-Konto ändern.

Unter Start -> Systemsteuerung -> Benutzerkontensteuerung -> Eigenen Kontotyp ändern

Hallo, ja aber das isa konto da sind ja meine ganzen einstellungen und programme drauf, und wenn ich da jetzt zb mal ein neues programm installieren möchte? was mache ich dann wenn ich keine rechte habe?
sorry für die doofe frage aber ich habe bislang da noch nie was geändert.

Dann musst du dich als Admin anmelden und das Prog installieren. Oder du wählst über den Rechtsklick -> Sicherheit aus wer Zugriff auf das Prog haben soll. Dafür musst du dann das Admin Passwort eingeben.

Du kannst natürlich auch einfach ein Konto zum Surfen und online Banken erstellen...