Worm.small.i - infiziert oder nicht?
 

Hallo,

heute kam eine Kollegin mit einem USB-Stick und fragte mich ob ich Ihr was ausdrucken kann.

Beim Einführen des USB-Sticks hat sich sofort AntiVir gemeldet und "Worm.small.i" gemeldet. Ich habe sofort auf Löschen geklickt.

Bei Hijackthis sagt mir das Logfile das alles soweit ok ist.

Nun habe ich trotzdem Bedenken dass der Wurm Schaden anrichtet.

Meine Fragen:

1. Welche potentiellen Schaden kann der Wurm verursachen?
2. Muss ich weitergehende Analyse starten und festzustellen ob mein Rechner clean ist?

Danke für Eure Hilfe!

Thomas

Aktualisierung:

Es ist WORM/Small.I.35

Bei den Ereignissen im Antivir steht:

Fehler in AntiVir Guard.
Fehlertext: Aktion ist fehlgeschlagen für die Datei: I:\autorun.inf
Fehlercode: [0x000003ee - Der Datenträger einer Datei wurde extern so geändert, dass die geöffnete Datei nicht mehr gültig ist.].

Wie ist das zu intepretieren?

Würde mich wirklich sehr über Hilfe freuen! :)

Hallo,
würdest du bitte den kompletten Report von Avira posten?

Hallo!

Sehr gerne:

--------------------------

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 22. September 2008 20:00

Es wird nach 1628080 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: xxx
Computername: xxx

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 12:30:00
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 12:30:00
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 12:30:00
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 12:30:00
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 08:26:12
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 11:42:40
ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.09.2008 11:31:50
ANTIVIR3.VDF : 7.0.6.192 234496 Bytes 22.09.2008 14:36:08
Engineversion : 8.1.1.34
AEVDF.DLL : 8.1.0.5 102772 Bytes 16.04.2008 12:39:07
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 18.09.2008 12:34:29
AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 12:20:02
AERDL.DLL : 8.1.1.2 438644 Bytes 18.09.2008 12:34:29
AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 12:20:01
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 18.09.2008 12:34:28
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18.09.2008 12:34:28
AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 12:40:30
AEGEN.DLL : 8.1.0.36 315764 Bytes 01.09.2008 13:53:15
AEEMU.DLL : 8.1.0.7 430452 Bytes 01.08.2008 10:23:55
AECORE.DLL : 8.1.1.11 172406 Bytes 05.09.2008 13:08:21
AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 12:19:31
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 12:30:00
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 12:30:00
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 10:23:54
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 12:30:00
AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 12:39:07
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 12:30:00
SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 12:39:07
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 12:30:00
NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 12:39:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 12:29:58
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 12:29:58

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 22. September 2008 20:00

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Thumbs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Photoshop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PQV2iSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'gearsec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpgs2wnf.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpgs2wnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EnMixCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTouch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '37' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '62' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <XP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Montag, 22. September 2008 20:16
Benötigte Zeit: 16:16 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

2804 Verzeichnisse wurden überprüft
125849 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
125848 Dateien ohne Befall
545 Archive wurden durchsucht
3 Warnungen
0 Hinweise


---------

Meintest Du diesen Report? Das ist das Ergebnis des Scans von C:

Falls es etwas anderes ist, bitte kurze Erklärung wie ich zu den diesen Report komme. Vielen Dank.

Im Report scheint nix böses zu sein.
Wo wurde denn genau der Wurm gefunden?

Auf einem USB-Stick (I:\autorun.inf).

Antivir hat sofort Alarm geschlagen, und ich habe sofort auf Löschen geklickt.

HiJackThis hat auch keine Gefährung gemeldet.

Okay, schließ bitte den USB-stick an (Wichtig: Während des Anstöpselns die Shift-Taste gedrückt halten).

Durchsuch ihn und schau nach verdächtigen Dateien. (AV-Guard temporär deaktivieren)
Was auch hilfreich wäre, ist, wenn du die autorun.inf aus der Quarantäne holst und deren Inhalt postest.

Danke

Es war ja nicht mein USB-Stick, sondern der einer Kollegin.
D.h. ich habe den USB-Stick nicht hier. Die Kollegin hat den USB-Stick auf schon formatiert.

D.h. die Möglichkeit den USB-Stick zu untersuchen ist nicht mehr gegeben.

Die autorun.inf war ja auch auf dem USB-Stick und den Worm habe ich sofort gelöscht, also nicht in Quarantäne.

Ich dachte, es gab nur eine autorun.inf?

Erstell bitte ein regelkonformes Hijackthis Logfile.

Hier ist das Hijackthis Logfile:


--

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:45:30, on 22.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
G:\Lavasoft\Ad-Aware2008\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
G:\AntiVir PersonalEdition Classic\avguard.exe
G:\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
G:\Audio Deck\EnMixCPL.exe
G:\Logitech\MouseWare\system\em_exec.exe
G:\ASUSTek\ASUSDVD\PDVDServ.exe
G:\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
G:\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
G:\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
G:\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
G:\Mozilla Firefox\firefox.exe
G:\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
G:\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
G:\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
G:\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [zBrowser Launcher] G:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EnvyHFCPL] g:\Audio Deck\EnMixCPL.exe 1
O4 - HKLM\..\Run: [RemoteControl] G:\ASUSTek\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zzzHPSETUP] D:\Setup.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] G:\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avgnt] "G:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "G:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "c:\dokumente und einstellungen\all users\_qbothome\_qbotinj.exe" "c:\dokumente und einstellungen\all users\_qbothome\_qbot.dll" /c "c:\programme\gemeinsame dateien\real\update_ob\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Tunebite] G:\RapidSolution\Tunebite\Tunebite.exe -tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{236F9A62-71C0-416D-A2DF-0FCAC4092215}: NameServer = 212.18.3.5,212.18.0.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{236F9A62-71C0-416D-A2DF-0FCAC4092215}: NameServer = 212.18.3.5,212.18.0.5
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - G:\Lavasoft\Ad-Aware2008\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - G:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - G:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: V2i Protector - PowerQuest Corporation - G:\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

--
End of file - 6362 bytes

Das Logfile ist sauber.
Du solltest noch auf den IE7 updaten und bitte noch dieses Tool ausführen:

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Ganz herzlichen Dank.
Ich werde das morgen ausprobieren und dann wieder hier posten.

Ach, noch eine Frage:

Was macht dieser Wurm eigentlich? Welchen Schaden kann er ausrichten?

Die von dir gemeldete Datei ist die autorun.inf, die zu einem Wurm gehört, der sich über Wechseldatenträger verbreitet.

Da die Datei aus unerklärlichen Gründen nicht bei dir angekommen ist (was den Anschein macht), kann ich dir nicht genau sagen, um welchen genau es sich handelt.
Es gibt harmlose Script-Würmer, wie Solow, die ein "hacked by COMPUTERNAME" in der Titelleiste des Internet Explorers hervorrufen. Nebenbei gibt es auch noch gefährliche Würmer, wie Bagle, was das Aus eines jeden Systems bedeutet.

erstmal großes Lob für die schnelle und kompetente Antwort. :)

Meine mit Abstand größte Sorge ist dass dieser Wurm eventuell meine Passwörter für das Online Banking, Auktionsseiten oder ähnliches ausspionieren kann.

Ich hätte heute z.B. Online-Überweisung machen müssen, was ich nun erstmal nicht mache. Außerdem müsste ich mich auch mal bei einer Auktionsseite einloggen, aber das traue ich mich nicht.

Kannst Du mit dem Namen "WORM/Small.I.35" etwas anfangen?
Ich meine damit, kann man an Namen erkennen welchen Schaden dieser Wurm anrichten kann?

Danke Dir. ;)
Ich würde es nicht riskieren, am besten machst du das von einem sauberen Zweitrechner oder von dem deiner Eltern/Freundin/Frau.
Ich bin sowieso kein großer Freund von OnlineBanking. ;)
Nein, tut mir Leid.
Der Name ist zu allgemein bezogen, hast du die autorun.inf denn nicht mehr in der Quarantäne?

Denn anhand dieser Datei kann man rauslesen, welche Datei ursprünglich gestartet hätte sollen.
Und daran kann man evtl. recherchieren, um welchen Schädling es sich dabei handelt.

Morgen werde ich gleich ComboFix ausprobieren.
Frage: Sollte ich nichts negatives kommen, kann ich mich dann wieder bedenkenlos einloggen?

Ich nutze den Rechner ja beruflich und kann es mir zeitlich leider nicht leisten mich nirgendwo mehr einzuloggen. Ich habe heute leider schon den halben Tag verloren.

Zu Deiner Frage:
Ich habe die autorun.inf nicht in der Quarantäne, denn ich habe ja gleich auf "Löschen" geklickt. Ich frage mich auch gerade ob ich die Datei auf dem USB-Stick gelöscht habe oder ob sich diese Datei schon auch meinen Rechner kopiert hatte und ich diese dann direkt vom Rechner gelöscht habe.

Ich denke aber allerdings nicht das ich die Datei vom USB-Stick gelöscht hatte, denn ich war bei der Kollegin und habe sie gebeten nochmal den USB-Stick in ihren Rechner zu stecken. Dann kam auch sofort ein Pop-up mit der Virusmeldung. Also müsste er ja noch auch dem USB-Stick gewesen sein. Danach hat sie den USB-Stick formatiert.

Ich denke mal, das kannst du dann machen.
Die meisten Stealer sind sowieso nicht auf Wurm-Basis..
Wenn du bei Avira auf "löschen" gehst, sollte normal die Datei in der Quarantäne auftauchen.
Kannst du da evtl. schauen?
Da kann ich leider nur Vermutungen in den Raum stellen.
Der Stick wurde formatiert und der Wurm gelöscht.
Der Wurm, der vermutlich deine Freundin infiziert hat, hat dann die autorun.inf auf den Wechseldatenträger geschrieben. Das wissen die Götter, was da geschah.

Leider momentan nicht, da ich mittlerweile zu Hause am (nicht infizierten) Laptop bin. Ich werde aber gleich morgen früh nachsehen und das hier posten.

Danke, das wär hilfreich.
Die autorun.inf (wenn sie noch da ist) lässt du wiederherstellen (AV-Guard temporär deaktivieren) und öffnest sie mit dem Editor. Dann siehst du nach, welche Datei sie starten soll. Den Namen der Datei postest du dann hier. ;)

Hallo Silent Shark,

nun habe ich folgendes gemacht:

1. Im AntiVir Quarantäne Ordner nach "autorun.inf" gesucht. Leider war der Ordner komplett leer. Auch im Windows Papierkorb ist nichts.

2. CCleaner drüber laufen lassen bis alle Fehlermeldungen weg waren.

3. Combofix drüber laufen lassen.

Hier, das Combofix Logfile:

----

ComboFix 08-09-20.05 - xxx 2008-09-23 10:42:32.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.697 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Desktop\AntiSpywareBot.lnk
C:\Programme\AntispywareBot
C:\Programme\AntiSpywareBot\AntispywareBot.exe
C:\Programme\AntiSpywareBot\AntispywareBot.url
C:\Programme\AntiSpywareBot\DataBase.ref
C:\Programme\AntiSpywareBot\SpyCleaner.dll
C:\Programme\AntiSpywareBot\TCL.dll
C:\Programme\AntiSpywareBot\vistaCPtasks.xml
C:\Programme\AntiSpywareBot\zlib.dll
C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-23 bis 2008-09-23 ))))))))))))))))))))))))))))))
.

2008-09-22 19:13 . 2008-09-22 19:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-09-22 19:03 . 2008-09-22 19:03 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\AntispywareBot
2008-09-22 18:19 . 2008-09-22 18:19 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-09-22 18:19 . 2008-09-22 18:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-22 17:09 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe
2008-09-22 17:09 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf
2008-09-11 15:00 . 2008-09-12 17:24 <DIR> d-------- C:\ringe
2008-09-03 18:22 . 2008-09-03 18:22 170,170 --a------ C:\versandkosten_alt.jpg
2008-09-03 11:25 . 2008-09-03 11:25 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-09-03 11:25 . 2008-09-03 11:25 <DIR> d-------- C:\WINDOWS\system32\de
2008-09-03 11:25 . 2008-09-03 11:25 <DIR> d-------- C:\WINDOWS\system32\bits
2008-09-03 11:25 . 2008-09-03 11:25 <DIR> d-------- C:\WINDOWS\l2schemas
2008-09-03 11:21 . 2008-09-03 11:26 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-09-03 11:15 . 2008-09-03 11:15 <DIR> d-------- C:\WINDOWS\EHome
2008-09-03 11:05 . 2004-08-04 14:00 381,425 -----c--- C:\WINDOWS\system32\dllcache\copycd.wmv
2008-09-03 11:04 . 2004-08-04 00:38 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-09-01 15:51 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-23 08:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-15 17:43 73,128 ----a-w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-09-02 13:02 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\BayWotch4
2008-07-23 15:10 --------- d-----w C:\Programme\Java
2008-07-23 12:55 253,116 ----a-w C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_2531.exe
2008-07-23 12:55 14,852 ----a-w C:\Programme\settings.dat
2008-07-23 12:55 --------- d-----w C:\Programme\PDFCreator Toolbar
2008-07-23 12:46 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\WordToPDF
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:10 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
2007-06-05 08:08 774,144 ----a-w C:\Programme\RngInterstitial.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"zBrowser Launcher"="G:\Logitech\iTouch\iTouch.exe" [2002-11-23 631362]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-04-01 5562368]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-04-01 86016]
"EnvyHFCPL"="g:\Audio Deck\EnMixCPL.exe" [2005-01-10 3894272]
"RemoteControl"="G:\ASUSTek\ASUSDVD\PDVDServ.exe" [2003-10-31 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"Share-to-Web Namespace Daemon"="G:\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 69632]
"avgnt"="G:\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="G:\QuickTime\qttask.exe" [2007-04-27 282624]
"Logitech Utility"="Logi_MwX.Exe" [2002-11-08 C:\WINDOWS\LOGI_MWX.EXE]
"nwiz"="nwiz.exe" [2005-04-01 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 PQV2i;PQV2i;C:\WINDOWS\system32\drivers\PQV2i.sys [2003-06-03 123957]
R1 PQIMount;PQIMount;C:\WINDOWS\system32\drivers\PQIMount.sys [2003-06-03 46900]
R3 Envy24HFS;ICE Envy24 Family Audio Controller WDM;C:\WINDOWS\system32\drivers\Envy24HF.sys [2005-01-12 580736]
R3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\system32\Drivers\LCcFltr.Sys [2002-11-08 14156]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7eedb450-7851-11dd-ae14-00301bb8a1d6}]
\Shell\AutoRun\command - I:\PowerSeller\BestandsKunden.exe

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-zzzHPSETUP - D:\Setup.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\bgtdp7wh.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://pages.ebay.de/help/sell/shippingservices_ov.html
FF -: plugin - C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\bgtdp7wh.default\extensions\{1acd747e-8470-11db-96a9-00e08161165f}\plugins\NPTS5we.dll
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Real\RealArcade\Plugins\Mozilla\npracplug.dll
FF -: plugin - G:\Mozilla Firefox\plugins\npgcplug.dll
FF -: plugin - G:\Mozilla Firefox\plugins\NPMGWRAP.DLL
FF -: plugin - G:\Mozilla Firefox\plugins\npnul32.dll
FF -: plugin - G:\Mozilla Firefox\plugins\nppdf32.dll
FF -: plugin - G:\Mozilla Firefox\plugins\nppl3260.dll
FF -: plugin - G:\Mozilla Firefox\plugins\npqtplugin.dll
FF -: plugin - G:\Mozilla Firefox\plugins\npqtplugin2.dll
FF -: plugin - G:\Mozilla Firefox\plugins\npqtplugin3.dll
FF -: plugin - G:\Mozilla Firefox\plugins\npqtplugin4.dll
FF -: plugin - G:\Mozilla Firefox\plugins\npqtplugin5.dll
FF -: plugin - G:\Mozilla Firefox\plugins\npqtplugin6.dll
FF -: plugin - G:\Mozilla Firefox\plugins\npqtplugin7.dll
FF -: plugin - G:\Mozilla Firefox\plugins\npracplug.dll
FF -: plugin - G:\Mozilla Firefox\plugins\nprjplug.dll
FF -: plugin - G:\Mozilla Firefox\plugins\nprpjplug.dll
FF -: plugin - G:\Mozilla Firefox\plugins\NPSWF32.dll
FF -: plugin - G:\QuickTime\Plugins\npqtplugin.dll
FF -: plugin - G:\QuickTime\Plugins\npqtplugin2.dll
FF -: plugin - G:\QuickTime\Plugins\npqtplugin3.dll
FF -: plugin - G:\QuickTime\Plugins\npqtplugin4.dll
FF -: plugin - G:\QuickTime\Plugins\npqtplugin5.dll
FF -: plugin - G:\QuickTime\Plugins\npqtplugin6.dll
FF -: plugin - G:\QuickTime\Plugins\npqtplugin7.dll
FF -: plugin - G:\Real\Netscape6\nppl3260.dll
FF -: plugin - G:\Real\Netscape6\nprjplug.dll
FF -: plugin - G:\Real\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-23 10:43:50
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-23 10:44:55
ComboFix-quarantined-files.txt 2008-09-23 08:44:35

Vor Suchlauf: 7 Verzeichnis(se), 47.823.253.504 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 49,343,733,760 Bytes frei

156 --- E O F --- 2008-09-10 16:38:05

------- ENDE Combofix Logfile -----------


Achtung: In der Eile habe ich noch nicht den IE 7 installiert.

Kannst Du jetzt schon Aussagen zum Logfile treffen?

So,
Das Hauptproblem. In Zukunft würde ich mich vor Rogue Software fernhalten. ;)

Der Wurm war auf deinem Rechner oben (D:\Setup.exe).
Ich würde, ehrlich gesagt, neuaufsetzen.

Hallo,

erstmal danke für die Antwort.

Ich habe mir eine Antispyware Software (w**.antispywarebot.com) heruntergeladen und installiert.

Mittlerweile weiß ich dass das ein Fehler war.
Hat Combofix nun das antispywarebot entfernt?

Das Problem war wohl dieser Eintrag?
HKLM-Run-zzzHPSETUP - D:\Setup.exe

Du schreibst, Du würdest das System neu aufsetzen.
Das stellt bei meinen System eine Arbeit von Tagen dar.
Gibt es keine andere Möglichkeit?

Wie gesagt, Hauptsache er werden keine Zugangsdaten/Passwörter ausspioniert.

Ja, hat es.
Ja, der beweist, das der Wurm exisitert hat.
Ich setze innerhalb von 3 Stunden neu auf. ;)
Es gibt andere Möglichkeiten, aber ob die zu 100% Vertrauenswürdigkeit deines Systems führen, ist sehr fraglich.

Ok, das hat jetzt aber nichts mehr mit WORM/small.i. zu tun, oder?
So wie ich das verstanden habe war das ein zweiter Wurm.

Im Startmenu ist übrigens immer noch ein Ordner "Antispywarebot",
darin ist "Antispywarebot" und "Antispywarebot on the web".
Wenn ich "Antispywarebot" anklicke, will eine Installationsroutine starten, die dann aber versagt, weil entspreche Dateien nicht mehr gefunden werden.
Soll ich diesen Ordner im Startmenu löschen?

Nochmal zu dem Passwort Problem.

Was macht dieser Wurm eigentlich genau?
Siehst Du da eine Gefahr das Passwörter ausspioniert werden?
Kann ich eigentlich gefahrlos Outlook öffnen?

Ich hätte da nach zwei Fragen an dich:
1. Wer oder was ist bei dir das Laufwerk D:?
2. Benutzt du etwas von HP (Hewlett Packard)?

Ja kannst du, außer du willst Neuaufsetzen.
Ich seh keine Gefahr, aber ein gewisses Risiko.
So ein Risiko ist bei jeder Infektion der Fall, nur eben verschieden groß..

1. Das Laufwerk D: ist das CD-Rom
2. Ja, ich habe einen HP Scanner, mit der Installation des HP Scanners haben Sie auch einige HP-Zusatzprogramme installiert, z.B. ein Picture-Viewer.

Warum die Frage bzgl. des Laufwerk?

Eine Frage noch: Kann ich gefahrlos Outlook öffnen?

Danke nochmals für alles, kann ich gar nicht genug betonen!

Eine Freundin hat mich zum Glück darüber informiert, das die Setup.exe von HP stammen könnte!
Da du ja lauter Zeugs davon hast, ist das dann gut möglich. ;)
Ja. ;)

Okay, aber es war ja dieser Eintrag im Combofix Logfile enthalten.

HKLM-Run-zzzHPSETUP - D:\Setup.exe

Wenn man danach googelt kommen ziemlich viele Viren-Meldungen.
Hmm... das macht mich unsicher.

Übrigens: Mein Rechner verhält sich absolut unverdächtig, nicht zu langsam, keine Pop-Ups, etc.

Ja, da etliche Malware, wie gesagt, gern Namen wie Autorun.exe oder Setup.exe trägt.
Das hört sich gut an.
Sicherheitshalber noch das Tool durchführen:

SDFix anwenden:

• Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  http://img.bleepingcomputer.com/swr-...ix-install.jpg
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

So, ich bins wieder, ich habe SDfix und nochmal Hijackthis durchlaufen lassen.

SDfix-Report:
----


SDFix: Version 1.228
Run by Thomas on 23.09.2008 at 15:55

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-23 15:58:25
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Wed 27 Jun 2007 105,472 ...H. --- "C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft\Word\~WRL0615.tmp"
Mon 21 May 2007 0 ...H. --- "C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft\Word\~WRL1550.tmp"
Tue 6 Nov 2007 0 ...H. --- "C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft\Word\~WRL2139.tmp"

Finished!


------------------





HiJackthis Report:
-----
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:01:51, on 23.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
G:\Lavasoft\Ad-Aware2008\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
G:\AntiVir PersonalEdition Classic\avguard.exe
G:\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
G:\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
G:\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
G:\Audio Deck\EnMixCPL.exe
G:\ASUSTek\ASUSDVD\PDVDServ.exe
G:\Logitech\MouseWare\system\em_exec.exe
G:\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
G:\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
G:\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
G:\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
G:\totalcmd\TOTALCMD.EXE
G:\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [zBrowser Launcher] G:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EnvyHFCPL] g:\Audio Deck\EnMixCPL.exe 1
O4 - HKLM\..\Run: [RemoteControl] G:\ASUSTek\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] G:\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avgnt] "G:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "G:\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{236F9A62-71C0-416D-A2DF-0FCAC4092215}: NameServer = 212.18.3.5,212.18.0.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{236F9A62-71C0-416D-A2DF-0FCAC4092215}: NameServer = 212.18.3.5,212.18.0.5
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - G:\Lavasoft\Ad-Aware2008\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - G:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - G:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: V2i Protector - PowerQuest Corporation - G:\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

--
End of file - 6142 bytes

---

Was lässt sich daraus schließen?

Das keine Trojaner o. Ä. gefunden wurde. ;)

okay :)

Ich mache jetzt mal weiter OHNE neuaufsetzen.
Sieht ja ganz gut aus!