Ich vermute, da ich Windows XP HE habe, kann ich PIDs nicht anzeigen lassen. Im Taskmanager gibt es den Reiter Dienste nicht, nur Prozesse.

Die beiden Einträge sind in der Registry, dort, wo du sie vermutet hast.
Haben sie definitiv mit Malware zu tun? Kann es nicht sein, dass sie mit dem XProtector, der ja scheinbar von einiger Software installiert wird, zusammenhängen. Ich habe eigentlich kein virentypisches Verhalten auf meinem Rechner. Bei dem CIADoor liest man immer wieder, dass er Firewalls, das Internet etc. blockiert. Auch findet keines der Virenscanner diese Malware.

Wie bekomme ich die Malware wieder los? Zum Neuaufsetzen komme ich in den nächsten 3-4 Wochen nicht, das ist ein Prozess, der erfahrungsgemäß bei mir 1-2 Tage dauert. Wir haben hier nur DSL Light, alleine die Updates aus dem Internet würden vermutlich 5-6 Stunden dauern.

Noch ein Nachtrag:

Wir haben hier in unserem kleinen Büro vier untereinander nicht vernetzte Rechner (u.a. ein Laptop, das seltenst im Internet ist), die auch nicht über USB-Stick etc. miteinander kommunizieren.

Auf zweien ist auch das XProtector-File drauf und auf allen der Eintrag in der Registry (die zwei nutze nur ich und habe dort identische Software aufgespielt) - die anderen beiden verwalte ich nicht, aber auch hier ist der Eintrag vorhanden:

HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shellexecutehooks
{AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ

Nur der zweite Eintrag "{56F9679E-7826-4C84-81F3-532071A8BCC5} REG_SZ" ist nicht auf allen vorhanden.

Kann es sein, dass dieser Reg-Schlüssel normaler Bestandteil eines Programmes ist, das auf allen Rechnern installiert ist, z.B. dem Backup-Programm? Dass alle vier den Virus abbekommen haben, obwohl sie nicht per LAN verbunden sind und auch darauf geachtet wird, dass sie nicht über USB-Sticks kommunizieren, halte ich für unwahrscheinlich. Wie siehst du das?

Danke übrigens, für die viele Zeit, die du in meine Problemlösung investierst, finde ich toll. :aplaus:

So, habe es nun verstanden: Ich muss erst die PID-Adressen unter "Spalten auswählen" aktivieren. Habe die PID-Prozesse auch anzeigen lassen. Ein 1320er ist nicht dabei, auch kein 3952er.

Ist das ein gutes Zeichen?

Klicke mal doppelt auf den grauen Rand des Taskmanagers...

Relativ sicher, ja. Ich habe zu dieser CLSID nur schädliche Programme gefunden..

Mein Bauch sagt mir, dass du in einem BotNetz hängst bzw. geowned bist.

Das du nichts merkst und kein Virensscanner was findet ist nicht ungewöhnlich.
http://oschad.de/wiki/Virenscanner
http://oschad.de/wiki/HomePage


Schwierig mit den Registry Einträgen.. Ich traue der Sache nicht...
http://www.google.de/search?q=AEB6717E-7E19-11d0-97EE-00C04FD91972&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a


Könnte sein, ja. Allerdings ist es sehr merkwürdig, dass google das dann nicht ausspuckt..


Lasse mal bitte counterspy laufen und poste das log.


Und ein Panda log würde ich gerne sehen.


Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Ok, werde ich alles machen.

Noch kurz ein paar Fragen

1.) Sind CounterSpy und Viper identisch. Finde dort den Downloadlink für CounterSpy nicht, nur für Viper.

2.) Ich arbeite beruflich oft mit Adobe Acrobat Connect Pro Meeting, d.h. nehme an Online-Konferenzen teil. Kann es sein, dass daher die unbekannten Einträge kommen? Dazu muss ja quasi auch eine BackDoor geöffnet werden - oder? Ich kann dann auch anderen den Zugriff auf meinen PC erlauben. Wenn ich z.B. Personen fortbilde, können sie das sehen, was ich auf dem Desktop freigebe. Kommt daher eventuell der Eintrag?

3.) Leider haben wir hier im Moment nur DSL-Light, daher dauert alles sehr lange. Aber ich habe immer die volle Leistung. Wenn mein Rechner Teil eines Bot-Netzwerkes wäre, müsste mir dann nicht Leistung fehlen?

1) Jop. In VIPRE sollte Counterspy quasi eingebaut sein..

2) Das könnte die Einträge teilweise erklären..

3) Nicht zwingend. Die Netz arbeiten selten kontinuierlich sondern nur in "Schüben".

Panda-Log:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-03-15 23:52:20
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 2
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
G DATA AntiVirus 18.0 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Donnerstag\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Freitag\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Mittwoch\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Montag\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Samstag\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Sonntag\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Psion\Dienstag\cookies.txt[.adtech.de/]
02915730 Trj/Rebooter.J Virus/Trojan No 0 Yes No G:\Treiber + Downloads\SmitfraudFix.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location i
;===================================================================================================================================================== ==============================
No C:\Asus\GPS2Blue.exe i i
No C:\RECYCLER\S-1-5-21-1065656844-2122956271-3000891388-1009\Dc147.flv i
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description i
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================


Die Datei SmitfraudFix.exe ist kein Trojaner, sondern ein Cleaning-Tool, das ich für einen Bekannten vor ein paar Jahren geladen habe, da er angeblich einen Smitfraud auf seinem Rechner gemeldet bekommen hatte. Das Tool wurde auf meinem Rechner nie ausgeführt.

PS: Vipre habe ich nicht installiert, weil ich dazu hätte GDATA Antivirus 2009 deinstallieren müssen und ich froh bin, dass das diese AV so gut läuft.

Hier gibt es Counterspy als Stand Alone: http://go.sunbeltsoftware.com/?linkid=410
Das sollte mit G-Data klar kommen...

Danke dir. Ich bin zurzeit dienstlich unterwegs und kann es erst in paar Tagen ausprobieren. Mein Notebook, mit dem ich gerade arbeite, hat haargenau dieselben Einträge und mit ihm bin ich auch gelegentlich in Adobe Acrobat Meeting Connect Pro online. Ich vermute immer mehr, dass es damit zusammenhängt. Das Notebook nutze ich sonst kaum im Internet. Es käme sonst nur ein Virus über die Installation einer gekauften Software (allenfalls Freeware) in Frage. Auf dem Notebook ist NOD32 installiert, das ebenfalls keinen Virus entdeckt.

Hi,

ich habe eben mit CounterSpy mein Notebook gescannt, da auch hier die XProtector-Datei vorhanden ist. Auch hier wird ein Trojaner, der mit dem XProtector zusammenhängt gefunden:

Risk name: Trojan-Downloader.Win32.VB.ahc
Source: Scanner
Risk level: High
Risk category: Trojan Downloader

Description: A Trojan Downloader is a program typically installed through an exploit or some other deceptive means and that facilitates the download and installation of other malware and unwanted software onto a victim's PC. A Trojan Downloader may download adware, spyware or other malware from multiple servers or sources on the internet.

Advice: This is a high risk and should be removed immediately as it may compromise your privacy and security, make dangerous changes to your computer's settings without your knowledge and consent, or severely degrade your computer's performance and stability.

--------------------------

Ich habe es nun von der Software entfernen lassen. Ein Logfile konnte ich leider nicht finden, aber alle Einträge in der Registry, die angezeigt wurden, hatten mit dem XProtector zu tun. Ich habe keine Ahnung, ob es ein echter Trojaner ist oder aber zu einer Software gehört. Auf dem Notebook befindet sich nur teure Software und das ein oder andere Freewareprogramm, von dem ich eigentlich sicher war, dass es keine Spyware beinhaltet.

Bin etwas verunsichert, ob meine Rechner verseucht sind, oder nicht. Ich spiele weder mit den PCs noch mache surfe ich damit auf dubiosen Seiten. Alle haben eine aktuelle Antivirensoftware drauf, alle ServicePacks, eine Firewall etc. pp. Das wäre mein erster Befall seit meinem 386er im Jahr 1992.

Fall es ein Trojaner ist/war, ist der Rechner wohl trotz problemloser Entfernung durch CounterSpy nun kompromittiert, oder?

Warum haben eigentlich alle Antivirenprogramme, wie GDATA, Avast, NOD32, PANDA etc. keine Malware gefunden, nur SpyBot und CounterSpy? War es nur eine fehlerhafte Virensignatur?

Kannst du das log nicht wie hier beschrieben finden?
http://virus-protect.org/counterspy1.html

Hat Counterspy eine Quarantäne oder Backup Funktion? Dann könnten wir die Datei mal an ein führendes Virenlabor schicken und gucken was die dazu sagen.

Wenn sie wirklich schädlich ist ist dein rechner kompromitiert ja.

Das nur einige AV-Scanner den Schädling finden ist ganz normal. Grade wenn es sich um Spyware und nicht um typische Viren handelt.
Viele Schädlinge werden auch von überhaupt keinem Programm gefunden sondern können nur manuell identifiziert werden.

Ich lasse gerade Counterspy noch einmal durchlaufen, um zu prüfen, ob das Entfernen erfolgreich war. Solange habe ich auf die Funktionen keinen Zugriff. Ich hoffe, dass die Datei in Quarantäne liegt. Ich bin immer noch verunsichert, was die Kompromittierung der Rechner anbelangt. Auf den Rechnern lief nie etwas, was ich als "verdächtig" einstufen würde. Wo fängt man sich soetwas ein?

Die XProtector.sys ist nun jedenfalls weg. Die von dir genannten verdächtigen Registry-Einträge sind noch da - allerdings habe ich heute zwei XP-Rechner von Arbeitskollegen mit Regedit durchforstet, alle haben zumindest den einen Eintrag unter XP - eventuell wird er durch Adobe Connect Pro installiert.

Muss ich davon ausgehen, dass trotz der Reinigung meines Rechners durch CounterSpy der Trojaner noch aktiv ist, wenn es einer war? Die Registry-Einträge zum XProtector sind weg, ebenso die XProtector.sys.

Kann ich mit irgendeiner Software nachweisen, ob noch versteckte Einträge vorhanden sind?

Ich bin dir ewig dankbar für deine kompetente Hilfe!

Hi,

noch ein Nachtrag. Ich überlege mir ein älteres Image von Acronis wiederherzustellen. War leider in der letzten Zeit, was Image-Pflege anbelangt, nachlässig, es müsste ca 6 Monate alt sein.

Ich habe noch nie ein Image wiederherstellen müssen. Formatiere ich dazu das Notebook oder macht das Acronis, wenn ich es über die Acronis-Boot-CD starte, selbst, bevor das Image installiert wird. Gibt es hier Tipps, für die Vorgehensweise.

Mein Acer-Notebook muss irgendwo eine versteckte Recovery-Funktion haben, denn im Bootscreen gibt es die Möglichkeit "Recovery" zu wählen. Die ist wohl nach der Imagerückspielung verloren, oder?

So wie du deine Gewohnheiten beschrieben hast eigentlich nur über Exploits die Sicherheitslücken in installierter Software ausnutzen.

Aber ich würde erstmal von einem Fehlalarm ausgehen...

Wenn es allerdings wirklich ein Trojaner war dann müssen wir gucken was für einer, mit welchen Funktionen und Absichten dieser betrieben wird.

Da gibt es eine ganze Menge.. ;)
Fange jetzt aber bloß nicht an das selbst zu probieren. Damit macht man meist alles noch schlimmer und nährt die Paranoia.