Hallo,

ich habe im Internet das Programm "No Adware" heruntergeladen. Und "No Adware" zeigt mir folgendes an:

Backdoor Sdboot.F C:\Windows\RunDll16.exe
W32.Looked.C C:\Windows\Logo1_.exe
W32.Sality.U C:\Windwows\system32\vcmgcd32.dllFile

Nachdem mir No Adware die Ergebnisse angezeigt hat, meldet mir Bitdefender auf einmal:

Datei c:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\MWAVSCAN.COM
infiziert mit BehavesLike:Win32.FileInfector

Der Virus wurde geblockt. Ihr System wurde nicht infiziert. Habe deshalb mal einen eScan durchgeführt hier das Ergebnis:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.9
Sprache: German
Virus-Datenbank Datum: 12/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with toolbardeepdive Adware ({d449eb58-55af-4695-b216-895d546aed89})! Action taken: Keine Aktion vorgenommen.
System found infected with toolbardeepdive Adware ({b7db519e-7131-47b1-a9f5-da8d061c2611})! Action taken: Keine Aktion vorgenommen.
System found infected with toolbardeepdive Adware ({446761d5-3ac9-40cc-9dcd-cde23e2ce31a})! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Spyware Doctor\~tmp\~LUFA.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{054CF1C8-110F-4653-9355-18D6FEE0CBC4}\RP34\A0081961.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{054CF1C8-110F-4653-9355-18D6FEE0CBC4}\RP34\A0081976.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{054CF1C8-110F-4653-9355-18D6FEE0CBC4}\RP34\A0091820.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{054CF1C8-110F-4653-9355-18D6FEE0CBC4}\RP34\A0091835.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{14CD45C7-5AFE-45CA-A6FC-0B1CFD5C17C8}\RP34\A0006299.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{14CD45C7-5AFE-45CA-A6FC-0B1CFD5C17C8}\RP34\A0006315.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{53710B75-2FB5-4D80-B9B4-57D424E3A2D9}\RP17\A0022270.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{53710B75-2FB5-4D80-B9B4-57D424E3A2D9}\RP17\A0022285.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{53710B75-2FB5-4D80-B9B4-57D424E3A2D9}\RP7\A0002920.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{53710B75-2FB5-4D80-B9B4-57D424E3A2D9}\RP7\A0002935.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{53710B75-2FB5-4D80-B9B4-57D424E3A2D9}\RP9\A0003576.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{53710B75-2FB5-4D80-B9B4-57D424E3A2D9}\RP9\A0003592.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{9DD26656-2A81-4413-BC49-04D1D2C5AC7B}\RP2\A0017364.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{9DD26656-2A81-4413-BC49-04D1D2C5AC7B}\RP2\A0017379.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{9DD26656-2A81-4413-BC49-04D1D2C5AC7B}\RP2\A0033681.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{9DD26656-2A81-4413-BC49-04D1D2C5AC7B}\RP2\A0033696.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{B4602A21-2D52-4D12-B037-F6B9FA7F19F8}\RP4\A0001393.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{B4602A21-2D52-4D12-B037-F6B9FA7F19F8}\RP4\A0001408.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{BFD44244-DAC0-4FC8-9DE0-6BF185B4D4A1}\RP5\A0002838.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{BFD44244-DAC0-4FC8-9DE0-6BF185B4D4A1}\RP5\A0002853.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 64586
Gefundene Viren: 3
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 33
Dauer des Scans bisher: 00:31:35
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 0:07:58,26
Batchende: 0:08:09,07


Was habe ich mir da genau eingefangen? Hier noch einige Fragen, da ich kein Experte bin:

ich habe ein Backupimage von meinem PC, als er noch nicht infiziert war. Kann ich mit diesem Backupimage (Systempartition C:\),meinen PC wiederherstellen, so das ich keine infizierten Dateien mehr auf dem PC habe? Ich meine, ist dann mein PC wieder frei von infizierten Dateien?

Ist es ratsam von allen Partitionen ein Backupimage zu erstellen (wenn natürlich der PC sauber ist)?
Oder reicht es, wenn man von der Systempartition C:\ ein Backupimage erstellt?
(Zur Info: ich habe 2 Festplatten, die erste Festplatte ist in drei Partitionen unterteilt und die zweite Festplatte hat nur eine Partition).

Oder würdet Ihr mir raten den Auslieferungszustand des PC`s wiederherstellen? Habe ich dann am sichersten wieder einen sauberen PC. Kenne mich leider nicht so gut aus.

Vielen Dank im Voraus.

Zitat:

Zitat von jens_78

Backdoor Sdboot.F C:\Windows\RunDll16.exe
W32.Looked.C C:\Windows\Logo1_.exe
W32.Sality.U C:\Windwows\system32\vcmgcd32.dll

Wenn es sich dabei um leere Ordner handelt (zu 99,9% ), sind die von escan angelegt. Also keine Panik auf der Titanic, das ist ein Fehlalarm deines unfähigen No Adware-Prgramms und eine Unart von escan.

Zitat:

ich habe ein Backupimage von meinem PC, als er noch nicht infiziert war. Kann ich mit diesem Backupimage (Systempartition C:\),meinen PC wiederherstellen, so das ich keine infizierten Dateien mehr auf dem PC habe? Ich meine, ist dann mein PC wieder frei von infizierten Dateien?

Ja, aber vorliegend wohl nicht notwendig. Deaktiviere die Systemwiederherstellung und starte neu. Poste zur Übersicht ein HJT-log (siehe faq).

Zitat:

Ist es ratsam von allen Partitionen ein Backupimage zu erstellen (wenn natürlich der PC sauber ist)?

Immer. Das fällt unter Datensicherung und hilft ungemein, wenn die Festplatte den Geist aufgibt. (passiert häufiger als man denkt und nach Myrphy's Law immer zum ungünstigsten Zeitpunkt) Zur Bereinigung bzw. Systemwiederherstellung genügt idR das Image der Systempartition zurück zu spielen. Voraussetzung: Die übrigen Datenbestände sind sauber. Deshalb empfiehlt sich, Programme und nicht ausführbare Daten auf getrennten Partition zu speichern.

Zitat:

Oder würdet Ihr mir raten den Auslieferungszustand des PC`s wiederherstellen? Habe ich dann am sichersten wieder einen sauberen PC.

Ist zusätzlich ein Image vorhanden, ziehe ich das dem Auslieferungszustand vor, da du hier deine individuellen Einstellungen behältst. Sicher ist die Prozedur natürlich nur in dem Maß, in dem du dir sicher bist, dass das Image keimfrei ist.

Weiterführende Infos findest du in http://www.trojaner-board.de/12154-a...sicherung.html

Gruß ordell

Hallo,

danke für die schnelle Antwort. Also würdest du mir raten, dass Programm NoAdware zu deinstallieren? Aber die Datei Backdoor Sdboot.F hört sich doch wirklich nicht gut an. Wie soll jemand wie ich, der nicht so viel Ahnung hat, wissen das das Programm eSan diese Datei erstellt.

Was ist denn mit dem Ergebnis von eScan:

System found infected with toolbardeepdive Adware ({d449eb58-55af-4695-b216-895d546aed89})! Action taken: Keine Aktion vorgenommen.
System found infected with toolbardeepdive Adware ({b7db519e-7131-47b1-a9f5-da8d061c2611})! Action taken: Keine Aktion vorgenommen.
System found infected with toolbardeepdive Adware ({446761d5-3ac9-40cc-9dcd-cde23e2ce31a})! Action taken: Keine Aktion vorgenommen.

Wobei handelt es sich dabei?

Und wie beurteilst du das Ergebnis von Bitdefender:

Datei c:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\MWAVSCAN.COM
infiziert mit BehavesLike:Win32.FileInfector

Der Virus wurde geblockt. Ihr System wurde nicht infiziert.

Habe jetzt auch mal das Programm "Ad-Aware" durchlaufen lassen mit folgenden Ergebnissen:


Adware.CDN (Malware)
File Root: HKCR Path: clsid\{d449eb58-55af-4695-b216-895d546aed89}
File Root: HKCR Path: interface\{446761d5-3ac9-40cc-9dcd-cde23e2ce31a}
File Root: HKCR Path: typelib\{b7db519e-7131-47b1-a9f5-da8d061c2611}

Was bedeuten denn diese Ergebnisse von Ad-Aware? Sind das Trojaner? Soll ich die gefundenen Einträge löschen?



Gibt es das Programm "Ad-Aware" eigentlich auch auf Deutsch?

Was für ein Programm benutzt du denn, um am sichersten herauszufinden ob der Computer infiziert ist? Lohnt es sich da, dass Programm eSan zu kaufen? Oder was für ein Programm würdest du empfehlen? Hat das Programm auch einen Echtzeitschutz? Bin echt am verzweifeln, wie und mit welchem Programm man am besten herausfindet ob man mit irgendwas infiziert ist.

Hier nun mein HJT-log:

gfile of HijackThis v1.99.1
Scan saved at 02:24:17, on 13.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Caere\OmniPagePro90\opware32.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Razer\CopperHead\razerhid.exe
C:\Programme\AxBx\VirusKeeper 2007 Pro Probeversion\VirusKeeper.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Softwin\BitDefender10\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\NoAdware5.0\NoAdware5.exe
C:\Programme\Razer\CopperHead\razertra.exe
C:\Programme\Razer\CopperHead\razerofa.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 6 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\CopperHead\razerhid.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Programme\AxBx\VirusKeeper 2007 Pro Probeversion\VirusKeeper.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NoAdware5] "C:\Programme\NoAdware5.0\NoAdware5.exe" :Min:
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity Trial\AVK\AVKWCtl.exe (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



Vielen Dank im Voraus für die Antworten.

Zitat:

Zitat von jens_78

Also würdest du mir raten, dass Programm NoAdware zu deinstallieren? [..]Wie soll jemand wie ich, der nicht so viel Ahnung hat, wissen das das Programm eSan diese Datei erstellt.

Ja. Scanner, die nur nach Namen gehen, keine inhaltliche Prüfung vornehmen und ne Datei nicht von einem Ordner unterscheiden können, taugen nichts. Dass die Dinger von escan stammen, weiß man mit der Zeit; aus der Kalten kannst du das natürlich nicht wissen.

Zitat:

Ergebnis von eScan:
System found infected with toolbardeepdive Adware ({d449eb58-55af-4695-b216-895d546aed89})!
System found infected with toolbardeepdive Adware ({b7db519e-7131-47b1-a9f5-da8d061c2611})!
System found infected with toolbardeepdive Adware ({446761d5-3ac9-40cc-9dcd-cde23e2ce31a})!

Adware.CDN (Malware)
File Root: HKCR Path: clsid\{d449eb58-55af-4695-b216-895d546aed89}
File Root: HKCR Path: interface\{446761d5-3ac9-40cc-9dcd-cde23e2ce31a}
File Root: HKCR Path: typelib\{b7db519e-7131-47b1-a9f5-da8d061c2611}

Die Einträge stammen von Bitdefender. siehe hier. Grund des Fehlalarms ist wohl, dass Adware identische Schlüssel anlegt. -> HyperSnap Installer - Potenziell unerwünschte Anwendung - Sophos Bedrohungsanalyse

Zitat:

Und wie beurteilst du das Ergebnis von Bitdefender:
Datei c:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\MWAVSCAN.COM
infiziert mit BehavesLike:Win32.FileInfector

Ebenfalls Fehlalarm; Bitdefender meckert zum Ausgleich escan als schädlich an. :aplaus: Nichts löschen!

Zitat:

Gibt es das Programm "Ad-Aware" eigentlich auch auf Deutsch?

We are working on the translations.

Zitat:

Was für ein Programm benutzt du denn, um am sichersten herauszufinden ob der Computer infiziert ist?[..]Oder was für ein Programm würdest du empfehlen?

Ich hatte mal Kaspersky und war ganz zufrieden. Derzeit nutze ich die Auswertung auf virustotal.com, den antivir-commandline-scanner und Analysetools wie Process Explorer, Autoruns, Processmonitor.

Nimm ein AVP, mit dem du gut zurecht kommst, dessen Meldungen du verstehst und eines, was von der Performance deiner Kiste auch noch was übrig läßt. Personal Firewalls sind überflüssig. Ebenso halte ich Antispyware- und Antiadware-tools für Pfeffer, da die Malwarekategorien ohnehin fließend sind. Ein guter scanner deckt das alles ab, den Rest erledigt man mit einer vernünftigen Konfiguration seiner Software. Bsp cookies: cookie-Einstellungen

Zitat:

Lohnt es sich da, dass Programm eSan zu kaufen? Hat das Programm auch einen Echtzeitschutz?

Keine Ahnung, ich habe das Programm nie genutzt. Infos über das Programm findest du auf der Hompage.

zum HJT-log:
fixe die Überbleibsel von G-Data

Zitat:

O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)

Mach dir nicht so ne Raste über den bestmöglichen scanner. Wenn du mit gesundem Menschverstand surfst und nicht noch den 12. pornocodec installierst, bleibt dein AVP arbeitslos. In diesem Fall ist ziemlich buggi, welches Programm das ist. Grüße

Hallo,

danke für deine Antwort. Aber jetzt komm ich schon etwas durcheinander. Ich glaube das trotzdem mit meinem PC irgendwas nicht stimmt. Habe nämlich eScan im normalen Modus mal gestartet und da wird mir doch auf einmal angezeigt:System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.

Also hab ich mal im Internet geschaut und da wurde gesagt das man mit dem Programm "SmitfraudFix" den Virus "video activex access Trojan" entfernen könne. Ich habe das Programm ausgeführt (nach Anleitung). Ich glaubte damit sei das Problem gelöst. Also hab ich eScan nochmal im abgesicherten Modus gestartet um zu schauen ob mein System jetzt sauber ist. Doch der Virus ist immer noch da und zusätzlich bekomme ich auch noch folgenden Schädling angezeigt: trojan-downloader.bat.ftp.

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Hypertrophie ist auch ein Hobby. Lesetip.

Hallo,

ja aber mal im ernst, warum bekomm ich denn von eScan die Datei trojan-downloader.bat.ftp. und video activex access Trojan angezeigt? Ich bin wirklich absoluter Anfänger was das Thema betrifft. Bitte um Hilfe.

Was eScan "trojan-downloader.bat.ftp" nennt, sind Überreste von Smitfraudfix. Einfach ignorieren, einmal, wie von ordell schon gesagt, die Systemwiederherstellung deaktivieren, Rechner neu starten und es sollte gut sein.
Den Report von Smitfraudfix könntest du aber noch mal posten, wenn du ihn noch hast.

Zitat:

Zitat von Franz1968

Was eScan "trojan-downloader.bat.ftp" nennt, sind Überreste von Smitfraudfix. Einfach ignorieren, einmal, wie von ordell schon gesagt, die Systemwiederherstellung deaktivieren, Rechner neu starten und es sollte gut sein.
Den Report von Smitfraudfix könntest du aber noch mal posten, wenn du ihn noch hast.

Habe es so gemacht, wie du gesagt hast. Aber danach wurde immer noch von eScan die Meldungen angezeigt: "System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader" und "System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})"

Habe dann manuell die betroffenen Dateien gelöscht:
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe

OK somit habe ich das Problem lösen können, was die Überreste von dem Programm "Smitfraudfix" betrifft. Aber die Meldung "System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})" bekomme ich immer noch angezeigt. Kannst Du mir sagen, wobei es sich dabei handelt? Also mit dem Programm "Smitfraudfix" habe ich es nicht geschafft den video activex access Trojan wegzubekommen.

Hier mal der Report von Smitfraufix:

SmitFraudFix v2.268

Scan done at 21:44:02,39, 14.12.2007
Run from C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\SmitraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

Problem while deleting C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9956EF14-FE9B-48BE-ACD3-37CDBF163337}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9956EF14-FE9B-48BE-ACD3-37CDBF163337}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9956EF14-FE9B-48BE-ACD3-37CDBF163337}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


Bitte um Hilfe was genau der Report aussagt. Wie bekomme ich den video activex access Trojan weg?
Oder handelt es dabei auch nur um Überreste, von irgendein Programm?

Also habe herausgefunden das folgende Meldung von eScan mit Windows Live Messenger zusammenhängt. "System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})" .

Sobald ich Windows Live Messenger deinstalliere, bekomme ich auch keine Meldung mehr von eScan. Das heißt, dass man diese Meldung von eScan: "System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})" ignorieren muss, wenn man Windows Live Messenger installiert hat. Verstehe ich das richtig? Wäre interessant wenn andere Benutzer hier schreiben würden, ob sie auch diese Meldung von eScan bekommen, wenn sie Windows Live Messenger auf dem Rechner installiert haben.

Zitat:

Zitat von jens_78

Verstehe ich das richtig?

Yep. Du bist sauber, soweit sich das bisher beurteilen läßt. Wenn du keine Probleme mit dem Rechner hast, lass die Scannerei sein. Irgendwas findet sich immer, und wenn's ein Fehlalarm ist.

Vielen Dank für Eure Hilfe !!!

Aber folgendes würde ich gerne noch wissen. Ich habe Wiso Internet Security auf meinem Rechner installiert. Und bekomme auch wenn ich nur Laufwerk C:\ scanne, immer die Meldung, das die Masterbootsektoren HD 2; HD3; HD4 und HD5 nicht gelesen werden konnten. Und folgende Meldung kann ich mir auch nicht erklären:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!



Hier die dazugehörige Reportdatei:

WISO Internet Security
Erstellungsdatum der Reportdatei: Freitag, 21. Dezember 2007 23:37

Es wird nach 985274 Virenstämmen gesucht.

Lizenznehmer: WISO Internet Security
Seriennummer: ******-******-******
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.******]
Benutzername: *** Norton Ghost
Computername: ***-*******

Versionsinformationen:
BUILD.DAT : 89 24372 Bytes 14.11.2007 12:36:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 12:16:00
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 14:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 14:32:34
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 14:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 17:49:00
ANTIVIR2.VDF : 7.0.1.96 2048 Bytes 14.12.2007 17:49:00
ANTIVIR3.VDF : 7.0.1.139 186368 Bytes 21.12.2007 22:15:35
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 21.12.2007 22:15:35
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 06:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.6.0.2 360488 Bytes 21.12.2007 22:15:35
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 06:16:55
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 11:26:07
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 06:10:07
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.35 3084328 Bytes 29.10.2007 13:54:43
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:37:35
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 08:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WISO Internet Security\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: umbenennen
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 21. Dezember 2007 23:37

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '25815' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerofa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razertra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VProTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'THGuard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ntvdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerhid.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OPware32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VProSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '47' Prozesse mit '47' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[HINWEIS] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
Masterbootsektor HD3
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
Masterbootsektor HD4
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
Masterbootsektor HD5
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '34' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 21. Dezember 2007 23:37
Benötigte Zeit: 00:33 min

Der Suchlauf wurde vollständig durchgeführt.

1 Verzeichnisse wurden überprüft
130 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
130 Dateien ohne Befall
0 Archive wurden durchsucht
1 Warnungen
0 Hinweise
25815 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden