Hallo liebe Forumsgemeinde
.
Nachdem ich die Tage Probleme hatte mit "Wjh", "Wleskea" und dann "sshnas21.dll nicht gefunden" hatte und mich weit eingelesen habe um das Problem zu lösen wollte ich einmal das Expertenwissen in Anspruch nehmen.
Habe dazu ein Hijack Log und Malwarebytes Log.

Direkt schonmal danke :-)
*edit* hoffe das geht i.O. Habe die Log Files leider nurnoch als txt Datei auf dem Rechner meiner Freundin, da ich den infizierten Rechner vorerst nichtmehr nutzen möchte. Nicht dass Daten ausgespäht werden

*edit2* Jetzt lese ich auch noch das HiJack Logfiles unerwünscht sind. Leider konnte ich mir nur dieses und Malwarebytes von einem sicheren System besorgen. Möchte nun ungerne den Rechner wieder mit dem Netz verbinden um andere Programme zu laden und auswerten zu lassen. Bin da nun ein wenig ängstlich nachdem ich gelesen habe, was die alles anrichten...
Hoffe es geht trotzdem einmal so.

Hier direkt ein paar Fragen von mir, wenn ich das System neu aufsetzen möchte.

Wie kann ich meine externe Festplatte überprüfen wo schon Daten drauf sind? Nicht dass die Schädlinge schon länger drauf sind und beim kopieren der Musik etc. sind die mitkopiert worden.

Ich habe 3 Partitionen (C D und E) wobei E eine HP_Recovery Partition ist.
Sollte ich aber lieber von der damals erstellten Recovery-CD aus booten oder kann ich das ganze per Recovery Manager machen?

Falls ich von CD boote und ALLE Patritionen lösche, wird dann auch der Recovery Manager wieder erstellt oder bleibt er verschollen?

Wenn ich alle Partitionen formatiere, habe ich ja hinterher nurnoch eine große Platte...
Erinnere ich mich richtig, dass beim Erstinstallieren von Widows gefragt wird, wie ich die Festplatte teilen will?

Ich habe auf dem infizierten System noch Dateien die ich sehr gerne behalten möchte. Es handelt sich um Musik,Bilder und Filmdateien. Alles legal(nur kurz erwähnt!). Ich habe gelesen ich sollte dazu Ubuntu nehmen?
Geht es evt. auch anders?

Zurzeit nutze ich Avira als Free-Version und ZoneAlarm. Sollte ich vorsichtshalber in Zukunft noch andere Programme nutzen, damit das ganze sicherer ist? Natürlich auf jedenfall in regelmäßigen Abständen Backup DVD´s erstellen.

Danke und nun die Files...

HiJackthis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 09:54:12, on 17.08.2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\Hp\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
D:\Programme\ZoneAlarm\zlclient.exe
C:\Program Files\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
D:\Programme\pdf24\pdf24.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Windows\ehome\ehtray.exe
D:\Programme\ICQ7.5\ICQ.exe
C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
D:\Programme\iTunes\iTunes.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceHelper.exe
C:\Program Files\Common Files\Apple\Apple Application Support\distnoted.exe
C:\Windows\system32\wuauclt.exe
D:\Internet-Programme\Mozilla Firefox\firefox.exe
D:\Internet-Programme\Mozilla Firefox\plugin-container.exe
C:\Users\Julian\Desktop\download\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = studiVZ | Bist Du schon drin?
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HP - United States | Laptop Computers, Desktops, Printers, Servers and more
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HP - United States | Laptop Computers, Desktops, Printers, Servers and more
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 127.0.0.1:8008
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
R3 - URLSearchHook: ZoneAlarm-Sicherheit Toolbar - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Program Files\ZoneAlarm-Sicherheit\tbZone.dll
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,D:\Progr amme\MPK keylogger\MPK.exe
O1 - Hosts: # Copyright (c) 1993-2006 Microsoft Corp.
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\Tru stCheckerIEPlugin.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: ZoneAlarm-Sicherheit Toolbar - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Program Files\ZoneAlarm-Sicherheit\tbZone.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: ZoneAlarm-Sicherheit Toolbar - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Program Files\ZoneAlarm-Sicherheit\tbZone.dll
O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\Tru stCheckerIEPlugin.dll
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.ex e" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NBKeyScan] "D:\Programme\Nero 8\NERO 8\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKLM\..\Run: [NUSB3MON] "C:\Program Files\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [PDFPrint] D:\Programme\pdf24\pdf24.exe
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Display Driver] C:\Users\Julian\AppData\Local\Temp\AtiDisplayDrive r.exe
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ7.5\ICQ.exe" silent loginmode=4
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/5.0_(Windows_NT_6.0;_rv:5.0)_Gecko/20100101_Firefox/5.0" -"hxxp://www8.agame.com/games/shockwave/s/slipstream_slider/5_slipstream_slider_spielen_com/slipstream_slider_spielen_com.html"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: WDDMStatus.lnk = C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Program Files\Common Files\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\Programme\ICQ7.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\Programme\ICQ7.5\ICQ.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NMSAccessU - Unknown owner - D:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - D:\Programme\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: WDDMService - WDC - C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
O23 - Service: WD File Management Engine (WDFME) - Unknown owner - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDFME\WDFME.exe
O23 - Service: WD File Management Shadow Engine (WDSC) - Unknown owner - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSC.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 13850 bytes
         

--- --- ---

und das Log von Malwarebytes:

Datenbank Version: 7484

Code: Alles auswählenAufklappen

ATTFilter

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

17.08.2011 15:26:06
mbam-log-2011-08-17 (15-25-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 552195
Laufzeit: 3 Stunde(n), 22 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 9
Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\8DDYX0ZBPZ (Trojan.FakeAlert.SA) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\KYQ8ZBOAXR (Trojan.FakeAlert.SA) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\W32xgl2 (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Refog Software (Refog.Keylogger) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\W32xgl2 (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Refog.Keylogger) -> Bad: (c:\windows\system32\userinit.exe,D:\Programme\MPK keylogger\MPK.exe) Good: (Userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
c:\program files\dwm32 (Trojan.Agent) -> No action taken.
c:\program files\dwm32\Records (Trojan.Agent) -> No action taken.
c:\program files\dwm32\screenshots (Trojan.Agent) -> No action taken.
c:\programdata\MPK (Refog.Keylogger) -> No action taken.
c:\programdata\MPK\1 (Refog.Keylogger) -> No action taken.
c:\programdata\MPK\CPDA (Refog.Keylogger) -> No action taken.
c:\programdata\MPK\CPDM (Refog.Keylogger) -> No action taken.
c:\programdata\MPK\refog free keylogger (Refog.Keylogger) -> No action taken.
c:\program files\win32Gl (Backdoor.Bot) -> No action taken.

Infizierte Dateien:
c:\Users\Julian\AppData\Roaming\addon.dat (Malware.Trace) -> No action taken.
c:\program files\dwm32\taskbaricon.ico (Trojan.Agent) -> No action taken.
c:\programdata\MPK\M0000 (Refog.Keylogger) -> No action taken.
c:\programdata\MPK\refog free keylogger.lnk (Refog.Keylogger) -> No action taken.
c:\programdata\MPK\S0000 (Refog.Keylogger) -> No action taken.
c:\programdata\MPK\1\D0000 (Refog.Keylogger) -> No action taken.
c:\programdata\MPK\1\S0000 (Refog.Keylogger) -> No action taken.
c:\programdata\MPK\CPDM\cpfm.bin (Refog.Keylogger) -> No action taken.
c:\programdata\MPK\refog free keylogger\ refog free keylogger im internet.lnk (Refog.Keylogger) -> No action taken.
c:\programdata\MPK\refog free keylogger\jetzt bestellen!.lnk (Refog.Keylogger) -> No action taken.
c:\programdata\MPK\refog free keylogger\rabatt holen!.lnk (Refog.Keylogger) -> No action taken.
c:\programdata\MPK\refog free keylogger\refog free keylogger.lnk (Refog.Keylogger) -> No action taken.
         

Zitat:

Wie kann ich meine externe Festplatte überprüfen wo schon Daten drauf sind? Nicht dass die Schädlinge schon länger drauf sind und beim kopieren der Musik etc. sind die mitkopiert worden.

100% Sicherheit gibt es nicht. Ich würde zuerst auf dem frischen Windows die automatische Wiedergabe von allen externen Medien komplett deaktivieren, dann potentiell verseuchte Datenträger anschließen und diese mit Malwarebytes prüfen. Am besten alles ausführbare von der externen Platte löschen und nur noch reine Datendateien behalten.

Zitat:

Sollte ich aber lieber von der damals erstellten Recovery-CD aus booten oder kann ich das ganze per Recovery Manager machen?

Ich würds auf jeden Fall von CD/DVD machen, eine Recovery-Partition könnte ebenfalls verseucht sein.
Noch besser: Mit echter Windows-Installations-DVD ein "normales" Windows installieren, ohne dieses Recovery-Gedöns, das Windows mit schwachsinnigen Ballast zumüllt.

Zitat:

Wenn ich alle Partitionen formatiere, habe ich ja hinterher nurnoch eine große Platte...
Erinnere ich mich richtig, dass beim Erstinstallieren von Widows gefragt wird, wie ich die Festplatte teilen will?

Nein...
Im Setup kannst du Partitionen löschen, neu anlegen und formatieren.

Zitat:

Ich habe auf dem infizierten System noch Dateien die ich sehr gerne behalten möchte. Es handelt sich um Musik,Bilder und Filmdateien. Alles legal(nur kurz erwähnt!). Ich habe gelesen ich sollte dazu Ubuntu nehmen?

Geht auch jede andere Live-CD einer Linux-Distro. Sehr gern wird auch Knoppix verwendet oder auch PartedMagic.

Zitat:

Zurzeit nutze ich Avira als Free-Version und ZoneAlarm. Sollte ich vorsichtshalber in Zukunft noch andere Programme nutzen, damit das ganze sicherer ist? Natürlich auf jedenfall in regelmäßigen Abständen Backup DVD´s erstellen.

ZoneAlarm ist kontraproduktiver Müll, unbedingt die Finger davon lassen und die Windows-Firewall verwenden!

Danke Arne für deine Hilfe
Auf Ubuntu bin ich gestoßen, da ich eine bebilderte Anleitung gefunden habe.
Wäre eventuell dann ganz Hilfreich.

Leider war bei meinem HP Laptop damals keine Ori. Windows CD bei.
Man konnte sich nur direkt bei Erstinbetriebsname diese Wiederherstllungs DVD´s (3 Stück) machen. Dies habe ich natürlic getan.

Auf der externen Festplatte sind NUR Musik,Bild und Filmdateien.
Keinerlei Programme. Auch die Daten, welche ich vom infizierten System behalten will sind rein solche Dateien. Also keine ausführbaren, oder?

Evt. packe ich die Dateien vom infizierten System erstmal seperat auf einen Stick damit ich, falls die ext. Festplatte sauber ist, sie nicht direkt verseuche...

Oh ich nutze die Avira/ZoneAlarm Kombi schon Jahre und bisher ohne Probleme. Wollte aber wie früher nun wieder zu GDate wechseln. Empfehlenswert doch laut Test von einer anderen Computer Seite...

Bis auf Anti-Viren Programm und Firewall, kann ich weitere Programme nutzen um nicht nochmal Opfer von so einer Plage zu werden?
Evt. zwischendurch Malewarebytes laufen lassen oder andere Programme?

Vielen Dank

Eins habe ich noch :-)

Nachdem ich mich nun noch weiter eingelesen habe, komme ich immer mehr zur Erkänntnis, dass ich keine seperate firewall von ZoneAlarm oder GData oder sonwas was brauche,
da ich über einen Router reingehe.
Ist ein Linksys WRT54 mit geänderter Software.
Damals hatte ein Freund "DD-WRT v24 (05/24/08) mini" aufgespielt da ich immer Probleme mit der Verbindung hatte.
Dadurch konnte er das ganze so einstellen, dass besser oder stärker gesendet wird.
So habe ich es noch in Erinnerung.
Wenns da Probleme geben könnte sagt bitte bescheid :-(

Abgesichert über WPA2 Personal in TKIP soweit ich sehe
und laaaangem Passwort ohne System sprich alles durchnander an Buchstaben,Sonderzeichen etc etc....^^

Statt Avira werde ich dann wohl nun auf Avast umsteigen oder doch lieber eine "Kauf Software" ?


Desweiteren wurde mir grad empfohlen das aktuelle "c't Security" mit bootfähiger DVD... zu holen.
Das Antiviren-Notfallsystems Desinfec't wäre ja dann praktisch um meine externe Festplatte überprüfen zu könen bzw. die USB Sticks, oder?
Das Livesystem c't Bankix kann ich dann doch genau nutzen um meine Daten vom infizierten System zu kopieren wie es bei Ubuntu der Fall wäre, oder?
Und dabei wäre eine Jahres Lizent für den Scanner: ESET NOD32...
Nur kenne ich diesen garnicht

Zitat:

Oh ich nutze die Avira/ZoneAlarm Kombi schon Jahre und bisher ohne Probleme. Wollte aber wie früher nun wieder zu GDate wechseln. Empfehlenswert doch laut Test von einer anderen Computer Seite...

Bis auf Anti-Viren Programm und Firewall, kann ich weitere Programme nutzen um nicht nochmal Opfer von so einer Plage zu werden?

Lies einfach mal hier bzgl ZoneAlarm oder sonstiger sinnfreier Desktop-Firewalls, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen...

Und die Frage - welcher Virenscanner oder ob die installierten Programme reichen - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Zitat:

Das Livesystem c't Bankix kann ich dann doch genau nutzen um meine Daten vom infizierten System zu kopieren wie es bei Ubuntu der Fall wäre, oder?

Welches Livesystem man nimmt ist im Prinzip Jacke wie Hose.

Danke

Aber dieses Programm Desinfec't kann ich dafür nutzen meinen USB Stick mit den Musik,Bild und Filmdateien, welche ich über Ubuntu erstmal auf einen Stick geladen habe, zu prüfen.
Dort steht was von "Auch eine Neuauflage des bootfähigen Antiviren-Notfallsystems Desinfec't befindet sich auf der DVD, mit dem sie im Verdachtsfall bis zu vier Virenscanner auf die Jagd nach verdächtigen Dateien schicken können."
Wie ich das ganze nutze, steht hoffentlich dort bei.
Ich hatte frühe einmal böse Erfahrungen mit 2 Anti-Viren Scannern...
Gleichzeitig laufen lassen und dann ging rein nichts mehr.... Schöner Mist gewesen...

Achso,,, und das hier
"eine 1-Jahres-Lizenz des flinken und zuverlässigen Virenscanners ESET NOD32, die Sie sogar mit der in Kürze erscheinenden Version 5 nutzen können."
Kenne ich garnicht. Taugt er was im ggensatz zu antivir, von dem ich nun gerne weg möchte nachdem, was ich gelesen habe...
Oder lieber Avast?


Du sprichst das automatisch Wiedergeben von Laufwerken an.
Sobald ich ein Stick oder ext. Festplatte anschließe kommt erstmal dieses kleine Fenster, wie bzw. mit was ich es öffnen möchte.
Dieses Feature ausschalten dass ich seperat über den Arbeitsplatz auf die Festplatte zugreifen muss?

Mit den eingeschränkten Rechten muss ich mich erstmal einlesen.
Erstmal muss ich mal versuchen was darüber zu finden, wie ich das ganze System nun neu aufsetze.
Sobald ich ja über die Recovery DVD´s boote, und Windows neu installiere, muss ich ja erstmal alle Updates runterladen, damit alles auf dem aktuellsten Stand ist... Nur wie, dass es auch sicher ist.
Da google ich grad ein wenig zu rum... Oder hast du einen guten Tipp für mich?

Kannst du/ihr vllt ein paar Worte über die Situation mit meinem Router verlieren?

Vielen Lieben Dank !!

Zitat:

Achso,,, und das hier
"eine 1-Jahres-Lizenz des flinken und zuverlässigen Virenscanners ESET NOD32, die Sie sogar mit der in Kürze erscheinenden Version 5 nutzen können."
Kenne ich garnicht. Taugt er was im ggensatz zu antivir, von dem ich nun gerne weg möchte nachdem, was ich gelesen habe...
Oder lieber Avast?

Du hast meinen Textbaustein nicht gelesen. Lies einfach nochmal.

Zitat:

Kannst du/ihr vllt ein paar Worte über die Situation mit meinem Router verlieren?

Über deinen Router??

Okey gelesen War nur eine Frage da ich ESET garnicht kenne.

Wegen der Router Sache...Das as ich ein paar Postings vorher geschrieben habe mit den Einistellungen und der geänderten Software.


Wichtiger sind mir eig. meine Fragen über dein letzten Beitrag
Danke

*edit*
Leider verstehe ich irgendwie nicht den Unterschied, wieso ich meine Daten(Musik,Bild,Film) auf dem infizierten System per Livesystem kopieren soll. Infiziert können die Dateien ja schon sein. Wo ist der Unterschied, wenn ich sie dann per bsp.Ubuntu kopiere

Zitat:

Wo ist der Unterschied, wenn ich sie dann per bsp.Ubuntu kopiere

Überleg mal, won welchem System aus die Daten gesichert werden.
Was ist denn besser? Ein Backup von einem sauberen Live-System oder von einem sehr wahrscheinlich infizierten Windows?

Klar, das stimmt.
Aber es ist doch auch möglich, dass die Musik,Bild und Filmdateien bereits infiziert sind oder?

Zum Image erstellen ein Tipp, evt. ein kostenfreies?
Image dann erstellen, nachdem alle wichtigen Programme installiert habe?

Desweiten bekomme ich viele Musik Sachen in gepackter Version. Dazu suche ich noch eine verlässliche Möglichkeit, wie ich diese gepackten Daten VOR dem entpacken am besten prüfe bevor ich sie einfach öffne und etpacke...

Zitat:

Zitat von Julian2504

Du sprichst das automatisch Wiedergeben von Laufwerken an.
Sobald ich ein Stick oder ext. Festplatte anschließe kommt erstmal dieses kleine Fenster, wie bzw. mit was ich es öffnen möchte.
Dieses Feature ausschalten dass ich seperat über den Arbeitsplatz auf die Festplatte zugreifen muss?

Mit den eingeschränkten Rechten muss ich mich erstmal einlesen.
Erstmal muss ich mal versuchen was darüber zu finden, wie ich das ganze System nun neu aufsetze.
Sobald ich ja über die Recovery DVD´s boote, und Windows neu installiere, muss ich ja erstmal alle Updates runterladen, damit alles auf dem aktuellsten Stand ist... Nur wie, dass es auch sicher ist.
Da google ich grad ein wenig zu rum... Oder hast du einen guten Tipp für mich?
!

Viele Fragen, sorry

Zitat:

Zum Image erstellen ein Tipp, evt. ein kostenfreies?
Image dann erstellen, nachdem alle wichtigen Programme installiert habe?

Du kennst Google noch nicht? => Übersicht: Die beste Backup-Freeware - NETZWELT

Zitat:

Desweiten bekomme ich viele Musik Sachen in gepackter Version. Dazu suche ich noch eine verlässliche Möglichkeit, wie ich diese gepackten Daten VOR dem entpacken am besten prüfe bevor ich sie einfach öffne und etpacke...

Es gibt keine "verlässliche" Methode, jeden Schadcode zu erkennen.
Ich weiß nicht was du mit "Musiksachen" meinst, aber den Virenscanner unbedingt auf reine Musikdateien losgehen zu lassen, halte ich für unnötig bis sinnfrei.
Abgesehen davon beherrscht eigentlich jeder OnAccessScanner auch das Scannen von ZIP- oder anderen Archiven.

Okey, ich denke wenn die Sachen "gepackt" sind, dann dürfte sich ja nicht einfach was installieren bevor ich das ganze entpackt habe.

Mit Musiksachen, meine ich Samples die ich gepackt zum downloaden erhalte.
Würde sie halt vor dem entpacken gerne Prüfen.

Auch wenn es "nicht ausführbare Dateien" sind, könnten Sie doch verseucht sein

Werde nun loslegen über Ubuntu meine restlichen Daten zu speichern, dann Windows neu aufsetzen und dann, meine vom infizerten System gespeicherten Dateien mit Desinfec´t zu prüfen.

Sinnvolle Reihenfolge, wie ich vorgehe wenn ich WIndows neu aufsetze?

2. Dein Link zu NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
...geht nicht mehr.

3. definitiv sicher, dass mein System verseucht ist und werde um eine neuaufsetzung nicht drumrum kommen?

Darf ich nochmal um deinen Rat bitten ?

Zitat:

Mit Musiksachen, meine ich Samples die ich gepackt zum downloaden erhalte.
Würde sie halt vor dem entpacken gerne Prüfen.

Was hält dich davon ab?

Zitat:

Auch wenn es "nicht ausführbare Dateien" sind, könnten Sie doch verseucht sein

Und? Deswegen scannst du sie ja. Nicht ausführbare Dateien sollten aber kein Problem sein.

Zitat:

Sinnvolle Reihenfolge, wie ich vorgehe wenn ich WIndows neu aufsetze?

Auf den Artikel zur Neuinstallation wurde doch schon mehrfach hingewiesen!

Zitat:

2. Dein Link zu NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.bplaced.net - Host Service Provider
...geht nicht mehr.

Ja den muss ich mal rausnehmen

Zitat:

3. definitiv sicher, dass mein System verseucht ist und werde um eine neuaufsetzung nicht drumrum kommen?

Ja, es ist erweisen, dass Schadsoftware auf deinem System werkelte => sshnas21.dll nur als ein Beispiel