Hallo,
folgendes Log habe ich heute erhalten....

Logfile of HijackThis v1.99.1
Scan saved at 23:50:09, on 01.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\XAMPP\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\lalala\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/026ad4f7...dxIE601_de.cab
O16 - DPF: {6F1AF9D5-68BB-4A81-93F1-481CB8AB0D0B} (PhotocolorUploader Control) - http://web1.photocolor.net/ActiveX/P...orUploader.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: MySql - Unknown owner - C:/Programme/XAMPP/xampp/mysql/bin/mysqld-nt.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe

Wie sieht es aus???

Vielen Dank für Eure Hilfe - herzliche Grüße
Sternchen

Sieht gut aus. Hast die irgendwelche Probleme mit dem Rechner oder Anzeichen für Schädlinge?

Und wenn dieser Foto-Uploader:

Zitat:

O16 - DPF: {6F1AF9D5-68BB-4A81-93F1-481CB8AB0D0B} (PhotocolorUploader Control) - http://web1.photocolor.net/ActiveX/...lorUploader.cab

von Dir gewollt ist, dann sieht es sehr gut aus!

Hallo,
danke für die schnelle Antwort.

Ich hatte gestern von Antivir eine Meldung über einen Troyaner TR/Drop.VB.DW.3 erhalten. Ich habe danach meinen Rechner gescannt und dabei in den Temporären Dateien des Internet-Explorer folgende Datei gefunden: JS/Small.af.

Das hat mich ziemlich nervös gemacht, deshalb habe ich mir heute "The Cleaner" besorgt und dabei wurden noch 182 Dateien von perfect keylogger gefunden...die habe ich entfernt.

Danach habe ich nochmal den Virenscanner rüberlaufen lassen und nochmal "The Cleaner"...es war dann zwar alles sauber, nervös war ich dennoch, weshalb ich mir HIJack besorgt habe...

Kann ich nun beruhigt sein?

Zitat:

keylogger

Bei diesem wäre ich nicht so unbedingt beruhigt. Theoretisch hätten Passwörter o.ä. aufgezeichnet und übermittelt werden können.

http://de.wikipedia.org/wiki/Keylogger

Lass mal eScan laufen
Anleitung

Hallo Andy...
dann mache ich das mal!

Vielen Dank - ich melde mich wieder

Herzliche Grüße
Sternchen

Und falls Du nicht schon einen anderen Browser benutzt, denk mal über einen Wechsel z.B. zu Firefox nach.
Ändere sämtliche Passwörter...nur zur Sicherheit.
Bis dann.

Noch was, Perfect Keylogger ist eigentlich ein "normales" Programm, aber in Verbindung mit den gefundenen Schädlingen, weiss man nie.

Ich schon wieder....
Zu diesem:

Zitat:

JS/Small.af

habe ich noch das hier:
http://www.antiviruslab.com/descript...212356&lang=de
Und bei aktiv gewordenen Backdoor-Programmen, wird hier zum Neuaufsetzen geraten.....siehe sehr gute Beschreibung zum Neuaufsetzen
Es gibt auch andere Meinungen dazu, aber um ganz sicher zu sein, solltest Du auf jeden Fall darüber nachdenken.

So....nach fast 3 Stunden habe ich nun folgendes Ergebnis:

Wed Mar 02 11:34:15 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed Mar 02 11:34:15 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\CLASSLOAD.JAR-1F5B6B54-14123A1D.ZIP.VIR
Wed Mar 02 11:34:30 2005 => File C:\Programme\AVPersonal\INFECTED\CLASSLOAD.JAR-1F5B6B54-14123A1D.ZIP.VIR infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

Wed Mar 02 11:34:30 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\CLASSLOAD.JAR-1F5B6B54-436A82A1.ZIP.VIR
Wed Mar 02 11:34:30 2005 => File C:\Programme\AVPersonal\INFECTED\CLASSLOAD.JAR-1F5B6B54-436A82A1.ZIP.VIR infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

Wed Mar 02 12:10:03 2005 => File C:\Programme\XAMPP\xampp\apache\bin\kill.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken.

Wed Mar 02 12:50:00 2005 => Total Files Scanned: 153886
Wed Mar 02 12:50:00 2005 => Total Virus(es) Found: 3

Die ersten zwei Viren sind in der Quarantäne, oder???
Der dritte wird als not-a-virus angezeigt und trotzdem aufgelistet, wie muß ich das verstehen?

Nochmals zu dem Vorfall wie ich darauf aufmerksam wurde, jetzt etwas exakter:
Ich habe eine Seite mit einem bestimmten Liedtext bei Google gesucht und bin auf einer Seite gelandet, die zwar nicht den Liedtext, dafür aber den netten Virus hatte. Mein Virenscanner hat ihn gemeldet und ich habe ihn in die Quarantäne verschoben. Danach habe ich einen kompletten Virenscan durchgeführt und die Datei JS/Small.af im Cache des Explorers gefunden und gelöscht.
Kann es denn nicht sein, daß diese Datei JS/Small.af versucht hat die Troyaner zu installieren und mein Virenscanner hat es abgebloggt? Ich habe den Scan ja auch sofort gemacht und nicht gewartet...
Dann müßte der Rechner doch jetzt sauber sein, oder? Neu aufsetzen wäre bei meiner augenblicklichen Auslastung mit Arbeit eine Katastrophe....und wenn ich es vermeiden kann....

Der Perfect Keylogger muss schon älter sein, ich habe ihn auch auf meinem Notebook gefunden und ich glaube ich hatte ihn mir über ICQ eingefangen (denn da sind einmmal komische Dinge passiert). Rechner und Notebook sind über einen Router verbunden. Ich habe ihn dort auch entfernt, einen anderen Befall habe ich auf dem Notebook nicht gefunden.
Seit meinem Troyanerbefall (da war mein Notebook ausgeschaltet) unterbreche ich immer jeweils die Anbindung an den Router bei einem der beiden Geräte, damit keine Netzwerkverbindung zwischen ihnen zustandekommt.

Was einen anderen Browser betrifft, bin ich leider nicht wirklich flexibel. Ich bin Webdesignerin und da nunmal der Explorer immer noch der Browser erster Wahl ist, muß ich auch sehen wie mein Produkte dort aussehen!

Vielen Dank...herzliche Grüße
Sternchen

Hallo,
ja, die entscheidenden Sachen sind im Quarantäne-Ordner. Diesen könntest Du leeren.
Bei der dritten Meldung werden nur Routinen erkannt, welche auch von Schädlingen genutzt werden (deshalb die Anzeige). Keine Gefahr bei dem PC-Welt-Programm!
Es könnte sein, dass der Virenscanner das Ausführen des Trojaners verhindert hat, aber wissen kann man es nicht. Es sieht fast so aus, dass er nicht aktiv wurde. Aber......?
Der Keylogger war anscheinend nicht das Problem. Passwörter würde ich trotzdem ändern. Nicht, dass Du Deine Webseiten mal nicht mehr erreichen kannst und vielleicht sogar illegale Angebote sich dort befinden....

Zum Betrachten von (eigenen) Sites ist der IE zu gebrauchen, auch für Windows-Updates, aber gerade Du solltest wissen, dass der IE NICHT Normkonform ist. Klar, er macht es einem leichter, da er Normabweichungen "ausbessert", aber dafür werden ggf. Deine Seiten mit anderen Browsern nicht ordentlich angezeigt. Wenn Du schon nicht ohne ihn kannst, dann konfiguriere ihn auf jeden Fall sicher. Vielleicht prüfst Du "wenigstens" Deine Arbeit auch mit anderen Browsern.
Mein Vorschlag: IE für die Arbeit, Firefox zum Spielen, Surfen usw.
Herzliche Grüße
Andy

Hallo Andy,
ich danke Dir!

Natürlich kontrolliere ich meine Webseiten auch bei anderen Browsern, das ist doch klar! Und sie sehen dann auch bei allen gut aus - das schreibt mir mein Perfektionismus vor:-)

Paßwörter habe ich zum größten Teil schon geändert und leicht flau fühle ich mich im Magen immer noch...
Ich werde den Rechner jetzt dennoch erstmal nicht neu aufsetzen...

Was hältst Du von dem Programm "The Cleaner" - ich denke darüber nach es mir zu kaufen.

Herzliche Grüße
Bea

Mein Perfektionismus oder beser ne kleine Paranoia haben mich auch zu "The Cleaner" und zu "WinPatrol" und und und..... geführt. Ich bin zufrieden und kann diese empfehlen. Aber eScan, AdAware Spybot S&D sind Klassiker, welche man haben muss und dann noch "Dienste abschalten"..............Du siehst.....Paranoia
Flau könnte einem eigentlich immer sein, aber warum soll gerade Dein Rechner für illegale Sachen mißbraucht worden sein? Könnte, aber eher unwahrscheinlich. Vielleicht ein bissel Spam weiterverteilt oder ein paar Angriffe auf z.B: Heise.de, aber vermutlich nicht mehr. Diese Trojaner werden meistens ja nicht geziehlt platziert, sondern breit gestreut. Sei ein bissel vorsichtig beim Surfen, sichere den IE und alles wird gut!

Zitat:

Natürlich kontrolliere ich meine Webseiten auch bei anderen Browsern, das ist doch klar! Und sie sehen dann auch bei allen gut aus - das schreibt mir mein Perfektionismus vor:-)

Wie konnte ich nur etwas anderes annehmen.

Alles Gute und liebe Grüße
Andy

Hola again!
Ja, so ein bissl Paranoia ist nicht unbedingt schlecht...Ad-Aware habe ich auch...

Zitat:

Wie konnte ich nur etwas anderes annehmen.

Ja, das frage ich mich auch

Ich danke Dir für Deine Mühe - herzliche Grüße
Bea

Gern geschehen!