System noch infiziert? Bitte um Hilfe!

DJ81 · 15.10.2005, 23:32

Hallo an die Trojaner Board Community,

nun hat es auch mich erwischt. Als erfahrener und immer auf Sicherheit bedachter Computer Nutzer, habe ich mir gestern beim unachtsamen öffnen einer Datei, gleich mehrere Probleme mit Malware eingehandelt. Die da wären:

- Trojaner: StartPage.nk.8.A
- Trojaner: Drop.Agent.KD.3
- Trojaner: Smitfraud-C
- Registrierungsdatenbankeintrag: Elitum.Elitebar

Um die Malware wieder loszuwerden habe ich - im abgesicherten Modus und bei deaktivierter Systemwiederherstellung - mit folgenden Programmen gearbeitet:

- AntiVir
- AdAware
- SpyBot
- MWAV
- HijackThis
- KillBox

Nun zu meiner Frage. AntiVir, AdAware und SpyBot (jeweils neuestes Update installiert) liefern aktuell keine Fehlermeldungen mehr (voller Systemscan).

MWAV liefert noch folgende Fehlermeldungen:

infected

- Sat Oct 15 21:36:02 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\fifa 2005\user\config.dat
Sat Oct 15 21:36:02 2005 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken. -> Ich denke dies ist zu vernachlässigen und hat mit oben beschriebener Malware nichts zu tun.

tagged

- File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\upd.exe tagged as not-a-virus:RiskTool.Win32.PsKill.1101. No Action Taken.

- File C:\WINDOWS\system32\spoolsv32.exe tagged as "not-a-virus:AdWare.Win32.WinAD.aw". Action Taken: No Action Taken.

Kann ich denn nun sicher sein, dass mein System nichtmehr kompromittiert ist? Ich würde mir ein komplettes Neuaufsetzen des Systems gerne ersparen.

Anbei noch ein aktueller HijackThis.log, bei welchem mir das doppelte Vorhandensein der svchost.exe etwas Bedenken macht?

Vielen lieben Dank im Voraus für eure Unterstützung und ein großes Lob an dieses fachkundige Forum.

DJ81

Logfile of HijackThis v1.99.1
Scan saved at 00:14:51, on 16.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Security\Sygate Personal FW\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\Security\AntiVir Version 6\AVWUPSRV.EXE
F:\Internet\VPN Client\cvpnd.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
F:\Musik\Winamp\winampa.exe
C:\Programme\Video\PowerDVD\PDVDServ.exe
F:\Musik\musicmatch\mmtask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
F:\Security\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\WINDOWS\system32\wscntfy.exe
F:\Organizer\Lotus\org6\organize\EASYCLIP6.EXE
C:\WINDOWS\System32\svchost.exe
F:\Security\AntiVir Version 6\AVGUARD.EXE
F:\Security\AntiVir Version 6\AVGNT.EXE
F:\Office\OfficeXP\Office10\WINWORD.EXE
F:\Internet\Firefox second\firefox.exe
F:\Security\Anti Trojaner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SmcService] F:\Security\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] F:\Musik\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\Video\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [mmtask] F:\Musik\musicmatch\\mmtask.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [AVGCtrl] F:\Security\AntiVir Version 6\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Security\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = F:\Internet\VPN Client\vpngui.exe
O4 - Global Startup: Lotus Organizer EasyClip.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = F:\Office\OfficeXP\Office10\OSA.EXE
O8 - Extra context menu item: Bild mit ContentSaver &speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#101
O8 - Extra context menu item: Bild mit ContentSaver ein&ordnen/speichern... - res://F:\INTERNET\CONTEN~1\csshell.dll/#108
O8 - Extra context menu item: ContentSaver: Bild speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#101
O8 - Extra context menu item: ContentSaver: Bild speichern unter... - res://F:\INTERNET\CONTEN~1\csshell.dll/#108
O8 - Extra context menu item: ContentSaver: Link-Adresse speichern unter... - res://F:\INTERNET\CONTEN~1\csshell.dll/#110
O8 - Extra context menu item: ContentSaver: Markierte Ziele speichern unter... - res://F:\INTERNET\CONTEN~1\csshell.dll/#111
O8 - Extra context menu item: ContentSaver: Markierung speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#104
O8 - Extra context menu item: ContentSaver: Markierung speichern unter... - res://F:\INTERNET\CONTEN~1\csshell.dll/#109
O8 - Extra context menu item: ContentSaver: Seitenbereich (Frame) speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#102
O8 - Extra context menu item: ContentSaver: Seitenbereich (Frame) speichern unter... - res://F:\INTERNET\CONTEN~1\csshell.dll/#106
O8 - Extra context menu item: ContentSaver: Ziel speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#103
O8 - Extra context menu item: ContentSaver: Ziel speichern unter... - res://F:\INTERNET\CONTEN~1\csshell.dll/#107
O8 - Extra context menu item: Link-Adresse mit ContentSaver &notieren... - res://F:\INTERNET\CONTEN~1\csshell.dll/#110
O8 - Extra context menu item: Markierte Link-Ziele mit ContentSaver &speichern... - res://F:\INTERNET\CONTEN~1\csshell.dll/#111
O8 - Extra context menu item: Markierung mit ContentSaver &speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#104
O8 - Extra context menu item: Markierung mit ContentSaver ein&ordnen/speichern... - res://F:\INTERNET\CONTEN~1\csshell.dll/#109
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\Office\OfficeXP\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Seitenbereich (Frame) mit ContentSaver &speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#102
O8 - Extra context menu item: Seitenbereich (Frame) mit ContentSaver ein&ordnen/speichern... - res://F:\INTERNET\CONTEN~1\csshell.dll/#106
O8 - Extra context menu item: Ziel mit ContentSaver &speichern - res://F:\INTERNET\CONTEN~1\csshell.dll/#103
O8 - Extra context menu item: Ziel mit ContentSaver ein&ordnen/speichern... - res://F:\INTERNET\CONTEN~1\csshell.dll/#107
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Web Entry - {B4E30F61-16D9-11D3-85D1-005004229569} - F:\Organizer\Lotus\org6\organize\bandobjs.dll
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{21E58EAE-829C-479B-87B0-D937D8B2D785}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAB82B58-4993-41FA-A82A-2778C6F34555}: NameServer = 192.168.1.1
O18 - Protocol: cs - {CF429874-C894-496D-A310-9BB12C16BE3C} - F:\Internet\ContentSaver\CSProtocol.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Security\AntiVir Version 6\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Security\AntiVir Version 6\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - F:\Internet\VPN Client\cvpnd.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Security\Sygate Personal FW\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\Security\TuneUP\WinStylerThemeSvc.exe

System noch infiziert? Bitte um Hilfe!

Log-Analyse und Auswertung: System noch infiziert? Bitte um Hilfe!

System noch infiziert? Bitte um Hilfe!

Ähnliche Themen: System noch infiziert? Bitte um Hilfe!