An alle hilfsbereiten PC Experten in diesem Forum!

Ich wäre sehr dankbar, wenn sich jemand folgend aufgeführten Scanbericht annehmen würde und mir verrät, was ich tun muss und ob ich das System neu aufzusetzen habe. Es besteht der Verdacht auf Viren, Trojaner, Spyware etc.
Ein paar bösartige EXE Datein (winupdt. exe etc.) konnte ich löschen. Hilft mein Norton Internet Security 2007 überhaupt? Es zeigt immer einen grünen Haken und vielleicht ist es ja lahmgelegt ohne dass ich es merke.
Ich bin gerade im Ausland (GB) und würde gerne wissen ob man einem PC Experten die Maschine einfach zur Reparatur überlassen kann.
Vielen Dank für die Ünterstützung

Gruß

Viktor


Logfile of HijackThis v1.99.1
Scan saved at 18:15:56, on 26.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Norton GoBack\GBPoll.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\Programme\sony\vaio update 2\VAIOUpdt.exe
C:\Programme\sony\isb utility\ISBMgr.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Norton GoBack\GBTray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Viktor\LOKALE~1\Temp\Rar$EX00.546\Hija ckThis.exe

F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {4CF33F23-C069-2397-8002-625578A2283E} - (no file)
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\sony\vaio update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\sony\isb utility\ISBMgr.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SNM] C:\Programme\SpyNoMore\SNM.exe /startup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Brockhaus-Direktsuche.lnk = C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\PGBMM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton GoBack\GBTray.exe
O4 - Global Startup: phase6_17_erinnerung.lnk = C:\Programme\phase6\phase6_17\WinStart\WinStart.ex e
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton GoBack\GBPoll.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

War die Datei winupdt.exe zufällig ein Rbot-Abkömmling? Wenn ja, solltest Du neu aufsetzen. Auch wenn nun nichts im Hijackthis-Logfile zu finden ist.

Tag Cosinus,

danke für dein Feedback erstmal. Leider kann ich deine Frage nicht beantworten, das heißt, ich weiß nicht, woher winupdt stammt und ob es ein Rbot Abkömmling ist. Ich wäre dir dankbar für einen weiteren Rat. Ich bin reiner Anwender und habe hier auch keine Windows CD dabei in England. Würdest du den PC von einem Fachmann neu aufsetzen lassen. Kann ich alle Programme/Dateien problemlos auf meine portable Festplatte verschieben?
Welches Risiko gehe ich ein, wenn ich nicht neu aufsetze? Ich weiß, das sind viele Fragen, aber vielleicht hast du den Nerv und die Zeit kurz darauf einzugehen.
Vielen Dank ungeachtet des weiteren Verlaufs

Viktor - oder Sinus.

Winupdt.exe ist mit ziemlicher Sicherheit ein RBOT-Abkömmling => winupdt - winupdt.exe - Process Information

Zitat:

Ich bin reiner Anwender und habe hier auch keine Windows CD dabei in England. Würdest du den PC von einem Fachmann neu aufsetzen lassen.

Hm das ist schlecht. In diesem Zustand solltest Du den Rechner jedenfalls nicht mehr ins Internet lassen und wichtige Arbeiten würde ich daran auch nicht mehr machen wollen.

Zitat:

Kann ich alle Programme/Dateien problemlos auf meine portable Festplatte verschieben?

Programme lieber nicht nicht, denn die bestehen aus ausführbaren Code und könnten ebenfalls kompromittiert sein.

Zitat:

Welches Risiko gehe ich ein, wenn ich nicht neu aufsetze?

Ein großes. Kompromittierte Rechner werden heute idR zu Botnets zusammengefasst, die z.B. an Spammern vermietet werden. Dein Rechner wäre dann selber eine Quelle der Spamflut. Oder um DDoS-Attacken zu begehen, die zum Zusammenbruch des Zielhostes führen.
Oder auch einfach um illegales Material auf deiner Platte abzulagern, um dieses im Internet bereitzustellen.

Jedenfalls wäre das möglich, wenn es sich wirklich um einen Rbot handelt. Evtl. lässt sich noch mehr sagen, wenn Du mal mit Blacklight und eScan (link siehe Signatur) das System scannst und die Logs davon postest.
Die Option mit dem Fachmann vor Ort solltest Du mal in Erwägung ziehen.

BTW: Für Notfälle wäre es am besten immer ein Backup dabei zu haben. Ein Systemimage kannst Du schnell mal wieder binnen Minuten einspielen.
Ergänzend auch eine Knoppix-CD.

Hallo Sinus,

erst einmal vielen Dank für deine ausführliche Antwort. Ich habe meinen Rechner mit dem Blacklight Programm abgescannt und es wurden keine versteckten Dateien etc. gefunden. Was du mit eScan (linke Signatur) gemeint hast wahr mir ehrlichergesagt nicht so klar.
Da sich deine Schilderungen der Risiken nicht gut anhören, würde ich meinen PC gerne von einem Fachmann neu aufsetzen lassen. Kann ein solcher das ohne meine Windows CD und ist es möglich, alle Programm zu behalten? (Ich habe u.a. einen Brockhaus Multimedial, der für mich unverzichtbar ist). Was bringt eigentlich mein Norton Internet Security?
Wäre super, wenn du mir nochmal Rat geben könntest
Danke und Gruß

Viktor

Zitat:

würde ich meinen PC gerne von einem Fachmann neu aufsetzen lassen. Kann ein solcher das ohne meine Windows CD und ist es möglich, alle Programm zu behalten?

Rein theoretisch muss er das nicht mit DEINER Windows-CD machen, er könnte ja auch seine CD benutzen aber natürlich deine Windows-Lizenznummer eintippen. Wie das genau rechtlich aussieht weiß ich nun nicht so genau, wenn du aber einen Lizenzaufkleber auf dem Notebook hast sollte das nicht so wild sein. Programme des kompromittierten Systems auf das frische zu übernehmen ist riskant, da dann auch die Gefahr besteht, dass durch Ausführen dieser das gerade frische auch wieder verseucht wird.
Fraglich ob Dein System nun überhaupt neu aufgesetzt werden muss, aus der Ferne vermag ich das nicht wirklich beurteilen zu können, Blacklight findet ja nichts.
Ich schätze der Fachmann vor Ort wird Dir da mehr sagen können Das Neuaufsetzen hilft Dir ja ohne dass Du das eine Programm nicht mehr benutzen kannst auch nicht weiter.

Zitat:

Was bringt eigentlich mein Norton Internet Security?

Das frage ich mich auch, was derartige Software bringen soll.
Alle Security-Suites wiegen den User in eine Scheinsicherheit, er glaubt nun rundum geschützt zu sein, dabei ist das nicht der Fall. Maximal sind Virenscanner & PFW Ergänzung zum Sicherheitskonzept (z.B. vorsichtiger Umgang mit dem Medium Internet) aber auf keinen Fall wichtige Grundelemente. Sicherheit gibt es (leider) nicht in bunten Pappschachteln.