Zlob will nicht gehen!

RobCole · 14.02.2007, 22:30

Hallo

Habe vor einigen Tagen schon mal gepostet und alle Anweisungen befolgt. Der Zlob-Virus lässt sich jedoch nicht so einfach verscheuchen, so scheint's.
Das Cleaning auf Smitfraud lässt sich auch im Safe-Mode und bei abgestelltem Anti-Viren-Programm nicht ausführen. Es heisst: Kann den angegebenen Pfad nicht finden. Dann kommt jedes Mal das Fenster zur Laufwerkbereinigung (Windows berechnet, wie viel freier Speicherplatz...). Kaperski hat keinen Virus gefunden.

Anbei der Hijack-Log, der Smitfraud-Suchrapport, der Kapersky-Rapport und die Datfindbat-Infos. Zudem gebe ich auch die Webseite an, die sich nach jeder Neuaktivierung der Netzwerkverbindung als Startseite festsetzt, sowie die Infos, die mir Microsoft Defender zu meinem Zlob gibt.

Sorry für die Riesenmessage. Ziemlich viel Papier!

Danke im Voraus

Rob

Logfile of HijackThis v1.99.1
Scan saved at 21:34:47, on 14.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\issrch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\acer\Wireless\Utility\WlanUtil.exe
C:\Programme\Aspire Arcade\PCMService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CRW\shwicon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\PROGRA~1\LAUNCH~1\LManager.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Marco\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://login.yahoo.com/config/login_verify2?&.src=ym
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {f4d74aaa-a178-4463-846b-b4bc87a024e0} - C:\WINDOWS\system32\ixt0.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [acerWireless] C:\Programme\acer\Wireless\Utility\WlanUtil.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] C:\Programme\CRW\shwicon.exe -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--------------------------------------------------------------------------

SmitFraudFix v2.141

Scan done at 21:47:01.74, 14.02.2007
Run from C:\Dokumente und Einstellungen\Marco\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ixt?.dll FOUND !
C:\WINDOWS\system32\ixt??.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Marco

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Marco\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Marco\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

--------------------------------------------------------------------------

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 14. Februar 2007 21:30:14
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 14/02/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 252978

Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja

Untersuchungsobjekt Arbeitsplatz
C:\
D:\
E:\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 37243
Viren gefunden 0
Infizierte Objekte gefunden 0 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 00:40:24

Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-02092007-172059.log Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\2007-02-14_Log.ALUSchedulerSvc.LiveUpdate Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Marco\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Defender\FileTracker\{DCCF9166-77C5-4247-B4F1-2B29AFE0455C} Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\Perflib_Perfdata_a34.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007021420070215\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Marco\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Marco\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll Das Objekt ist gesperrt übersprungen

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDALRT.log Das Objekt ist gesperrt übersprungen

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDCON.log Das Objekt ist gesperrt übersprungen

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDDBG.log Das Objekt ist gesperrt übersprungen

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDFW.log Das Objekt ist gesperrt übersprungen

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDIDS.log Das Objekt ist gesperrt übersprungen

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSYS.log Das Objekt ist gesperrt übersprungen

C:\Programme\Gemeinsame Dateien\Symantec Shared\SPPolicy.log Das Objekt ist gesperrt übersprungen

C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStart.log Das Objekt ist gesperrt übersprungen

C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStop.log Das Objekt ist gesperrt übersprungen

C:\Programme\Norton AntiVirus\AVApp.log Das Objekt ist gesperrt übersprungen

C:\Programme\Norton AntiVirus\AVError.log Das Objekt ist gesperrt übersprungen

C:\Programme\Norton AntiVirus\AVVirus.log Das Objekt ist gesperrt übersprungen

C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

C:\System Volume Information\_restore{5036140C-EFB3-4DB0-B063-FED36433CAF2}\RP5\change.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

--------------------------------------------------------------------------

j Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5084-5CB7

Verzeichnis von C:\WINDOWS\system32

14.02.2007 22:02 18'432 ixt0.dll
14.02.2007 21:50 13'646 wpa.dbl
14.02.2007 21:47 0 tmp.txt
14.02.2007 21:47 3'922 tmp.reg
10.02.2007 00:34 9'799 jupdate-1.5.0_11-b03.log
09.02.2007 10:29 4'068 iklog.log
08.02.2007 23:10 311'938 perfh009.dat
08.02.2007 23:10 40'326 perfc009.dat
08.02.2007 23:10 317'162 perfh007.dat
08.02.2007 23:10 48'558 perfc007.dat
08.02.2007 23:10 723'744 PerfStringBackup.INI
08.02.2007 23:08 181'832 FNTCACHE.DAT
08.02.2007 22:51 29'696 issrch.exe
08.02.2007 22:51 9'046 isntfy.exe
08.02.2007 19:31 16'832 amcompat.tlb
08.02.2007 19:31 23'392 nscompat.tlb
08.02.2007 16:46 13'646 wpa.bak
08.02.2007 14:38 287 $winnt$.inf
08.02.2007 14:35 2'951 CONFIG.NT
08.02.2007 14:34 488 WindowsLogon.manifest
08.02.2007 14:34 488 logonui.exe.manifest
08.02.2007 14:33 749 wuaucpl.cpl.manifest
08.02.2007 14:33 749 cdplayer.exe.manifest
08.02.2007 14:33 749 sapi.cpl.manifest
08.02.2007 14:33 749 nwc.cpl.manifest
08.02.2007 14:33 749 ncpa.cpl.manifest
08.02.2007 14:31 21'740 emptyregdb.dat
08.02.2007 13:27 0 h323log.txt
02.01.2007 15:19 10'980'776 MRT.exe

--------------------------------------------------------------------------

http://www.asecuritynotice.com/

--------------------------------------------------------------------------

Windows Defender
Fehler:
Code 0x80508017. Einige Aktionen konnten auf potenziell schädliche Elemente nicht angewendet werden. Die Elemente sind möglicherweise in einem schreibgeschützten Pfad gespeichert. Löschen Sie die Dateien oder Ordner, in denen die Elemente gespeichert sind, oder suchen Sie nach Informationen zum Entfernen des Schreibschutzes unter "Hilfe und Support".

Kategorie:
Downloadtrojaner

Beschreibung:
Das Verhalten dieses Programms ist potenziell unerwünscht.

Empfehlung:
Überprüfen Sie die Benachrichtigungen, um festzustellen, warum die Software ermittelt wurde. Wenn Ihnen die Funktionsweise der Software nicht gefällt oder Sie den Softwareherausgeber nicht kennen und ihm nicht vertrauen, sollten Sie erwägen, die Software zu blockieren oder zu entfernen.

Ressourcen:
clsid:
HKLM\SOFTWARE\CLASSES\CLSID\{f4d74aaa-a178-4463-846b-b4bc87a024e0}

regkey:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{f4d74aaa-a178-4463-846b-b4bc87a024e0}

regkey:
HKLM\SOFTWARE\CLASSES\CLSID\{f4d74aaa-a178-4463-846b-b4bc87a024e0}

regkey:
HKCU@S-1-5-21-1715567821-842925246-854245398-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{F4D74AAA-A178-4463-846B-B4BC87A024E0}

bho:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{f4d74aaa-a178-4463-846b-b4bc87a024e0}

ieaddon:
HKCU@S-1-5-21-1715567821-842925246-854245398-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{F4D74AAA-A178-4463-846B-B4BC87A024E0}

file:
C:\WINDOWS\system32\ixt0.dll

Online weitere Informationen über dieses Element anzeigen

Cleriker · 15.02.2007, 00:50

Du bist ja ein schlimmer Patient...ok...

1. Folgendes fixen:

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://login.yahoo.com/config/login_verify2?&.src=ym
R3 - Default URLSearchHook is missing

2. Anleitung Avenger:
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Files to delete: (schau, welche Dateien davon da sind, aber vorher
versteckte Ordner und Dateien sichtbar machen)

Zitat:

C:\WINDOWS\system32\issrch.exe
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\ixt?.dll
C:\WINDOWS\system32\ixt??.dll
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\tmp.txt
C:\WINDOWS\system32\tmp.reg

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

3. Alles was im folgenden Ordner ist löschen + Papierkorb leeren.

Zitat:

C:\Dokumente und Einstellungen\LocalService\Cookies

4. Anleitung SmitfraudFix:
Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 2)
-> wichtig: Systemwiederherstellung deaktiviert + abgesicherter Modus

5. Lade dir cleanup herunter und lass es bei deaktivierter System-
wiederherstellung über dein system drüber latschen.

6. Danach postest du bitte ein neues Logfile von . . .
HiJackThis, escan, F-Secure Blacklight, SmitfraudFix (Option1 dieses mal)

Ich hoffe, danach sieht dein system um einiges besser aus.

- bleibe bitte nächstes mal für bessere Übersicht in deinem alten Thread
- Lade dir erst die Tools herunter und nehme deinen Rechner für
die Vorgänge wegen des Downloader-Trojaner vom Netz.

mfg Cleriker

RobCole · 15.02.2007, 21:55

Hallo Cleriker

Danke für deine Geduld. Scheint geklappt zu haben. Obschon das Smitfraud-Cleaning einfach nicht geht. Kann den Pfad nicht finden.

Anbei die Logs - eScan ist zu lang, wie soll ich das rüberbringen?-, doch zuerst eine Frage: Ich habe mittlerweile - allen guten Ratschlägen folgend - ziemlich viele Antivirenregistrycleantrojanerfixprogramme. Iich geb dir eine Liste. Kannst du mir sagen, welche ich behalten soll?

Norton AV 2005
Lavasoft Ad-Aware
CCleaner
Clean-up
Spybot Search & Destroy
Registry Mechanic
Security Task Manager
AVG Anti Spyware 7.5
eScan for Windows
Windows Defender
F-Secure Blacklight Trial

Hier die Log files:

Logfile of HijackThis v1.99.1
Scan saved at 21:21:43, on 15.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\acer\Wireless\Utility\WlanUtil.exe
C:\Programme\Aspire Arcade\PCMService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CRW\shwicon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\LAUNCH~1\LManager.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\msiexec.exe
C:\DOKUME~1\Marco\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

F2 - REG:system.ini: Shell=
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [acerWireless] C:\Programme\acer\Wireless\Utility\WlanUtil.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] C:\Programme\CRW\shwicon.exe -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe

_________________________________________________________________

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ofatdloa

*******************

Script file located at: \??\C:\WINDOWS\system32\akndiblj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\issrch.exe deleted successfully.
File C:\WINDOWS\system32\ixt0.dll deleted successfully.
File C:\WINDOWS\system32\wpa.dbl deleted successfully.
File C:\WINDOWS\system32\tmp.txt deleted successfully.
File C:\WINDOWS\system32\tmp.reg deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

_________________________________________________________________

SmitFraudFix v2.142

Scan done at 17:07:43.41, 15.02.2007
Run from C:\Dokumente und Einstellungen\Marco\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Marco

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Marco\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Marco\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

_________________________________________________________________

Thu Feb 15 17:44:28 2007 => Scan vollständig.
02/15/07 18:44:02 [Info]: BlackLight Engine 1.0.55 initialized
02/15/07 18:44:02 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/15/07 18:44:02 [Note]: 7019 4
02/15/07 18:44:02 [Note]: 7005 0
02/15/07 18:44:05 [Note]: 7006 0
02/15/07 18:44:05 [Note]: 7011 1648
02/15/07 18:44:05 [Note]: 7026 0
02/15/07 18:44:05 [Note]: 7026 0
02/15/07 18:44:08 [Note]: FSRAW library version 1.7.1021
02/15/07 18:50:25 [Note]: 7007 0

Cleriker · 15.02.2007, 23:26

Abend,

ich würde sagen, es sieht gut aus. :aplaus:
Deine LogFiles alle, dass du clean bist.
Hast du jetzt noch irgendwelche Probleme,
nachdem du die Systemwiederherstellung wieder
aktiviert hast?

Norton AV 2005 : nicht behalten (ressourcenfressend)
Lavasoft Ad-Aware : behalten
CCleaner : kenn' ich nicht
Clean-up : behalten
Spybot Search & Destroy: behalten
Registry Mechanic : kenn' ich nicht
Security Task Manager : nicht behalten
AVG Anti Spyware 7.5 : nicht behalten
eScan for Windows : behalten
Windows Defender : behalten
F-Secure Blacklight Trial : behalten
-> aber nicht alles drauf lassen

Ist natürlich nur meine Meinung

mfg Cleriker

big_surfer · 16.02.2007, 09:55

Zitat:

Zitat von Cleriker

Abend,

ich würde sagen, es sieht gut aus. :aplaus:
Deine LogFiles alle, dass du clean bist.
Hast du jetzt noch irgendwelche Probleme,
nachdem du die Systemwiederherstellung wieder
aktiviert hast?

Norton AV 2005 : nicht behalten (ressourcenfressend)
Lavasoft Ad-Aware : behalten
CCleaner : kenn' ich nicht
Clean-up : behalten
Spybot Search & Destroy: behalten
Registry Mechanic : kenn' ich nicht
Security Task Manager : nicht behalten
AVG Anti Spyware 7.5 : nicht behalten
eScan for Windows : behalten
Windows Defender : behalten
F-Secure Blacklight Trial : behalten
-> aber nicht alles drauf lassen

Ist natürlich nur meine Meinung

mfg Cleriker

Deine Meinung in allen Ehren, aber das ist die Meinung von jemanden, der glaubt, dass diese Programme Schädlinge restlos beseitigen können. Das ist aber leider nicht der Fall. Dazu vielleicht die Meinung eines führenden Microsoft Mitarbeiters:
Jesper M. Johanssons Essay "I Got Hacked. Now What Do I Do?" (englisch)

Cleriker · 16.02.2007, 11:57

Zitat:

Deine Meinung in allen Ehren, aber das ist die Meinung von jemanden, der glaubt, dass diese Programme Schädlinge restlos beseitigen können. Das ist aber leider nicht der Fall. Dazu vielleicht die Meinung eines führenden Microsoft Mitarbeiters:

1. Lese bitte alles, bevor du einen Standpunkt zu einem Thema abgibst.
2. (noch wichtiger)Lese dass, was du selbst verlinkst.

Das System von RobCole wurde meines Erachtens weder gehackt
noch mit Backdoortrojanern oder Backdoormalware infiziert. Demzufolge
kann man hier nicht von einem kompromittierten System sprechen.

Ich habe ausschließlich zu den Softwaretools Stellung genommen.

Wenn du eine produktive Meinung hier abliefern möchtest, bin ich gern
bereit, mich berichtigen zu lassen. Aber stelle bitte nicht einfach anderen
grundlos ein Bein.

mfg Cleriker

big_surfer · 16.02.2007, 12:20

Hoppala, da fühlt sich aber jemand auf den Schlips getreten. War nicht meine Absicht. Aber nach deinem Posting mit den Softwaretools konnte man davon ausgehen

Zitat:

Ich würde sagen, es sieht gut aus.

dass du ein Anhänger der Theorie bist, dass man mit Tools alles beheben kann oder aber du zumindest der Mmeinung bist, wenn Tools nichts mehr anzeigen, das System sauber sei.

Davon kann man leider nie ausgehen.

Meine Meinung, und damit stehe ich wahrlich nicht alleine ist:

Kein Tool der Welt kann dir "Schädlingsfreiheit" garantieren. Zumal bei einem einmal infizierten System davon auszugehen ist, dass etwas an den Sicherheitseinstellungen des Systems und des Anwenders nicht in Ordnung ist. Gerade dann ist der Verdacht naheliegend, dass er sich weitere Schädlinge zugezogen hat. Die sicherste, wenn auch sicherlich nicht unaufwändigste, Methode ist das sichere Neuaufsetzen des Systems. Wenn man dabei regelmäßig Imagebackups zieht, ist man dann in Zukunft für den casus knacktus bestens gerüstet.

Nix für ungut!

RobCole · 17.02.2007, 23:21

Hey Jungs, was bedeutet das für mich? Reicht es, wenn ich den Schädling nicht mehr spüre, auch wenn er vielleicht noch da ist, oder mus ich 'tabula rasa' alles niederbrennen und neu aufbauen?

Big Surfer, ich versteh nicht ganz, was du mir sagen willst. Was soll ich tun?

Rob

Cleriker · 18.02.2007, 02:48

Ähm...

Big_Surfer und ich haben nur eine kleine Meinungsverschiedenheit,
die sich ein bisschen länger hingezogen hat.

Er meint damit, wenn du 100%ig sicher sein willst, dass nach deinem
Schädlingsbefall kein Schaden zurückbleibt, musst du dein System
neu aufsetzen. Meine Meinung hingegen hast du nach deinen
Scans gelesen. Deine Entscheidung triffst du alleine.

mfg Cleriker

Zlob will nicht gehen!

Log-Analyse und Auswertung: Zlob will nicht gehen!