Vielen Dank schon mal Franz1968!!

zuerst mal zum XP-Sicherheitsupdate: Habs noch mal versucht. dabei hat er 3 updates angezeigt, für FlashPlayer (KB923789) - das Update funktioniert schon seit langem nicht, ohne spezifische Fehlermeldung -, ein Update für "Windows GenuineAdvantageNotification und eben das XP-Update (KB925902). Da ich jedoch das Notification-Programm nicht zulassen will - ich möchte ja alle "LAuscher" von meinem Rechner haben, und nicht einen neuen (!!) installieren - wird der ganze Update-Prozess abgebrochen. Leider keine schöne Art von Microsoft, bloss weil man kein MS-Schnüffelprogramm haben will.

"Kannst du noch Angaben dazu machen, was genau entfernt wurde?"

Also folgende Dateien haben Avast und Spybot SD entfernt:

In Avast-VirenContainer verschoben

System Dateien:

Kernel32.dll
Winsock.dll
Wsock32.dll

Infizierte Dazeien:

A0063038.exe (Win32:Ranky-I)
DCPROMO.LOG (Win32:SdBot-gen44)
MEMORY.DMP (Win32:SdBot-gen44)
Readme.txt (Uruguay 6/7/8)

von SpyBot gelöschte Dateien:

AdRevolver 14 / Advertising.com 6 / Advira 1 / Avenue A, Inc. 8 / CasaleMedia 4 / CoreMetrics 1 / DoubleClick 5 / FastClick 6 / GAIN.Gator 2 / HitBox 8 / MediaPlex 10 /
Microsoft.WindowsSecurityCenter.AntiVirusDisableNotify 1 / SexList 3 / Statcounter 3 /
Tradedoubler 5 / WebTrends live 2 / Zanox 2 / Zedo 2

Die unterstrichenen tauchen bei jedem neuen SpyBot-Scan wieder auf - egal wie oft sie vorher gelöscht wurden.


Und zu guter letzt zur svchost.exe..Danke erstmal für den Virus-Total Tipp!!

Leider kam nichts dabei heraus..keines der Programme hat svchost als Bedrohung eingestuft. (Ich habe mir auch mal den Dateipfad beim SecurityTaskmanager angesehen, die Datei ist ordnungsgemäß unter C:\Windows\System32 zu finden.)

Complete scanning result of "svchost.exe", received in VirusTotal at 04.07.2007, 18:35:29 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.4.7.0 04.06.2007 no virus found
AntiVir 7.3.1.48 04.07.2007 no virus found
Authentium 4.93.8 04.06.2007 no virus found
Avast 4.7.936.0 04.06.2007 no virus found
AVG 7.5.0.447 04.07.2007 no virus found
BitDefender 7.2 04.07.2007 no virus found
CAT-QuickHeal 9.00 04.06.2007 no virus found
ClamAV devel-20070312 04.07.2007 no virus found
DrWeb 4.33 04.07.2007 no virus found
eSafe 7.0.15.0 04.07.2007 no virus found
eTrust-Vet 30.7.3549 04.06.2007 no virus found
Ewido 4.0 04.07.2007 no virus found
FileAdvisor 1 04.07.2007 No threat detected
Fortinet 2.85.0.0 04.07.2007 no virus found
F-Prot 4.3.1.45 04.04.2007 no virus found
F-Secure 6.70.13030.0 04.07.2007 no virus found
Ikarus T3.1.1.3 04.07.2007 no virus found
Kaspersky 4.0.2.24 04.07.2007 no virus found
McAfee 5003 04.06.2007 no virus found
Microsoft 1.2405 04.07.2007 no virus found
NOD32v2 2172 04.07.2007 no virus found
Norman 5.80.02 04.05.2007 no virus found
Panda 9.0.0.4 04.07.2007 no virus found
Prevx1 V2 04.07.2007 no virus found
Sophos 4.16.0 04.06.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.07.2007 no virus found
TheHacker 6.1.6.085 04.04.2007 no virus found
VBA32 3.11.3 04.06.2007 no virus found
VirusBuster 4.3.7:9 04.07.2007 no virus found
Webwasher-Gateway 6.0.1 04.07.2007 no virus found

Aditional Information
File size: 14336 bytes
MD5: 65a819b121eb6fdab4400ea42bdffe64
SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=65a819b121eb6fdab4400ea42bdffe64


Zum Schluss - bevor ich mich ganz herzlich für deine Hilfe bedanke!! - habe ich noch eine Frage, über du vielleicht lachst, mir als Laien allerdings nicht verständlich ist: Lassen sich mit HiJackThis überhaupt ein Großteil der Trojaner usw. anzeigen? Da sehr viele User mit HJT nach Trojanern suchen, wird der Großteil der neueren Bedrohungen doch bestimmt schon so geschickt programmiert sein, defintiv nicht mehr von HJT angezeigt zu werden,oder?

Nun gut, auf alle Fälle VIEEELEN DANK!

Hallo.

Zitat:

Da ich jedoch das Notification-Programm nicht zulassen will - ich möchte ja alle "LAuscher" von meinem Rechner haben, und nicht einen neuen (!!) installieren - wird der ganze Update-Prozess abgebrochen. Leider keine schöne Art von Microsoft, bloss weil man kein MS-Schnüffelprogramm haben will.

das stimmt so nicht!!! Wenn du eine illegale Version hast, kannste das ruhig zugeben; wenn nicht dann entschuldige ich mich aber du kannst einzelnd auswählen welches Update du installieren möchtest. Einfach in der Auswahl das Häkchen beim WGA wegnehmen.
Ist auch nicht wirklich ein "Schnüffelprogramm"..

Wen das WGA nervt.:.
Hier ist die Lösung.

Zum Thema: Mache doch bitte einen eScan. Anleitung dazu ist in meiner Signatur verlinkt..

Gruß

Undoreal

Hallo.
Da die svchost.exe sauber ist, frage ich lieber noch mal nach: Dir war ursprünglich wirklich die svchost.exe unangenehm aufgefallen, die in dem Ordner c:\windows\system32 liegt, richtig? Nicht etwa eine scvhost.exe, oder eine svchost.exe außerhalb des system32-Ordners?

Zitat:

Zitat von jose82

Infizierte Dazeien:
DCPROMO.LOG (Win32:SdBot-gen44)

Das sieht nicht wirklich gut aus. Es gibt SdBot-Varianten, die eine Datei mit diesem Namen erzeugen. In diesem Fall wäre eine Backdoor auf deinem Rechner aktiv (gewesen), und dein System wäre kompromittiert.
Eine Nachfrage: Wie lautete der ursprüngliche Pfad zu der dcpromo.log?

Zitat:

Lassen sich mit HiJackThis überhaupt ein Großteil der Trojaner usw. anzeigen? Da sehr viele User mit HJT nach Trojanern suchen, wird der Großteil der neueren Bedrohungen doch bestimmt schon so geschickt programmiert sein, defintiv nicht mehr von HJT angezeigt zu werden,oder?

Du hast den Nagel auf den Kopf getroffen.

Also der ursprüngliche Pfad ifür DCPROMO.LOG ist folgender:
C:\WINDOWS\Debug

Und es geht um die svchost.exe in System32, ja - kein Buchstabendreher oder ähnliches..

Ich werde - wohl als einzig sichere Lösung - meinen Rechner neu formatieren/aufsetzen müssen.

Da ich meine Dateien aus eigene Dateien jedoch nicht löschen will/kann, möchte ich sie auslagern und dann wieder auf den Rechner aufspielen. Aber wie groß ist die Gefahr, mir die "alten Probleme" wieder zu holen, und da es sich bei den für mich sehr wichtigen Dateien vor allem um Word-Dokumente handelt, bin ich vor allem deswegen verunsichert:

(http://oschad.de/wiki/index.php/Kompromittierung):
"Es darf nichts mehr verwendet werden, was zuvor auf der Festplatte lagerte (Programme, Treiber, Dateien mit ausführbarem Inhalt)" --
und als Dateien mit ausführbarem Inhalt kommen dann dort (http://oschad.de/wiki/index.php/Dateiendungen) eben auch .doc vor!

Wie kann ich sicher gehen, dass ich nicht mit meine eigene Dateien auch wieder die alten Viren/Trojaner auf meine Rechner mit rüber ziehe?

.doc Dokumente sind theoretisch infizierbar. Man kann praktisch alle Dateien Infizieren. Würmer tuen das z.Bleistift recht häufig. Ich würde jede Datei einzelnd aufrufen, den TExt abkopieren und auf einem externen Laufwerk in einem .txt Dokument einfügen. Diese Dateien dann meinetwegen noch mit einem guten AVScanner durchkauen und dann sollte das eigentlich klar gehen..

mfg

Undoreal

Wollte grade mein eScan logfile posten, ist aber leider 5.000Zeichen zu groß.
Nun gut, da ich meinen Rechner noch nicht sofort neu aufsetzen kann, wegen (noch) fehlender Auslagerungsmöglichkeit der eigenen Dateien, wollte ich fragen ob ich die folgende Datei löschen kann, ohne
dabei eine wichtige Systemdatei zu löschen, oder sonstigen - nicht mehr zu bereinigenden - Schaden anzurichten:

File C:\WINDOWS\system32\y infected by "Trojan-Downloader.BAT.Ftp.ab"

bzw. was mir die folgende Aussage des eScan sagen will:

Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
Bedeutet das, dass die Datei "HKCR\Alg.AlgSetup" auf etwas bezieht, das nicht mehr auf meinem Rechner ist, oder dass die Datei infiziert/zerstört ist?

Mille Grazie!

Lies bitte die Anleitung zu eScan aus meiner Signatur durch und poste das logFile mit Hilfe der find.bat wie in der Anleitung beschrieben..

mfg

Undoreal

Microsoft Windows XP [Version 5.1.2600]
Sun Apr 08 11:07:04 2007 => Version 9.1.8 (C:\DOKUME~1\Susi\LOKALE~1\Temp\mexe.com)
Sun Apr 08 11:05:25 2007 => Virus Database Date: 4/5/2007
Sun Apr 08 13:33:35 2007 => Virus Database Date: 4/5/2007
Sun Apr 08 17:36:25 2007 => Virus Database Date: 4/5/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 08 11:10:06 2007 => System found infected with winfixer/errorsafe Adware (support.url)! Action taken: No Action Taken.
Sun Apr 08 11:10:06 2007 => System found infected with winfixer/errorsafe Adware (support.url)! Action taken: No Action Taken.
Sun Apr 08 11:10:06 2007 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Sun Apr 08 11:10:06 2007 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Sun Apr 08 11:10:06 2007 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
Sun Apr 08 11:10:09 2007 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Sun Apr 08 11:10:09 2007 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Sun Apr 08 11:10:09 2007 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Sun Apr 08 11:13:47 2007 => File C:\WINDOWS\system32\y infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken.
Sun Apr 08 13:33:19 2007 => File C:\WINDOWS\system32\y infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Apr 08 11:10:06 2007 => Offending file found: C:\Dokumente und Einstellungen\Susi\Startmenü\programme\digital publishing\support.url
Sun Apr 08 11:10:06 2007 => Offending file found: C:\Dokumente und Einstellungen\Susi\Startmenü\Programme\digital publishing\support.url
Sun Apr 08 11:10:06 2007 => Offending file found: C:\Dokumente und Einstellungen\Susi\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Sun Apr 08 11:10:06 2007 => Offending file found: C:\Dokumente und Einstellungen\Susi\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\2.dat
Sun Apr 08 11:10:06 2007 => Offending file found: C:\Dokumente und Einstellungen\Susi\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat
Sun Apr 08 11:10:09 2007 => Offending file found: C:\Dokumente und Einstellungen\Susi\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Sun Apr 08 11:10:09 2007 => Offending file found: C:\Dokumente und Einstellungen\Susi\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\2.dat
Sun Apr 08 11:10:09 2007 => Offending file found: C:\Dokumente und Einstellungen\Susi\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sun Apr 08 11:09:40 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\iprip !!!
Sun Apr 08 11:09:40 2007 => Offending Key found: HKLM\System\ControlSet001\Services\iprip !!!
Sun Apr 08 11:09:40 2007 => Offending Key found: HKLM\System\ControlSet003\Services\iprip !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~