Hallo,

wie der Titel schon sagt, vermute ich bei meinem PC, dass ein Hijacking-Vorfall vorliegt, der zusätzlich mit möglichen Trojaner u.ä. gekommen ist. Der Verdacht liegt deswegen nahe, weil meine beiden Browser (Firefox und IE 7, besonders das kaum genutzte IE 7) sich ungewollt öffnen und mich auf irgendwelche Seiten hijacken oder bestimmte Active-X-Elemente herunterladen wollen. Die Antiviren-Software "eTrust", die ich beim Kauf des PCs mit dazu erworben hatte, konnte trotz Updates nichts finden (hier ist aber natürlich die Frage: Ist dieses Antiviren-Programm überhaupt zuverlässig?).
Um das System weiter zu cleanen habe ich anschließend diese Softwaren drüberlaufen lassen:

AdAware (mehrere Cookies gelöscht), anschließend zur Sicherheit dann mal a-squared Anti-Dialer und a-squared Free heruntergeladen und benutzt: Soweit keine Dialer, a-squared Free konnte wieder einige korrupte oder unsichere Dateien finden (jedoch meistens auch nur Cookies). Das Hijacking ging anschließend etwas zurück, jedoch noch nicht ganz.

Deswegen griff ich dann (nach einiger Suche) zu Spybot- Search&Destroy zurück. Das Programm ist echt nicht schlecht, es hat einige Malware gefunden (tlw. sogar bösartige: Smitfraud etc.).

Mit dem Ergebniss bin ich jedoch immer noch nicht zufrieden. Es gibt vereinzelt wieder Hijacking-Übergriffe und Spybot hatte ungewohnt schnell wieder viele Tracker/Cookies gefunden. Ich habe auch den Immunitätswall von Spybot aktiviert, doch kommen manche Hijacking-Übergriffe durch.

Ich hoffe, dass jemand mir weiterhelfen kann. eScan habe ich noch nicht ausprobiert, da ich die Befürchtung habe, dass ich da etwas falsch machen könnte (ich bin zwar kein PC-Noob, aber auch kein Uberprofi). Besonders liegt da dann meine Befürchtung, dass ich etwas zuviel lösche, als notwendig (wie ich im Forum gelesen habe, ist es scheinbar häufiger der Fall)

Hier mal ein HijackThis-Log von mir:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:51:19, on 29.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\HiJackThis_v2.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {28656011-EF95-4DD2-B771-67FC77712F07} - C:\WINDOWS\system32\bcfcwlmp.dll (file missing)
O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\kcftefdr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {8071E65A-3F56-4426-8372-8667CD213057} - C:\WINDOWS\system32\fccdeef.dll
O2 - BHO: (no name) - {AB230EF4-41AF-4D18-B865-A33CFC430F23} - C:\WINDOWS\system32\sstqn.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - h**p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*+p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161181975062
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: fccdeef - C:\WINDOWS\SYSTEM32\fccdeef.dll
O20 - Winlogon Notify: sstqn - C:\WINDOWS\system32\sstqn.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10169 bytes

-------


Da fällt mir auch auf, dass einige File-missed-Einträge vorkommen. Was kann ich dagegen machen? (Soll ich etwas dagegen machen?)

Und: Wie kann man diese Aldi-Medion (ja, ich habe ein Medionpc) Links entfernen? Das ist doch nur eh Spam!


Sorgen mache ich mir auch über mögliche Rootkits (okay, ich leide so langsam unter Paranoia, aber es hat mit im Moment übel erwischt, vorhin war das System relativ clean und unproblemmatisch(Cookies u.ä. leider nicht verhinderbar)). Welchen Rootkit-Scanner kann man mir da empfehlen? (F-Secure Rootkit oder so ähnlich genannt?) Oder wie kann ich das System auf Rootkits überprüfugen? Ich habe keine Lust, hinterher vom BKA Ärger zu bekommen, weil ich irgendwelche illegale Seiten ungewollt gehostet hätte...

Schon mal vielen Dank im Voraus für mögliche Tipps!

Ciao
Xexano

Hallo,

was du meinst heißt "Blacklight" und ist der Rootkitfinder von F-Secure.
Daneben gibt es auch noch "Rootkitrevealer" oder "Gmer".
Google hilft...

Aber um einen EScan wirst du nicht rumkommen.Man kann eine Smitfraud Infektion vermuten.......
Aber auf "gut Glück" draufhauen ist nicht meine Welt.....
Lieber gezielt und mit genauen Informationen versorgt ,eingreifen..
Irrlicht

Hallo,

ich habe jetzt nun einen eScan drüberlaufen lassen. Hat recht lange gedauert, da ich eine recht große Masse an Daten hatte.

Hier ist der eScan-Bericht

---------

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.06.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.6
Sprache: German

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
System found infected with shangxing BackDoor (C:\WINDOWS\system32\svkp.sys)! Action taken: Keine Aktion vorgenommen.
System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\qdcwvimb.dll infiziert von "Trojan-Spy.Win32.VBStat.h" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{C0D98CBA-6672-47B1-9E43-2A9DE301BFBF}\RP471\A0046761.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{C0D98CBA-6672-47B1-9E43-2A9DE301BFBF}\RP471\A0046772.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{C0D98CBA-6672-47B1-9E43-2A9DE301BFBF}\RP471\A0046789.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\sstqn.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\fccdeef.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\sstqn.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\kcftefdr.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.kb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\fccdeef.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\fccdeef.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\sstqn.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\fccdeef.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\kcftefdr.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.kb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\sstqn.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ettkybfh.dll//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\fccdeef.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\kcftefdr.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.kb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\sstqn.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\svkp.sys
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB27.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB2B.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB2F.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB4D.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\Delphi 7\Demos\Db\IBX\IBSilentInstall\ibinstall.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\eRightSoft\SUPER\SUPER1.dlm nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\eRightSoft\SUPER\SUPER6.dlm nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 236205
Gefundene Viren: 23
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 343
Dauer des Scans bisher: 02:54:07
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:18:41,90
Batchende: 22:19:05,21

------------

Was empfehlt ihr, wie soll ich weiter vorgehen?
Vor allerdem bzgl. zur Entfernung der Malwares?

Ciao
Xexano

Bzgl. zu Backdoors habe ich gerade nichts sehr erfreuliches gelesen: Neues System aufsetzen.

Sagen wir mal, es wäre nicht mehr möglich, das System einigermassen wieder abzusichern:
Meine letztes Backup/Sicherung ist schon etwas zu lange her, als dass ich jetzt einfach das ganze System formatiere. Deswegen meine Frage: In wie fern kann ich noch Backups machen und Dateien sichern, ohne die Viren/Trojaner mit auf das neue System zu übertragen? (Wie gesagt: Wenn das nur noch die einzige Möglichkeit bleibt!)


Wenn es aber noch Möglichkeiten gibt, das ganze ohne "neues System aufsetzen" geht, wäre ich sehr glücklich
(Vor allerdem stelle ich es mir sehr nervig vor: Einmal irgendwie "dummerweise" ein Trojaner eingehandelt, gleich wieder ganzes System neu aufsetzen.... na toll, sehr arbeitsaufwendig!)

Hi,
So wie ich das sehe hast du keinen Backdoor
Aber sicher ist sicher.
Alle Dateien sichtbar machen.
Dann check die größe der Datei:

Zitat:

C:\WINDOWS\system32\svkp.sys

Rechtsklick->Eigenschaften->Allgemein

Sollte 2368 bytes groß sein.

Und jetzt zu deinem eigentlichen Problem

1.Avenger
-Lad dir Avenger runter Download
-Öffne Avenger
-Wähle "Input Script manually"
-Klick die Lupe an der rechten Seite an
-Gib in dem sich öffnenden Fenster den folgenden Text ein:

Zitat:

Files to delete:
C:\WINDOWS\system32\sstqn.dll
C:\WINDOWS\system32\kcftefdr.dll
C:\WINDOWS\system32\fccdeef.dll

-Schließe alle offenen Programme (außer Avenger natürlich )
-Klick auf die grüne Ampel
-Nachdem Avenger seine Arbeit getan hat wirst du gefragt ob du neustarten möchtest. Antworte "yes"

2.CCleaner
Anleitung
Lass den CCleaner einmal deinen PC entmüllen, wichtig sind hier besonders die Temporären Dateien deines Browsers!

3.HiJackThis
Ein neues Logfile bitte.

Hallo, vielen Dank für die Antwort,

ich mache mich grad an die Arbeit.

Nochwas: Du sagtest, es wären keine Backdoors dabei... darf ich dann mal einfach aus Neugierde fragen, was das dann ist?

(Trotz dieses Übels, dass mein PC infiziert ist: Das ganze Thema rund um Malware etc. finde ich recht interessant... )

Zitat:

System found infected with shangxing BackDoor (C:\WINDOWS\system32\svkp.sys)! Action taken: Keine Aktion vorgenommen.
System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\ svkp)! Action taken: Keine Aktion vorgenommen.

€dit:
Die Größe von svkp.sys wäre: 2.368 Bytes
Die Größe auf dem Datenträger von svkp.sys wäre: 4.096 Bytes

€dit 2:

Alle Aufgaben brav ausgeführt, hier der neue HiJackThis-Log:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:53:56, on 30.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\HiJackThis_v2.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {28656011-EF95-4DD2-B771-67FC77712F07} - (no file)
O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {8071E65A-3F56-4426-8372-8667CD213057} - (no file)
O2 - BHO: (no name) - {B50485F9-E90E-430C-B93E-3A7E01B58207} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - h**p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161181975062
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: fccdeef - fccdeef.dll (file missing)
O20 - Winlogon Notify: sstqn - C:\WINDOWS\system32\sstqn.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9994 bytes

-------------------------

Komischerweise sind noch einige Verweise "missed" trotz CC-Cleaner... habe ich es wohl noch nicht gründlich genug gemacht?!

Und interessant ist dies:

Zitat:

O20 - Winlogon Notify: fccdeef - fccdeef.dll (file missing)
O20 - Winlogon Notify: sstqn - C:\WINDOWS\system32\sstqn.dll (file missing)

Kann man denn nicht auch mit dem HijackThis einige Sachen fixen?

Und mir fällt auf:

Wir haben eigentlich noch nicht den Trojaner gefixt (oder?)

Zitat:

Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\qdcwvimb.dll infiziert von "Trojan-Spy.Win32.VBStat.h" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Zitat:

€dit:
Die Größe von svkp.sys wäre: 2.368 Bytes
Die Größe auf dem Datenträger von svkp.sys wäre: 4.096 Bytes

Edit: Sorry verguckt Dann ist mit der alles in Ordnung!

Zitat:

Komischerweise sind noch einige Verweise "missed" trotz CC-Cleaner... habe ich es wohl noch nicht gründlich genug gemacht?!


Kann man denn nicht auch mit dem HijackThis einige Sachen fixen?

Richtig doch fixen alleine bringt nichts, dadurch wird der schädling nicht entfernt. Der CCleaner hat nichts mit dem Logfile zu tun. Du solltest jetzt fixen:

Zitat:

O2 - BHO: (no name) - {28656011-EF95-4DD2-B771-67FC77712F07} - (no file)
O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - (no file)
O2 - BHO: (no name) - {8071E65A-3F56-4426-8372-8667CD213057} - (no file)
O2 - BHO: (no name) - {B50485F9-E90E-430C-B93E-3A7E01B58207} - (no file)
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - h**p://www.medionshop.de/ (file missing) (HKCU)
O20 - Winlogon Notify: fccdeef - fccdeef.dll (file missing)
O20 - Winlogon Notify: sstqn - C:\WINDOWS\system32\sstqn.dll (file missing)

Zitat:

Und mir fällt auf:

Wir haben eigentlich noch nicht den Trojaner gefixt (oder?)

Dafür war eigentlich der CCleaner gedacht


Gibt es noch Probleme?

Als ich gerade nach der Trojaner-dll-Datei gesucht hatte, hatte ich mich schon gewundert, warum die Datei weg war.

Ich hätte jetzt noch zwei-drei Fragen...

1.) Die o.g. Dateien, die ich fixen soll: Soll ich es mit HijackThis machen? Dazu so vorgehen wie bei der Anleitung vom Trojaner-Board (in deiner Sig. ist ja ein Link dazu )? Wenn ja: In wie fern ist diese Formulierung in der Anleitung gemeint:

Zitat:

Anschliessend sollten auch die Malware Dateien entfernt werden, denn sonst hat die ganze Prozedur keinen Sinn.

Soll ich in diesem Fall die gefixen Dateien zusätzlich noch entfernen?

2.) Ich werde nochmals einen eScan durchlaufen lassen. Das wird aber etwas dauern. Wenn da noch Probleme zu finden sind, dann melde ich mich nochmals, okay?

3.) Ich bin dankbar für die tolle Hilfe und würde gerne mich noch weiter mit solchen Themen auseinandersetzen. Wo kann man denn eigentlich Erfahrungen dazu sammeln?
Ich sehe nämlich, dass hier viele Leute auch so ähnliche (oder gar die gleichen?) Probleme haben wie ich und ich finde es cool, wie man hier geholfen wird. Vielleicht kann ich sie ja auch mal bissl helfen

€dit:

Noch etwas: Ich habe mal die svkp.sys-Datei von Virustotal.com scannen lassen.

Das Ergebnis sieht wie folgt aus:

2 von 31 Scanner fanden einen Trojan.SPY oder SPY/Joiner, der Rest fand gar nichts.

Zitat:

Antivirus----------Version----------Update----------Result
AhnLab-V3----------2007.5.30.0----------05.30.2007----------no virus found
AntiVir----------7.4.0.29----------05.30.2007----------no virus found
Authentium----------4.93.8----------05.23.2007----------no virus found
Avast----------4.7.997.0----------05.30.2007----------no virus found
AVG----------7.5.0.467----------05.30.2007----------no virus found
BitDefender----------7.2----------05.30.2007----------no virus found
CAT-QuickHeal----------9.00----------05.30.2007 ----------TrojanSpy.Joiner.av
ClamAV----------devel-20070416----------05.30.2007----------no virus found
DrWeb----------4.33----------05.30.2007----------no virus found
eSafe----------7.0.15.0----------05.29.2007----------no virus found
eTrust-Vet----------30.7.3675----------05.30.2007----------no virus found
Ewido----------4.0----------05.29.2007----------no virus found
FileAdvisor----------1----------05.30.2007----------No threat detected
Fortinet----------2.85.0.0----------05.30.2007----------SPY/Joiner
F-Prot----------4.3.2.48----------05.30.2007----------no virus found
F-Secure----------6.70.13030.0----------05.30.2007----------no virus found
Ikarus----------T3.1.1.8----------05.30.2007----------no virus found
Kaspersky----------4.0.2.24----------05.30.2007----------no virus found
McAfee----------5042----------05.30.2007----------no virus found
Microsoft----------1.2503----------05.29.2007----------no virus found
NOD32v2----------2298----------05.30.2007----------no virus found
Norman----------5.80.02----------05.30.2007----------no virus found
Panda----------9.0.0.4----------05.30.2007----------no virus found
Prevx1----------V2----------05.30.2007----------no virus found
Sophos----------4.18.0----------05.28.2007----------no virus found
Sunbelt----------2.2.907.0----------05.26.2007----------no virus found
Symantec----------10----------05.30.2007----------no virus found
TheHacker----------6.1.6.126----------05.30.2007----------no virus found
VBA32----------3.12.0----------05.30.2007----------no virus found
VirusBuster----------4.3.23:9----------05.30.2007----------no virus found
Webwasher-Gateway----------6.0.1----------05.30.2007----------no virus found

Wie soll ich das ganze bewerten?

Zitat:

1.) Die o.g. Dateien, die ich fixen soll: Soll ich es mit HijackThis machen? Dazu so vorgehen wie bei der Anleitung vom Trojaner-Board (in deiner Sig. ist ja ein Link dazu )?
Soll ich in diesem Fall die gefixen Dateien zusätzlich noch entfernen?

Ja, Anleitung aus meiner Signatur benutzen. Die Dateien haben wir bereits entfernt

Zitat:

2.) Ich werde nochmals einen eScan durchlaufen lassen. Das wird aber etwas dauern. Wenn da noch Probleme zu finden sind, dann melde ich mich nochmals, okay?

Kein Problem.

Zitat:

3.) Ich bin dankbar für die tolle Hilfe und würde gerne mich noch weiter mit solchen Themen auseinandersetzen. Wo kann man denn eigentlich Erfahrungen dazu sammeln?
Ich sehe nämlich, dass hier viele Leute auch so ähnliche (oder gar die gleichen?) Probleme haben wie ich und ich finde es cool, wie man hier geholfen wird. Vielleicht kann ich sie ja auch mal bissl helfen

Ich bin auch mal mit einem dicken Problem hier gelandet
Einfach ein bischen mitlesen, dabei lernt man schon viel dazu.
Eine Seite mit vielen Anleitungen:
Internet Sicherheit - Virenscanner

Zitat:

Wie soll ich das ganze bewerten?

Als Fehlalarm

Okay, es gibt wieder einige Neuigkeiten :

1.) Die HiJackThis-Einträge sind soweit gefixed. :aplaus:

2.) CCleaner hat vieles weggecleant (habe ich aber glaube ich schon im vorherigen Post gesagt) :aplaus: Nur: Es hat mit einigen Dateienden, die bei Spielen vorkommen, Probleme. Es will ständig den Registrierungs-Wert löschen, da die Dateierkennung nicht klappt. Wie soll ich da vorgehen? Ignorieren? (Habe ich soweit erstmal gemacht)

3.) Der neue eScan hat mich etwas stutzig gemacht:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.06.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.6
Sprache: German

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
System found infected with shangxing BackDoor (C:\WINDOWS\system32\svkp.sys)! Action taken: Keine Aktion vorgenommen.
System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Avenger\fccdeef.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Avenger\kcftefdr.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.kb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Avenger\sstqn.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\svkp.sys
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
D:\Delphi 7\Demos\Db\IBX\IBSilentInstall\ibinstall.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\eRightSoft\SUPER\SUPER1.dlm nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\eRightSoft\SUPER\SUPER6.dlm nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 219552
Gefundene Viren: 8
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 28
Dauer des Scans bisher: 02:39:40
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:32:18,12
Batchende: 22:35:00,03

-----

1.) Die *.dll Dateien wurden vom Avenger nicht richtig gelöscht, sondern nur in seinen Ordner verschoben?

2.) Was sind das schon wieder für Infektionsmeldungen? Mal wieder Fehlalarm? Diese ominöse, uns allseits bekannte Datei "svkp.sys" taucht wieder mehrfach auf...

3.) Die Registry's sollten jetzt nach dem Scan nun mit CCleaner gefixt sein... (Es wurden beim Scan 3 Registry's zu problematischen Dateiendungen bemängelt. Ich habe sie mir CCleaner herausgepickt und "fixen" lassen)

Na ist doch alles bestens

Zitat:

C:\avenger\backup.zip

Ordner löschen.

Da sind Backups der von Avenger gelöschten Dateien drin. Falls doch mal wichtige Dateien gelöscht werden.

Zitat:

2.) Was sind das schon wieder für Infektionsmeldungen? Mal wieder Fehlalarm? Diese ominöse, uns allseits bekannte Datei "svkp.sys" taucht wieder mehrfach auf...

Fehlalarm

Zitat:

3.) Die Registry's sollten jetzt nach dem Scan nun mit CCleaner gefixt sein... (Es wurden beim Scan 3 Registry's zu problematischen Dateiendungen bemängelt. Ich habe sie mir CCleaner herausgepickt und "fixen" lassen)

Bei denen sollte es sich ebenfalls um Fehlalarme handeln

Hier, damit ich das wichtigste nicht vergesse:


Vielen Dank für den tollen Support!