Der PC lahmt in letzter Zeit. Ebenso werden ohne jegliche Aktionen im Internet meinerseits hin und wieder Trojaner von Antivir gefunden.

Logfile of HijackThis v1.99.1
Scan saved at 21:32:49, on 02.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\msnmss.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Opera\Opera.exe
D:\Programme\OCRANA-IRC\mirc.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe msnmss.exe
F3 - REG:win.ini: run=C:\WINDOWS\msnmss.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunServices: [AntiVir] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunServices: [] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunOnce: [msconfig] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunOnce: [icq lite] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunOnce: [Update Checker] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunOnce: [AntiVir] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunOnce: [] C:\WINDOWS\msnmss.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) -
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Hallo und im Trojaner Board!


Das sieht nicht gut aus für dein System:


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\msnmss.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



Datenträgerbereinigung

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.



Gruß
Sunny

hier schon mal der online scan von Virus-Total
den rest deiner liste arbeite ich jetzt ab
Datenträgerbereinigung hab ich nciht, da ich windows-lite benutze

Complete scanning result of "msnmss.exe", received in VirusTotal at 07.02.2007, 22:06:35 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.7.2.0 07.02.2007 no virus found
AntiVir 7.4.0.37 07.02.2007 HEUR/Crypted
Authentium 4.93.8 07.02.2007 no virus found
Avast 4.7.997.0 07.02.2007 Win32:VB-BLW
AVG 7.5.0.476 07.02.2007 no virus found
BitDefender 7.2 07.02.2007 no virus found
CAT-QuickHeal 9.00 07.02.2007 no virus found
ClamAV devel-20070416 07.02.2007 no virus found
DrWeb 4.33 07.02.2007 no virus found
eSafe 7.0.15.0 06.30.2007 no virus found
eTrust-Vet 30.8.3758 07.02.2007 no virus found
Ewido 4.0 07.02.2007 no virus found
FileAdvisor 1 07.02.2007 no virus found
Fortinet 2.91.0.0 07.02.2007 no virus found
F-Prot 4.3.2.48 07.02.2007 no virus found
F-Secure 6.70.13030.0 07.02.2007 no virus found
Ikarus T3.1.1.8 07.02.2007 Backdoor.VB.EV
Kaspersky 4.0.2.24 07.02.2007 no virus found
McAfee 5065 07.02.2007 BackDoor-ASB
Microsoft 1.2701 07.02.2007 no virus found
NOD32v2 2370 07.02.2007 no virus found
Norman 5.80.02 07.02.2007 no virus found
Panda 9.0.0.4 07.02.2007 no virus found
Sophos 4.19.0 06.28.2007 no virus found
Sunbelt 2.2.907.0 06.29.2007 VIPRE.Suspicious
Symantec 10 07.02.2007 Backdoor.Trojan
TheHacker 6.1.6.141 07.02.2007 no virus found
VBA32 3.12.0.2 07.02.2007 no virus found
VirusBuster 4.3.23:9 07.02.2007 no virus found
Webwasher-Gateway 6.0.1 07.02.2007 Heuristic.Crypted

Aditional Information
File size: 1598083 bytes
MD5: cccca679e364e06bbd739692b71b59a2
SHA1: 44454a26538435fb0c6a65c5a7b25b10b6b816a8
packers: Themida
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.



COMBOFIX LOG
Eine Bereinigung konnte ich nicht durchführen, Combofix hat nur gescannt

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSharedDocuments"=1 (0x1)
"NoRecentDocsMenu"=1 (0x1)
"NoRecentDocsHistory"=1 (0x1)
"ClearRecentDocsOnExit"=1 (0x1)
"NoSMHelp"=1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSharedDocuments"=1 (0x1)
"NoInternetIcon"=0 (0x0)
"NoRecentDocsMenu"=1 (0x1)
"NoRecentDocsHistory"=1 (0x1)
"ClearRecentDocsOnExit"=1 (0x1)
"NoSMHelp"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe msnmss.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService LmHosts upnphost SSDPSRV
bthsvcs BthServ


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63ef4c66-82ce-11db-83f7-0011d8550614}]
AutoRun\command- G:\autorun.exe


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-02 22:25:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001000-0000-1000-8000-00805f9b34fb}]


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001105-0000-1000-8000-00805f9b34fb}]


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001115-0000-1000-8000-00805f9b34fb}]


Completion time: 2007-07-02 22:25:42

--- E O F ---

eScan Log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.9
Sprache: German
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with rohbot Worm (C:\WINDOWS\system32\pskill.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\WINDOWS\passview.dll markiert als not-a-virus:PSWTool.Win32.PassView.b. Keine Aktion vorgenommen.
Datei C:\WINDOWS\passview4.dll//UPX markiert als not-a-virus:PSWTool.Win32.MailPassView.130. Keine Aktion vorgenommen.
File C:\WINDOWS\system32\cmdow.exe markiert als "not-a-virus:RiskTool.Win32.HideWindows". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsKill.e". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\passview.dll markiert als not-a-virus:PSWTool.Win32.PassView.b. Keine Aktion vorgenommen.
Datei C:\WINDOWS\passview4.dll//UPX markiert als not-a-virus:PSWTool.Win32.MailPassView.130. Keine Aktion vorgenommen.
File C:\WINDOWS\system32\cmdow.exe markiert als "not-a-virus:RiskTool.Win32.HideWindows". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsKill.e". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei D:\Programme\OCRANA-IRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
File D:\Programme\OCRANA-IRC\programs\QuikLock.exe markiert als "not-a-virus:RiskTool.Win32.Locker.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Startmenü\programme\autostart\powerreg scheduler.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\autostart\powerreg scheduler.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\powerreg scheduler.exe
Offending file found: C:\WINDOWS\system32\pskill.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\sopcast\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{63ef4c66-82ce-11db-83f7-0011d8550614} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 111531
Gefundene Viren: 18
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 67
Dauer des Scans bisher: 01:35:51
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 0:15:56,51
Batchende: 0:15:59,39


--------------------------------

Also laut Anzeige sind es 16 Viren, kann ich die nun ohne formatieren weg bekommen?

Hab jetzt leider keine Zeit, sehe mir aber dein Log nachher an.
(Mein Zahnarzt ruft...und ich kann den Bohrer schon hören. )

Sunny

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\passview.dll
C:\WINDOWS\passview4.dll/
C:\WINDOWS\system32\cmdow.exe
C:\WINDOWS\system32\pskill.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Du hast einen Trojaner im System der bei den meisten Anti-Virenherstellern nicht bekannt ist, man kann sehr wenig dazu sagen wie er arbeitet.
Was er aber definitiv anrichtet, ist eine Hintertür nach draussen aufzubauen.
Damit ist dein System Kompromittiert und nicht mehr dein eigenes.

Ich kann dir nur ans Herz legen dein System, sofern du es wieder in einen vertrauenswürdigen Zustand bringen willst, zu formatieren.

Eine Anleitung dazu findest du in meiner Signatur verlinkt.

Sorry,
Sunny

Ist es notwendig, beide Festplatten zu formatieren? Windows und alle Systemdatein sind auf der Festplatte C. Reicht es nur C zu formatieren oder muss ich auch die 2. Festplatte auslöschen?
Da ich nicht soviel Ahnung habe, eine zusätzliche Frage, falls die 2. Festplatte verschont bleibt.
Die Programme die sich dort befinden, haben ja einen Registry eintrag. Ich kann mir vorstellen das dieser durch das Formatieren der Systemfestplatte gelöscht wird. Laufen die Programme danach denn problemlos weiter oder muss ich, eigenhändig neue Registrys erstellen (wovon ich keine Ahnung habe)

__________

Complete scanning result of "passview.dll", received in VirusTotal at 07.05.2007, 21:04:01 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.7.5.0 07.05.2007 no virus found
AntiVir 7.4.0.39 07.05.2007 no virus found
Authentium 4.93.8 07.04.2007 W32/PWStealer.CAT
Avast 4.7.997.0 07.05.2007 no virus found
AVG 7.5.0.476 07.05.2007 no virus found
BitDefender 7.2 07.05.2007 Trojan.Icqsmiley.E
CAT-QuickHeal 9.00 07.05.2007 PSWTool.PassView.b (Not a Virus)
ClamAV devel-20070416 07.05.2007 no virus found
DrWeb 4.33 07.05.2007 no virus found
eSafe 7.0.15.0 07.05.2007 Win32.IcqSmiley.e
eTrust-Vet 30.8.3765 07.05.2007 no virus found
Ewido 4.0 07.05.2007 Not-A-Virus.PSWTool.Win32.PassView.b
FileAdvisor 1 07.05.2007 Low threat detected
Fortinet 2.91.0.0 07.05.2007 HackerTool/PassView
F-Prot 4.3.2.48 07.04.2007 W32/PWStealer.CAT
F-Secure 6.70.13260.0 07.05.2007 no virus found
Ikarus T3.1.1.8 07.05.2007 not-a-virus:PSWTool.Win32.PassView.b
Kaspersky 4.0.2.24 07.05.2007 not-a-virus:PSWTool.Win32.PassView.b
McAfee 5068 07.05.2007 potentially unwanted program PWCrack-PassView
Microsoft 1.2701 07.05.2007 HackTool:Win32/Mailpassview
NOD32v2 2379 07.04.2007 Win32/PassView.163
Norman 5.80.02 07.05.2007 no virus found
Panda 9.0.0.4 07.05.2007 Hacktool/Passview.T
Sophos 4.19.0 06.24.2007 NirPassView
Sunbelt 2.2.907.0 07.04.2007 no virus found
Symantec 10 07.05.2007 Hacktool.PassReminder
TheHacker 6.1.6.143 07.05.2007 Trojan/PassView.b
VBA32 3.12.0.2 07.05.2007 Application.PSWTool.PassView
VirusBuster 4.3.23:9 07.05.2007 Trojan.PWS.IcqSmiley.A
Webwasher-Gateway 6.0.1 07.05.2007 Riskware.PSW.PassView.B

Aditional Information
File size: 52736 bytes
MD5: 35861f4ea9a8ecb6c357bdb91b7df804
SHA1: 836cb49c8d08d5e305ab8976f653b97f1edba245
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=35861f4ea9a8ecb6c357bdb91b7df804


__________

Complete scanning result of "passview4.dll", received in VirusTotal at 07.05.2007, 21:13:04 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.7.5.0 07.05.2007 no virus found
AntiVir 7.4.0.39 07.05.2007 no virus found
Authentium 4.93.8 07.04.2007 no virus found
Avast 4.7.997.0 07.05.2007 no virus found
AVG 7.5.0.476 07.05.2007 no virus found
BitDefender 7.2 07.05.2007 Application.MailPassView.C
CAT-QuickHeal 9.00 07.05.2007 PSWTool.MailPassView.130 (Not a Virus)
ClamAV devel-20070416 07.05.2007 no virus found
DrWeb 4.33 07.05.2007 no virus found
eSafe 7.0.15.0 07.05.2007 suspicious Trojan/Worm
eTrust-Vet 30.8.3765 07.05.2007 no virus found
Ewido 4.0 07.05.2007 Not-A-Virus.PSWTool.Win32.MailPassView.130
FileAdvisor 1 07.05.2007 no virus found
Fortinet 2.91.0.0 07.05.2007 HackerTool/MailPassView
F-Prot 4.3.2.48 07.04.2007 no virus found
F-Secure 6.70.13260.0 07.05.2007 no virus found
Ikarus T3.1.1.8 07.05.2007 not-a-virus:PSWTool.Win32.MailPassView.130
Kaspersky 4.0.2.24 07.05.2007 not-a-virus:PSWTool.Win32.MailPassView.130
McAfee 5068 07.05.2007 potentially unwanted program PWCrack-MailPassView
Microsoft 1.2701 07.05.2007 no virus found
NOD32v2 2379 07.04.2007 Win32/RiskWare.PSWTool.MailPassView.136
Norman 5.80.02 07.05.2007 no virus found
Panda 9.0.0.4 07.05.2007 no virus found
Sophos 4.19.0 06.24.2007 MailPassView
Sunbelt 2.2.907.0 07.04.2007 no virus found
Symantec 10 07.05.2007 no virus found
TheHacker 6.1.6.143 07.05.2007 Trojan/MailPassView.130
VBA32 3.12.0.2 07.05.2007 Application.PSWTool.MailPassView
VirusBuster 4.3.23:9 07.05.2007 RiskWare.MailPassView.A
Webwasher-Gateway 6.0.1 07.05.2007 Riskware.PSW.MailPass

Aditional Information
File size: 45056 bytes
MD5: aeaf4c30722cc779448adf1831ec5790
SHA1: dfec32d5b1b2394e00b74cbf8a7bc35991d16055
packers: UPX
packers: UPX
packers: UPX


__________

Complete scanning result of "cmdow.exe", received in VirusTotal at 07.05.2007, 21:23:05 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.7.5.0 07.05.2007 no virus found
AntiVir 7.4.0.39 07.05.2007 no virus found
Authentium 4.93.8 07.04.2007 no virus found
Avast 4.7.997.0 07.05.2007 no virus found
AVG 7.5.0.476 07.05.2007 no virus found
BitDefender 7.2 07.05.2007 Application.Tool.Hidewindow.A
CAT-QuickHeal 9.00 07.05.2007 RiskTool.HideWindows (Not a Virus)
ClamAV devel-20070416 07.05.2007 no virus found
DrWeb 4.33 07.05.2007 no virus found
eSafe 7.0.15.0 07.05.2007 no virus found
eTrust-Vet 30.8.3765 07.05.2007 no virus found
Ewido 4.0 07.05.2007 no virus found
FileAdvisor 1 07.05.2007 Low threat detected
Fortinet 2.91.0.0 07.05.2007 HackerTool/HideWindows
F-Prot 4.3.2.48 07.04.2007 no virus found
F-Secure 6.70.13260.0 07.05.2007 no virus found
Ikarus T3.1.1.8 07.05.2007 not-a-virus:RiskTool.Win32.HideWindows
Kaspersky 4.0.2.24 07.05.2007 not-a-virus:RiskTool.Win32.HideWindows
McAfee 5068 07.05.2007 potentially unwanted program Tool-HideWindow
Microsoft 1.2701 07.05.2007 no virus found
NOD32v2 2379 07.04.2007 Win32/CMDOW.142
Norman 5.80.02 07.05.2007 no virus found
Panda 9.0.0.4 07.05.2007 no virus found
Sophos 4.19.0 06.24.2007 no virus found
Sunbelt 2.2.907.0 07.04.2007 Trojan.HideWindow
Symantec 10 07.05.2007 no virus found
TheHacker 6.1.6.143 07.05.2007 Aplicacion/HideWindows
VBA32 3.12.0.2 07.05.2007 no virus found
VirusBuster 4.3.23:9 07.05.2007 no virus found
Webwasher-Gateway 6.0.1 07.05.2007 Riskware.HideWindow.A.29

Aditional Information
File size: 31232 bytes
MD5: a83d8a509ad167ea506a01fa75a33084
SHA1: 80d299bbf72a55e580d27840b1e3fd5cadfd5c70
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=a83d8a509ad167ea506a01fa75a33084


__________

pskill.exe ist trotz aller "sichtbarmachender Maßnahmen" nicht auffindbar

Zitat:

Ist es notwendig, beide Festplatten zu formatieren? Windows und alle Systemdatein sind auf der Festplatte C. Reicht es nur C zu formatieren oder muss ich auch die 2. Festplatte auslöschen?

Nein, es reicht wenn du nur C gründlich löschst..

Zitat:

Da ich nicht soviel Ahnung habe, eine zusätzliche Frage, falls die 2. Festplatte verschont bleibt.
Die Programme die sich dort befinden, haben ja einen Registry eintrag. Ich kann mir vorstellen das dieser durch das Formatieren der Systemfestplatte gelöscht wird. Laufen die Programme danach denn problemlos weiter oder muss ich, eigenhändig neue Registrys erstellen (wovon ich keine Ahnung habe)

Die Registrys selbst wirst du kaum installiert bzw. eingebunden bekommen, d.h. nach der Formatierung sind die Programme auf der 2.ten Platte unbrauchbar.
Aber du kannst sie ja wieder neu installieren, dauert zwar aber geht schneller als die Registrys zu implementieren.

Gruß
Sunny

System ist nun neu draufgesetzt. Nur zur Sicherheit habe ich nocheinmal Hijack durchlaufen lassen und bitte um die erneute Überprüfung der Logifle.

Logfile of HijackThis v1.99.1
Scan saved at 23:13:18, on 05.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\feec5f521472d353f6cb6c94b9aa396b\update\update.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe