Hallo,

ich habe hier einige Beiträge gelesen und wollte meinen PC auch mal prüfen. Könntet ihr mir sagen, ob alles in Ordnung ist, oder ob ich doch was verdächtiges auf dem PC habe?

Danke!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:16:52, on 18.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Web.de\adminsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Yahoo!\Widgets\YahooWidgetEngine.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.web.de/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.web.de/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Audio Device Manager] winfp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Widgets\YahooWidgetEngine.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u2-windows-i586-jc.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://bmm.imgag.com/imgag/cp/install/crusher-de.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: WEB.DE Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Web.de\adminsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 9156 bytes

Hallo,

Zitat:

ich habe hier einige Beiträge gelesen und wollte meinen PC auch mal prüfen.

in diesem Fall bietet sich die automatische Auswertung auf hijackthis.de an (die aber nicht 100%ig zuverlässig ist). Sollte dann noch etwas unklar sein oder dir verdächtig erscheinen, kannst du gern fragen.

Zitat:

Zitat von Franz1968

Hallo,

in diesem Fall bietet sich die automatische Auswertung auf hijackthis.de an (die aber nicht 100%ig zuverlässig ist). Sollte dann noch etwas unklar sein oder dir verdächtig erscheinen, kannst du gern fragen.

hab ich gemacht, nur sind mir einige sachen nicht ganz klar.

Was soll ich dazu sagen?

hijackthis.de sagt:

O4 - HKLM\..\Run: [Audio Device Manager] winfp.exe

Nicht bekanntes Programm. Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft.

Nur weiß ich nicht wirklch, was ich mit dieser Info anfangen soll, da ich nicht wirklich ein PC experte bin.

Ups. Das sieht böse aus. Versuche, die Datei bei Virustotal zu scannen und poste das komplette Ergebnis. Sie sollte sich im Windows-Ordner befinden.

Ich fürchte aber, dass es auf format c: hinausläuft.
Denn der Dateiname weist auf einen Bot hin, also vereinfacht gesagt auf ein Programm, das anderen die Fernsteuerung deines Rechners ermöglicht.

jap,

das ist der hier

Kann die Datei im Window-Ordner nicht finden und suchen hat auch nix ergeben.

Format C ist das letzte, was ich jetzt noch gebrauchen kann.

Zudem hat mir hijackthis.de noch das als schädlich eingestuft:

O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe

Dieser Dienst (Boonty.exe) scheint schädlich zu sein. Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft.

Hast du alle Dateien sichtbar gemacht?
Taucht winfp.exe im Taskmanager auf? Wenn ja, lässt sich der Prozess beenden?

Hab alles so eingestellt, wie in der Anleitung beschrieben, aber wird trotzdem nichts gefunden. Im Task-Manager ist auch nichts aufgelistet

Dann versuchen wir halt, das Ding zu
Ich kann aber dabei grundsätzlich keine Garantie für die Sicherheit deiner Daten und die Stabilität deines Systems übernehmen.

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\winfp.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen

5.) Poste den Inhalt der C:\avenger.txt Datei.

Hab ne neue Suche gestarten, bevor ich deine Antwort gelesen habe und bis jetzt hat der Suchlauf das gefunden:

Zwei mal in AntiVir-LOGFILES
Zwei mal in hijackthis-log
und in CollectedData_2203.xml und CollectedData_2114.xml

Suche läuft aber noch.

Ist eben geendet.

Was sagt das AntiVir-Logfile?

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 13. September 2007 00:49

Es wird nach 1066939 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: ***
Computername: ***

Versionsinformationen:
BUILD.DAT : 268 15604 Bytes 31.08.2007 13:01:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 09.09.2007 17:00:04
AVSCAN.DLL : 7.0.6.0 57384 Bytes 09.09.2007 17:00:04
LUKE.DLL : 7.0.5.3 147496 Bytes 09.09.2007 17:00:04
LUKERES.DLL : 7.0.6.0 10792 Bytes 09.09.2007 17:00:04
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 07:15:46
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 10:53:16
ANTIVIR2.VDF : 6.39.1.120 1918464 Bytes 12.09.2007 22:46:00
ANTIVIR3.VDF : 6.39.1.123 50176 Bytes 12.09.2007 22:46:00
AVEWIN32.DLL : 7.6.0.10 2789888 Bytes 12.09.2007 22:46:02
AVWINLL.DLL : 1.0.0.7 14376 Bytes 19.04.2007 17:56:52
AVPREF.DLL : 7.0.2.2 25640 Bytes 09.09.2007 17:00:04
AVREP.DLL : 7.0.0.1 155688 Bytes 19.04.2007 17:56:54
AVPACK32.DLL : 7.3.0.15 360488 Bytes 04.08.2007 16:57:08
AVREG.DLL : 7.0.1.6 30760 Bytes 09.09.2007 17:00:04
AVARKT.DLL : 1.0.0.20 278568 Bytes 09.09.2007 17:00:02
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 09.09.2007 17:00:02
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:04
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 09.09.2007 16:59:58
RCTEXT.DLL : 7.0.62.0 90152 Bytes 09.09.2007 16:59:58
SQLITE3.DLL : 3.3.17.1 339968 Bytes 09.09.2007 17:00:04

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: K:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 13. September 2007 00:49

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FxSvr2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADMINSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YahooWidgetEngine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'raid_tool.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DAEMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'backWeb-8876480.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winfp.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\winfp.exe'
Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JUSCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRCTRCEN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PPTD40NT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogiTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVCOMSX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSS01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSVC01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Prozess 'winfp.exe' wird beendet
C:\WINDOWS\winfp.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Sdbot.22756
[INFO] Die Datei wurde gelöscht.

Es wurden '44' Prozesse mit '43' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'E:\'
[HINWEIS] Im Laufwerk 'E:\' ist kein Datenträger eingelegt!
Bootsektor 'F:\'
[HINWEIS] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[HINWEIS] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
[HINWEIS] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
[HINWEIS] Im Laufwerk 'I:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '43' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\img4851.zip
[0] Archivtyp: ZIP
--> img4851.jpg-www.myspace.com
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Sdbot.22756
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\lastnight.zip
[0] Archivtyp: ZIP
--> lastnight.jpeg-imagehost.m5t.com
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Sdbot.22756
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{09F4DA09-CDDE-43A2-9A47-62D7CDC56140}\RP209\A0040124.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Sdbot.22756
[INFO] Die Datei wurde gelöscht.
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Falscher Parameter.

Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'J:\'
Der zu durchsuchende Pfad J:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'K:\' <My Disc>


Ende des Suchlaufs: Donnerstag, 13. September 2007 01:28
Benötigte Zeit: 39:21 min

Der Suchlauf wurde vollständig durchgeführt.

6686 Verzeichnisse wurden überprüft
191775 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
4 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
191770 Dateien ohne Befall
1256 Archive wurden durchsucht
2 Warnungen
94 Hinweise

Das sagt der Logfile

Jaja, das passt ins Bild. Da ist der Bot:

Zitat:

Zitat von Honeybunch

Durchsuche Prozess 'winfp.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\winfp.exe'
Prozess 'winfp.exe' wird beendet

C:\WINDOWS\winfp.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Sdbot.22756
[INFO] Die Datei wurde gelöscht.

C:\WINDOWS\img4851.zip
[0] Archivtyp: ZIP
--> img4851.jpg-www.myspace.com
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Sdbot.22756
[INFO] Die Datei wurde gelöscht.

C:\WINDOWS\lastnight.zip
[0] Archivtyp: ZIP
--> lastnight.jpeg-imagehost.m5t.com
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Sdbot.22756
[INFO] Die Datei wurde gelöscht.

C:\System Volume Information\_restore{09F4DA09-CDDE-43A2-9A47-62D7CDC56140}\RP209\A0040124.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Sdbot.22756
[INFO] Die Datei wurde gelöscht.

AntiVir nennt ihn SDBot, Sophos, wie bereits von Cleriker verlinkt, bezeichnet ihn als IRCBot-Variante. Die Beschreibung, die du bei Sophos nachlesen kannst, wird aber durch dein AntiVir-Protokoll bestätigt:

Zitat:

Zitat von Sophos

W32/IRCBot-XS verbreitet sich über MSN Instant Messenger.

Wenn er zum ersten Mal ausgeführt wird, kopiert sich W32/IRCBot-XS nach:

<Windows>\winfp.exe

Der Wurm erstellt außerdem ein ZIP-Archiv von sich:

<Windows>\img<beliebige Ziffernfolge>.zip

W32/IRCBot-XS erstellt folgenden Registrierungseintrag, damit er sich selbst ausführen kann:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Audio Device Manager
winfp.exe

Ob IRCBot oderSDBot, aufgrund der Backdoor-Funktionen musst du m. E. dein System neu aufsetzen, es absichern und im Anschluss auch alle verwendeten Passwörter ändern, denn diese können ausgelesen worden sein.

Eine Begründung, warum dies für ein vertrauenswürdiges System notwendig ist, will ich dir nicht vorenthalten:
Homepage von Malte J. Wetz