Hallo,

als ich mich heute bei meiner Bank online für das Online Banking einloggen wollte, teilte man mir mit, dass mein Konto für das Online Banking gesperrt sei. Ich rief bei meiner Bank an und dort teilte mir ein Experte mit, dass man im Internet meine Bankdaten + PIN gefunden hat und deswegen sicherheitshalber mein Konto für das Online Banking gesperrt habe.
Ich soll nun meinen Rechner scannen und dann ein Fax abschicken, dass mein PC wieder clean ist und ich neue Online Banking Zugangsdaten bekomme.

Habe zuerst mit KAV gescannt. Es wurden 3 Trojaner gefunden, aber nur die exe dateien - sonst keine gefährlichen Registry Einträge oder ähnliches laut KAV.
Ich konnte alle 3 Dateien anstandslos durch KAV löschen lassen!
Ich bin mir auch relativ sicher, dass ich die gefundenen Dateien nie ausgeführt habe und die nur auf meinem Rechner lagen...

KAV Logfile + Hijack Log


Danke!

Code: Alles auswählenAufklappen

ATTFilter

Virensuche : abgeschlossen
--------------------------
Untersucht:	475888
Gefunden:	3
Nicht bearbeitet:	0
Start:	23.10.2007 12:16:46
Dauer:	01:30:28
Ende:	23.10.2007 13:47:14


Gefunden
--------
Status	Objekt
------	------
gelöscht: trojanisches Programm Backdoor.Win32.IRCBot.aaq	Datei: C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\photos.zip/photos album-2007-5-26.scr
gelöscht: trojanisches Programm Trojan-Downloader.Win32.Small.fuk	Datei: C:\Reconnect\Router-Control\printip.exe
gelöscht: trojanisches Programm Trojan-Downloader.Win32.Small.fuk	Datei: C:\Reconnect\Modems\printip.exe



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:05:29, on 23.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\***\Desktop\Scan\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=194.36.10.154:3128
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Save Flash In This Page by Flash Saver - C:\PROGRA~1\FLASHS~1\save.htm
O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1\save.htm
O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1\save.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIC273~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (Snapfish Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191326427906
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191326707593
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7941 bytes
         

Hallo.

Code: Alles auswählenAufklappen

ATTFilter

Datei: C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\photos.zip/photos album-2007-5-26.scr
         

Die photos.zip musst du zumindest gewollt abgespeichert haben, sieht nach irgendeinem Messenger-Wurm aus. Ob du ihn auch ausgeführt hast, musst du wissen. Aber wenn ein Virenscanner nichts weiter mehr findet, heißt das leider nicht, dass das System auch sauber ist.

Wenn ich mich recht entsinne müsste Kaspersky eine Funktion haben, eine Notfall-Disk zu erstellen. Versuch das mal und boote von diesem Medium und führe den KAV aus. Hat den Grund, dass noch etwaige aktive Malware auf diesem Fremdsystem nicht gestartet wird und man so bessere Chancen auf eine Erkennung hat.

Dein HJT-Logfile sieht jedenfalls okay aus.

Zitat:

Zitat von cosinus

Wenn ich mich recht entsinne müsste Kaspersky eine Funktion haben, eine Notfall-Disk zu erstellen. Versuch das mal und boote von diesem Medium und führe den KAV aus. Hat den Grund, dass noch etwaige aktive Malware auf diesem Fremdsystem nicht gestartet wird und man so bessere Chancen auf eine Erkennung hat.

Bezüglich der Notfall-CD sagt KAV folgendes:

http://support.kaspersky.com/de/kav6/rescue

Sieht für mich eher wie eine Reparatur aus? Will mein System aber wegen sowas nicht direkt abschießen...

Hab meinen PC bisher gescannt und gereinigt mit:
KAV
HJT
ComboFix
CleanUp
a-squared Free
AVG Anti Spyware
Ad-Aware
Spybot Search & Destroy
Panda Online Scan
Bitdefender Online Scan

Was du tun musst, steht ja da. Den PE-Builder gibt's hier.
Wie gesagt, das ist dafür gedacht, dass du deine Festplatte von einem Fremdsystem aus untersuchst. So stellst du sicher, dass die Scanner nicht von Malware beeinflusst werden. Evtl. Rootkits sollten sich ebenfalls besser aufspüren lassen.

Zitat:

Zitat von cosinus

Was du tun musst, steht ja da. Den PE-Builder gibt's hier.
Wie gesagt, das ist dafür gedacht, dass du deine Festplatte von einem Fremdsystem aus untersuchst. So stellst du sicher, dass die Scanner nicht von Malware beeinflusst werden. Evtl. Rootkits sollten sich ebenfalls besser aufspüren lassen.

Also für mich sagt die Beschreibung der Notfall-CD eher, dass ich diese anwenden soll, sofern mein Rechner sich nicht starten lässt. Aber er läuft ja einwandfrei...

Ich verstehe nur den Ansatz daraus, dass ich meinen Rechner im DOS Modus scannen soll, um somit ggf. noch versteckte Viren/Malware/Würmer/Trojaner zu finden, aber dafür scheint mir diese Notfall-CD nicht ganz das Richtige zu sein, sondern eher etwas wenn das System zerschossen wurde.

Zitat:
"Zu Kaspersky Anti-Virus 7.0\Kaspersky Internet Security 7.0 wird das Service hinzugefügt, das Notfall-CD erstellt, um die Funktionsfähigkeit des Systems wiederherzustellen.

Diese Notfall-CD wird nützlich wenn die System-Dateien nach Viren-Angriff beschädigt werden und Betriebssystem nicht hochgefahren werden kann. In diesem Fall können Sie mit Hilfe der Notfall-CD Ihren Computer hochfahren und das System zur ursprünglichen Funktionsfähigkeit wiederherstellen."
Einstellen von „Viren Suche“

Du kannst diese Notfall-CD für mehrere Zwecke einsetzen, nicht nur um davon zu starten wenn Windows nicht mehr will. Es geht ja auch nicht darum, den Rechner zu reparieren, sondern um von einen anderen System aus die Platte zu scannen, um etwas verlässlichere Ergebnisse zu bekommen.
Wenn du von dieser CD bootest, startet ein Live-Windows (kein DOS!) und nicht das lokal auf der Platte installierte.
Aber wir können auch bleiben lassen wenn du nicht magst, und die Analyse vom lokal installierten Windows fortsetzen.

Zitat:

Zitat von cosinus

Du kannst diese Notfall-CD für mehrere Zwecke einsetzen, nicht nur um davon zu starten wenn Windows nicht mehr will. Es geht ja auch nicht darum, den Rechner zu reparieren, sondern um von einen anderen System aus die Platte zu scannen, um etwas verlässlichere Ergebnisse zu bekommen.
Wenn du von dieser CD bootest, startet ein Live-Windows (kein DOS!) und nicht das lokal auf der Platte installierte.
Aber wir können auch bleiben lassen wenn du nicht magst, und die Analyse vom lokal installierten Windows fortsetzen.

Doch ich habe nix gegen diese Art der Analyse, sofern es nicht zwangsmäßig eine automatische Windows Reparatur ist...

Oder könntest du mir alternative Scanner empfehlen DOS o.Ä. ?

Möchte meiner Bank nämlich bald mal bescheid sagen, dass alls in Ordnung ist.

Du musst ja nicht unbedingt die Kaspersky-Notfall-CD dafür nehmen. Es geht auch z.B. die UBCD4WIN, die erstell mal am besten auf einem garantiert sauberen PC und boote deinen davon. In diesem Live-Windows-XP sind schon mehrere AV-Programme mit drin.

Du könntest aber auch erstmal versuchen, im abgesicherten Modus zu scannen. Dort werden nur die allernötigsten Module geladen, die zum Windows-Betrieb nötig sind, etwaige Malware wird sehr wahrscheinlich nicht mitgeladen. Falls das mit Kaspersky im abgesicherten Modus nicht geht, dann mach das mal mit MWAV-eScan (klick den eScan-Link in meiner Signatur an).

Habe mit KAV die Notfall-CD nun erstellt und Live-Windows gestartet.

Habe KAV, Spybot und A-Squared im Live-Windows Modus scannen lassen. Es wurde jeweils keine schädlichen/infizierten Objekte gefunden.

Sollte das nun ausreichen?

Ich habe aber noch im abgesicherten Modus eScan laufen lassen, so wie in deinem Link beschrieben.

Ich war etwas schockiert über das Resultat, wobei die ICQ Folder für mich keine verdächtigen Datei enthalten, bereits selber überprüft (Fehlalarm?):

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.9
Sprache: German
C:\DOKUME~1\MASTER~1.BAS\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "optserve Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\scan\smitrem\process.exe
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\scan\smitrem\pv.exe
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\scan\smitrem\swreg.exe
Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\icq\***\receivedfiles\378667729 popelwicht\lp
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\icq\***\receivedfiles\378667729 popelwicht\lp
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\System\CurrentControlSet\Services\usrpda !!!
Offending Key found: HKLM\System\ControlSet001\Services\usrpda !!!
Offending Key found: HKLM\System\ControlSet002\Services\usrpda !!!
Offending Key found: HKLM\System\ControlSet003\Services\usrpda !!!
Offending Key found: HKLM\System\ControlSet004\Services\usrpda !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\usrpda !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 13:30:20,03
Batchende: 13:30:24,25




Ich habe daher die Dateien "swreg.exe" und "swsc.exe" von Online Virusscan Jotti & VirusTotal scannen lassen.

Als Beweis die Logs:

Code: Alles auswählenAufklappen

ATTFilter

Datei swsc.exe empfangen 2007.10.28 11:18:35 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 

Ergebnis: 1/32 (3.13%)

Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2007.10.27.0 2007.10.26 - 
AntiVir 7.6.0.30 2007.10.26 - 
Authentium 4.93.8 2007.10.26 - 
Avast 4.7.1074.0 2007.10.27 - 
AVG 7.5.0.503 2007.10.27 - 
BitDefender 7.2 2007.10.28 - 
CAT-QuickHeal 9.00 2007.10.26 - 
ClamAV 0.91.2 2007.10.28 - 
DrWeb 4.44.0.09170 2007.10.28 - 
eSafe 7.0.15.0 2007.10.22 - 
eTrust-Vet 31.2.5244 2007.10.26 - 
Ewido 4.0 2007.10.28 - 
FileAdvisor 1 2007.10.28 - 
Fortinet 3.11.0.0 2007.10.19 - 
F-Prot 4.3.2.48 2007.10.26 - 
F-Secure 6.70.13030.0 2007.10.27 - 
Ikarus T3.1.1.12 2007.10.27 - 
Kaspersky 7.0.0.125 2007.10.28 - 
McAfee 5150 2007.10.26 - 
Microsoft 1.2908 2007.10.28 - 
NOD32v2 2621 2007.10.28 - 
Norman 5.80.02 2007.10.26 - 
Panda 9.0.0.4 2007.10.27 - 
Prevx1 V2 2007.10.28 - 
Rising 19.46.60.00 2007.10.28 - 
Sophos 4.23.0 2007.10.28 - 
Sunbelt 2.2.907.0 2007.10.27 - 
Symantec 10 2007.10.28 - 
TheHacker 6.2.9.110 2007.10.27 - 
VBA32 3.12.2.4 2007.10.28 - 
VirusBuster 4.3.26:9 2007.10.27 - 
Webwasher-Gateway 6.6.1 2007.10.28 Virus.Win32.FileInfector.gen!90 (suspicious) 
weitere Informationen 
File size: 370688 bytes 
MD5: af52196cf5593c13f8c2f00a55fe132b 
SHA1: 8b6628f141f4cb889121d7c903c8f97b8a85fbae
         

Code: Alles auswählenAufklappen

ATTFilter

Datei:  swreg.exe   
 
Status:  EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)  
Entdeckte Packprogramme:  UPX 
Bit9 rapportiert:  No threat detected (more info)  
   
A-Squared  Keine Viren gefunden 
AntiVir  Keine Viren gefunden 
ArcaVir  Keine Viren gefunden 
Avast  Keine Viren gefunden 
AVG Antivirus  Keine Viren gefunden 
BitDefender  Keine Viren gefunden 
ClamAV  Keine Viren gefunden 
CPsecure  Keine Viren gefunden 
Dr.Web  Keine Viren gefunden 
F-Prot Antivirus  Keine Viren gefunden 
F-Secure Anti-Virus  Keine Viren gefunden 
Fortinet  Keine Viren gefunden 
Kaspersky Anti-Virus  Keine Viren gefunden 
NOD32  Keine Viren gefunden 
Norman Virus Control  Keine Viren gefunden 
Panda Antivirus  Keine Viren gefunden 
Rising Antivirus  Keine Viren gefunden 
Sophos Antivirus  Keine Viren gefunden 
VirusBuster  Keine Viren gefunden 
VBA32  Keine Viren gefunden
         

Ich habe mit dem Tool "smitRem" mein System checken lassen. Anscheinend gibt eScan einen Fehlalarm bei Datein von smitRem aus!
SmitRem habe ich hier vom Board und sollte daher ok sein: http://www.trojaner-board.de/21709-a...fakeale-c.html

Ach ja, weitere Scans mit Ad-Aware und Spybot im abgesicherten Modus brachten keine Befunde!

Bleibt jetzt nur die Frage, welche Meldung von eScan ein Fehlalarm ist oder nicht?

Wie soll ich nun weiter vorgehen?

thx

Zitat:

Ich war etwas schockiert über das Resultat, wobei die ICQ Folder für mich keine verdächtigen Datei enthalten, bereits selber überprüft (Fehlalarm?):

Ja, sieht nach einem Fehlalarm aus. MWAV-escan neigt leider dazu, rel. viele Fehlalarme zu erzeugen. Die anderen Einträge sind ebenfalls Fehlalarme (wie du schon richtig vermutet hast), da werden fälschlicherweise die Dateien vom Smitfraudfix angemeckert.

Ingesamt ist somit also keine Infektion festzustellen. Ist mir aber schleierhaft, wie denn dann deine Kontodaten ins Internet gekommen sind. Vllt. durch einen anderen infizierten PC? Oder machst du Online-Banking nur über deinen PC?