Firewall - Windows Update - Worm - Virus?

Marliese07 · 29.10.2007, 09:30

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:25:24, on 29.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Programme\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67E7074F-5524-4F4B-AF6C-5CB9B0C887B2}: NameServer = 193.158.124.58
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

--
End of file - 7225 bytes

Hallo Chris, hier das neue Ergenbis.

Herzlichen Gruß

Marliese07

Marliese07 · 29.10.2007, 09:41

Code:

ATTFilter

Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"" [null data]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ehTray" = "C:\WINDOWS\ehome\ehtray.exe" [MS]
"ledpointer" = "CNYHKey.exe" ["Chicony"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"T-DSL SpeedMgr" = ""C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"" ["T-Systems Business Services"]
"SMSERIAL" = "sm56hlpr.exe" ["Motorola Inc."]
"SoundMAXPnP" = ""C:\Programme\Analog Devices\Core\smax4pnp.exe"" ["Analog Devices, Inc."]
"SoundMAX" = ""C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray" ["Analog Devices, Inc."]
"SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
  -> {HKLM...CLSID} = "History Band"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
  -> {HKLM...CLSID} = "SimpleShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [empty string]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
                   \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
  -> {HKLM...CLSID} = "TuneUp Theme Extension"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook File Icon Extension"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
  -> {HKLM...CLSID} = "Microsoft Office Outlook"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\msohevi.dll" [MS]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
  -> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
  -> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{97090E2F-3062-4459-855B-014F0D3CDBB1}" = "Windows Search Deskbar"
  -> {HKCU...CLSID} = "Windows-Such-Deskbar"
                   \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\deskbar.dll" [MS]
  -> {HKLM...CLSID} = "Windows Search Deskbar"
                   \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\deskbar.dll" [MS]
"{13E7F612-F261-4391-BEA2-39DF4F3FA311}" = "Windows Desktop Search"
  -> {HKLM...CLSID} = "Windows Desktop Search"
                   \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\msnlExt.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
  -> {HKLM...CLSID} = "iTunes"
                   \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"
                   \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{56F9679E-7826-4C84-81F3-532071A8BCC5}" = (no title provided)
  -> {HKLM...CLSID} = "Windows Desktop Search Namespace Manager"
                   \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
  -> {HKLM...CLSID} = "WPDShServiceObj Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}"
  -> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter"
                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
                   \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Hallo Chris, hier das Ergebnis von Silent Runners
Herzlichen Gruß
Marliese07

Chris4You · 29.10.2007, 09:53

Hi,

riecht schwer nach Fehlarlarm...
Ich finde nichts, da wo was sein sollte...
(Oder es ist was brandneues... was ich nicht glaube, wenn es sonst keine Beeinträchtigungen gibt...).

Wartet den Scan von Ewido ab, und stelle Antivir wie folgt ein:
Antivir und die Heuristik, die aggressive Variante - Virus Hilfe
Führe einen Systemscan durch und poste das Ergebnis!

Chris

Ps.: Wie gut bist Du mit Regedit?
Kannst Du zu diesem Ominösen Key mal navigieren und dann den Zweig exportieren (Mit der Maus rechtsklick auf den Key in der linken Seite, Exportieren, Name eingeben, speichern und dann posten)?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Control Panel\load

Marliese07 · 29.10.2007, 10:24

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\don't load]
"speech.cpl"=""
"infocardcpl.cpl"=""

Hallo Chris, der Schlüssel heißt bei mir don't load. Load ist nicht vorhanden.
Ewido ist noch am scannen.
Herzlichen Gruß

Marliese07

Chris4You · 29.10.2007, 10:30

Hi,

der ist OK....
Seltsam....

Chris

Marliese07 · 29.10.2007, 10:35

Hallo Chris,
ewido ist fertig.
Scan finished 0 infections found.

Nun werde ich den deepscan mit Antivir durchführen.

Herzlichen Gruß

Marliese07

Marliese07 · 29.10.2007, 11:07

Hallo Chris,
Antivir ist schwer am schimpfen, habe die Meldungen in die Quarantäne verschoben, ist das OK?: confused:

Herzlichen Gruß

Marliese07

Chris4You · 29.10.2007, 11:24

Hi,

ja, unbedingt NICHT löschen lassen, da mit diesen Einstellungen mit der Heuristik gearbeitet wird, und die erkennt des öfteren etwas, was eigentlich zu einem Programm gehört (false/Positiv); Zum Beispielt wird Sandboxie als Trojaner erkannt... oder auch Windowsblind....

Ich habe Antivir nicht auf der Heuristikstufe "hoch" laufen, sondern auf "mittel", da ist dann ganz gut... Aber wir wollen ja noch mal alles prüfen, daher auf hoch stehen lassen...

Poste dann das Log....

Chris

Marliese07 · 29.10.2007, 11:59

Code:

ATTFilter

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 29. Oktober 2007  10:56

Es wird nach 906074 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Benutzername:     ***
Computername:     ***-8F0CB1C81E

Versionsinformationen:
BUILD.DAT    : 270           15603 Bytes  19.09.2007 13:29:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  06.09.2007 17:29:18
AVSCAN.DLL   : 7.0.6.0       57384 Bytes  06.09.2007 17:29:17
LUKE.DLL     : 7.0.5.3      147496 Bytes  06.09.2007 17:29:22
LUKERES.DLL  : 7.0.6.0       10792 Bytes  06.09.2007 17:29:22
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18.07.2007 23:44:41
ANTIVIR1.VDF : 7.0.0.0     1640448 Bytes  13.09.2007 06:54:23
ANTIVIR2.VDF : 7.0.0.140    940544 Bytes  26.10.2007 08:27:04
ANTIVIR3.VDF : 7.0.0.145     29696 Bytes  29.10.2007 09:26:07
AVEWIN32.DLL : 7.6.0.30    3056128 Bytes  27.10.2007 08:27:04
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26.02.2007 09:36:23
AVPREF.DLL   : 7.0.2.2       25640 Bytes  06.09.2007 17:29:16
AVREP.DLL    : 7.0.0.1      155688 Bytes  16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.15     360488 Bytes  22.08.2007 19:18:28
AVREG.DLL    : 7.0.1.6       30760 Bytes  06.09.2007 17:29:17
AVARKT.DLL   : 1.0.0.20     278568 Bytes  06.09.2007 17:29:16
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  06.09.2007 17:29:16
NETNT.DLL    : 7.0.0.0        7720 Bytes  08.03.2007 10:09:03
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  06.09.2007 17:29:12
RCTEXT.DLL   : 7.0.62.0      90152 Bytes  06.09.2007 17:29:12
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  06.09.2007 17:29:22

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:, 
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 29. Oktober 2007  10:56

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '44416' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HijackThis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TSMSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZDWlan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMax4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpeedMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNYHKey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'searchindexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDTrayApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'swdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svcntaux.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '43' Prozesse mit '43' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
      [HINWEIS]   Es wurde kein Virus gefunden!
Masterbootsektor HD1
      [HINWEIS]   Es wurde kein Virus gefunden!
      [WARNUNG]   Der Bootsektor konnte nicht gelesen werden!
      [WARNUNG]   Fehlercode: 0x0015
Masterbootsektor HD2
      [HINWEIS]   Es wurde kein Virus gefunden!
      [WARNUNG]   Der Bootsektor konnte nicht gelesen werden!
      [WARNUNG]   Fehlercode: 0x0015
Masterbootsektor HD3
      [HINWEIS]   Es wurde kein Virus gefunden!
      [WARNUNG]   Der Bootsektor konnte nicht gelesen werden!
      [WARNUNG]   Fehlercode: 0x0015
Masterbootsektor HD4
      [HINWEIS]   Es wurde kein Virus gefunden!
      [WARNUNG]   Der Bootsektor konnte nicht gelesen werden!
      [WARNUNG]   Fehlercode: 0x0015

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [HINWEIS]   Es wurde kein Virus gefunden!
Bootsektor 'J:\'
      [HINWEIS]   Es wurde kein Virus gefunden!
Bootsektor 'K:\'
      [HINWEIS]   Es wurde kein Virus gefunden!
Bootsektor 'L:\'
      [HINWEIS]   Es wurde kein Virus gefunden!
Bootsektor 'F:\'
      [HINWEIS]   Im  Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
      [HINWEIS]   Im  Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
      [HINWEIS]   Im  Laufwerk 'H:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
      [HINWEIS]   Im  Laufwerk 'I:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '29' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Lokaler Datenträger>
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\DoctorWeb\Quarantine\A0048185.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755af67.qua' verschoben!
C:\Dokumente und Einstellungen\***\DoctorWeb\Quarantine\A0048201.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755af74.qua' verschoben!
C:\Dokumente und Einstellungen\***\DoctorWeb\Quarantine\restart.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4798afb1.qua' verschoben!
C:\Dokumente und Einstellungen\***\DoctorWeb\Quarantine\RVAXO3
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4766afaa.qua' verschoben!
C:\Dokumente und Einstellungen\***\DoctorWeb\Quarantine\RVAXO3_0
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4766afae.qua' verschoben!
C:\Dokumente und Einstellungen\***\Eigene Dateien\Hijack Logs\avenger.zip
  [0] Archivtyp: ZIP
  --> avenger.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Avenger-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '478aafea.qua' verschoben!
C:\Dokumente und Einstellungen\***\Eigene Dateien\Hijack Logs\ComboFix.exe
  [0] Archivtyp: RAR SFX (self extracting)
  --> nircmd.exe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
  --> nircmd.cfexe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4792afe7.qua' verschoben!
C:\Dokumente und Einstellungen\***\Eigene Dateien\Hijack Logs\SmitfraudFix.exe
  [0] Archivtyp: RAR SFX (self extracting)
  --> SmitfraudFix\Reboot.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
  --> SmitfraudFix\restart.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '478eaff3.qua' verschoben!
C:\Dokumente und Einstellungen\***\Eigene Dateien\Hijack Logs\SmitfraudFix\Reboot.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4787afee.qua' verschoben!
C:\Programme\T-DSL SpeedManager\Pcandis5.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{6F00E85E-FEA8-4BB4-813E-478B4788F22B}\RP184\A0047330.exe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755b312.qua' verschoben!
C:\System Volume Information\_restore{6F00E85E-FEA8-4BB4-813E-478B4788F22B}\RP185\A0047860.exe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755b323.qua' verschoben!
C:\System Volume Information\_restore{6F00E85E-FEA8-4BB4-813E-478B4788F22B}\RP196\A0048731.exe
  [0] Archivtyp: RAR SFX (self extracting)
  --> RVAXO\RVAXO3
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755b34f.qua' verschoben!
C:\System Volume Information\_restore{6F00E85E-FEA8-4BB4-813E-478B4788F22B}\RP202\A0049877.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755b36b.qua' verschoben!
C:\System Volume Information\_restore{6F00E85E-FEA8-4BB4-813E-478B4788F22B}\RP202\A0049878.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755b36e.qua' verschoben!
C:\System Volume Information\_restore{6F00E85E-FEA8-4BB4-813E-478B4788F22B}\RP202\A0049879.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4755b370.qua' verschoben!
C:\WINDOWS\NirCmd.exe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4797b3ae.qua' verschoben!
Beginne mit der Suche in 'J:\' <Lokaler Datenträger Musik>
Beginne mit der Suche in 'K:\' <Lokaler Datenträger Bilder>
Beginne mit der Suche in 'L:\' <Lokaler Datenträger>
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Montag, 29. Oktober 2007  11:52
Benötigte Zeit: 56:14 min

Der Suchlauf wurde vollständig durchgeführt.

  11747 Verzeichnisse wurden überprüft
 328919 Dateien wurden geprüft
     18 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     16 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 328901 Dateien ohne Befall
   8099 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise
  44416 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Hallo Chris, hier das Ergebnis von Antivir.

Herzlichen Gruß

Marliese07

Chris4You · 29.10.2007, 12:14

Hi,

ist OK;
Das meiste kommt aus der Quarantäne von Dr. Web, unsere Tools (HJ, Combofix) und einiges aus der Systemwiederherstellung, und die müssen wir jetzt bereinigen:

Systemwiederherstellung löschen
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

So, danach noch die Backups der Tools löschen:
Backups von Avenger&Co (falls vorhanden) löschen:

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren
C:\RVAXO-results.log -->Papierkorb leeren

Das sollte es dann gewesen sein...

Chris

Marliese07 · 29.10.2007, 12:47

Hallo Chris,

habe alle Aufgaben erledigt.

Eine letzte Frage. Ich besitze mehrere externe Festplatten, diese hatte ich in den letzten Tagen nicht angeschlossen.
Auf den Platten sind Datensicherungen drauf, wie kann ich nun die Platten wieder benutzen, ohne das ich mir von dort wieder etwas einfange?
Gerne würde ich nochmals um deinen Rat bitten.
Herzlichen Dank!

Marliese07

Chris4You · 29.10.2007, 13:12

Hallo,

wenn auf den externen Festplatten keine Programme drauf waren, sollte eigentlich nichts passieren, kritisch ist hierbei nur die "Autostart-Funktion" von Windows, die es gilt zu unterbinden...
Dabei gibt es mehrer Möglichkeiten, hier die einfachste:

Tweakui:
http://www.zdnet.de/downloads/prg/b/3/de0EB3-wc.html
Download und installieren, aufrufen:
MyComputer->AutoPlay->Types (alles raus (Autoply for CD and DVD/Removeable Drives)).
Sicherheitshalber kannst Du unter Drives alle Removeable Laufwerke
rausnehmen.
Dann Apply bzw. OK. Kannst dann mal testen, neuboot sollte nicht
benötigt werden...

Chris

Marliese07 · 29.10.2007, 13:45

Hallo Chris,

nochmals herzlichen Dank für die tolle Anregung.
Ja, es sind Programme auf den Festplatten, habe sogar ein Auto-Backup auf einer Platte.

*** Meinen besonderen Dank möchte ich diesem Board widmen. Schön, dass es euch gibt!

***Inbesondere dir Chris, danke ich für deine wertvolle Zeit, die ich in den letzten Tagen in Anspruch nehmen durfte.
Ebenso danke ich dir sehr für die kompetente Hilfe und den Erfolg, meinen PC von der Malware zu befreien!

Herzliche Grüße an alle Board-Betreuer!

Ihre Marliese07

Firewall - Windows Update - Worm - Virus?

Log-Analyse und Auswertung: Firewall - Windows Update - Worm - Virus?