Hallo,

ich hatte heute mehrere Trojanerwarnungen von meinem Antivir bekommen. Der Trojaner "TR/Crypt.FKM.Gen" sei auf meinem Rechner!

Einiges googeln (und suchen hier im Forum) machten mir dann eine Heidenangst. Es hieß irgendwie, daß Russen oder Ukrainer meinen Rechner mitverwenden...

Ich poste hier im 1. Beitrag mal das logfile, das ich dann gemacht habe.
Im 2. Beitrag teile ich mit, welche 2 Elemente ich gefixt habe.
Im 3. Beitrag dann mein jetziges logfile. Wenn sich das jemand angucken könnte, der sich auskennt, wäre das supi! Ach ja: muß ich UNBEDINGT die auf dem Rechner gespeicherten Passwörter ändern?

Also, hier mein ursprüngliches logfile:

Zitat:

[Y] Logfile of Trend Micro HijackThis v2.0.2 - Ihre Version sollte aktuell sein.
[WINXP] Platform: Windows XP SP2 (WinNT 5.01.2600) -
[Y] MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - Ihre Version sollte aktuell sein.
[Y] Boot mode: Normal - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\System32\smss.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\winlogon.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\services.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\lsass.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\svchost.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\System32\svchost.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\svchost.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\LEXBCES.EXE - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\LEXPPS.EXE - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\spoolsv.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\svchost.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe - Epson Software
[Y] C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\AntiVir PersonalEdition Classic\sched.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[AVSCAN] C:\Programme\AntiVir PersonalEdition Classic\avguard.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\System32\Ati2evxx.exe - ATI2evxx.exe is related to ATI Technologies Inc. hardware.
[Y] C:\WINDOWS\System32\svchost.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\Explorer.EXE - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\atiptaxx.exe - Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\ati technologies\ati control panel\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\Apoint2K\Apoint.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\Apoint2K\Apntex.exe -
[AVSCAN] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe - Google Desktop Search
[Y] C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe - Google Desktop Search
[Y] C:\Programme\eMule\emule.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\Mozilla Firefox\firefox.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\HijackThis\HijackThis.exe - Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden! Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe
[Y] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank - Diese Seite wurde als gut identifiziert!
[Y] R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001 - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - AcroIEhelper.ocx, AcroIEhelper.dll - Adobe Acrobat reader, Adobe - Adobe Acrobat Family - Create PDF file, Edit PDF file, Convert PDF to word, Convert PDF to doc adstep2.html
[Y] O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll - SUN Java
[Y] O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll - EPSON Web-To-Page.dll EPSON Web-To-Page software
[Y] O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll - Epson Web-To-Page Toolbar
[Y] O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe - System Tray icon to access ATI graphics card settings and the Hydravision Desktop Manager
[Y] O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe - Control panel for the ATI series of video cards allowing access to such features as display resolution, colour depth, etc. Available via Start -> Settings -> Control Panel -> Display. Some users may need it if they have optimised their settings
[Y] O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe - Touchpad software for laptop PC\'s. For instance it is found on the Panasonic machines and allows part of the touchpad to be used for document or Web-page scrolling. Required for proper functioning of the pointing software but not required for the laptop to work
[?] O4 - HKLM\..\Run: [TempCom] C:\WINDOWS\FONTS\F0E25.com - Fuzzy Algorithmusprüfung (3.13 / 5.00), Neutral
[Y] O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup - Nicht gefährlich aber unnötig. Google Desktop Search -
[Y] O4 - HKLM\..\Run: [EPSON Product Registrierungserinnerung] C:\WINDOWS\Temp\RegModule.exe - Nicht bekanntes Programm.
[Y] O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime - Nicht gefährlich aber unnötig. QuickTime
[Y] O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe - Office related
[Y] O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') - Office related
[Y] O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') - Office related
[Y] O4 - HKUS\S-1-5-21-1417066420-3833581854-4065617495-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?') - Office related
[Y] O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll - Der Eintrag wurde als Gut erkannt.
[Y] O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll - Der Eintrag Sun Java Konsole wurde als Gut erkannt.
[Y] O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe - Der Eintrag Messenger wurde als Gut erkannt.
[Y] O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll - Eintrag sollte gut sein. Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeit zur Reparatur bietet LSPFix von Cexx.org.
[Y] O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/ - Handelt es sich bei diesen Einträgen nicht um die Adresse des PC-Händlers oder des 'Internet-Service-Provider (ISP)', sollten diese Einträge mit HijackThis gefixt werden.
[Y] O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://ht#tp://software-dl.real.com/...dxIE601_de.cab - Dieser Eintrag wurde als gut identifiziert!
[Y] O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe - Dieser Dienst (accsvc.exe) wurde als gut identifiziert.
[Y] O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe - Dieser Dienst (sched.exe) wurde als gut identifiziert.
[AVSCAN] O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe - Dieser Dienst (avguard.exe) wurde als gut identifiziert.
[Y] O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe - Dieser Dienst (Ati2evxx.exe) wurde als gut identifiziert.
[Y] O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe - Dieser Dienst (eEBSVC.exe) wurde als gut identifiziert.
[Y] O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe - Dieser Dienst (GoogleDesktop.exe) wurde als gut identifiziert.
[?] O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe - Unbekannter Dienst. (svchost.ex)
[Y] O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE - Dieser Dienst (LEXBCES.EXE) wurde als gut identifiziert. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.

So, nun teile ich mit, welche 2 Elemente ich gefixt habe:

1.: [?] O4 - HKLM\..\Run: [TempCom] C:\WINDOWS\FONTS\F0E25.com - Fuzzy Algorithmusprüfung (3.13 / 5.00), Neutral

Habe ich gefixt!

2.: [?] O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe - Unbekannter Dienst. (svchost.ex)

Habe ich auch gefixt!

So, nun mein aktuelles logfile:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:33:28, on 26.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Product Registrierungserinnerung] C:\WINDOWS\Temp\RegModule.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://ht#tp://software-dl.real.com/...dxIE601_de.cab
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

--
End of file - 3895 bytes

Hallo Sabine01,

zunächst zwei Rückfragen:

Gibt es außer den Meldungen von AntiVir sichtbare Anzeichen für einen Schädlingsbefall (ein ungewöhnliches Verhalten deines Rechners z. B.)?

In welchen Dateien hat AntiVir einen Befall gemeldet? Du kannst dies nachsehen unter "Ereignisse", dort nach "Funden" suchen und die Dateipfade hierher kopieren.

edit: Hat HijackThis Backups der gefixten Dateien angelegt? Schau bitte im Ordner c:\programme\hijackthis danach.

Zitat:

Zitat von Franz1968

Gibt es außer den Meldungen von AntiVir sichtbare Anzeichen für einen Schädlingsbefall (ein ungewöhnliches Verhalten deines Rechners z. B.)?

Na ja, ich habe seit einiger Zeit den Eindruck, daß mein Rechner langsamer läuft. Manchmal, beim surfen, findet er Webseiten gar nicht mehr. Ich zieh dann mal fix den Stecker der Verbindung und steck ihn wieder rein. Dann klappt´s normalerweise. Das ganze ist aber eher selten.

*********************************************************

Zitat:

Zitat von Franz1968

In welchen Dateien hat AntiVir einen Befall gemeldet? Du kannst dies nachsehen unter "Ereignisse", dort nach "Funden" suchen und die Dateipfade hierher kopieren.

OK, ich habe mehrere Funde von heute. Bei der Reihenfolge beachten: der letzte (= "jüngste") Fund ist hier ganz oben, der erste, mit dem wohl alles anfing, ist unten (= Nr. 7).

1.:

Zitat:

In der Datei 'C:\WINDOWS\system32\svchost.exe:exe.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Hijack.Explor.776' [TR/Hijack.Explor.776] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

2.:

Zitat:

In der Datei 'C:\WINDOWS\TEMP\178803460.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [TR/Crypt.FKM.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern

3.:

Zitat:

In der Datei 'C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YBBNDIQ8\n2_21_09_07_0[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [TR/Crypt.FKM.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern

4.:

Zitat:

In der Datei 'C:\WINDOWS\TEMP\593237280.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [TR/Crypt.FKM.Gen] gefunden.
Ausgeführte Aktion: Datei löschen

5.:

Zitat:

In der Datei 'C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GJNEDLFB\n2_21_09_07_0[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [TR/Crypt.FKM.Gen] gefunden.
Ausgeführte Aktion: Datei löschen

6.:

Zitat:

In der Datei 'C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YBBNDIQ8\n2_21_09_07_0[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [TR/Crypt.FKM.Gen] gefunden.
Ausgeführte Aktion: Datei löschen

7.:

Zitat:

In der Datei 'C:\Dokumente und Einstellungen\[BENUTZERNAME]\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0L4YKR5B\deborah_2[1].htm'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [HTML/Infected.WebPage.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern

*********************************************************

Zitat:

Zitat von Franz1968

edit: Hat HijackThis Backups der gefixten Dateien angelegt? Schau bitte im Ordner c:\programme\hijackthis danach.

Hmm, ja, da sind 2 Dateien, die eine heißt "backup-20071026-213338-875". Beide Dateien sind aber nur 78 bzw. 56 Byte groß! (Rechtsklick -> Eigenschaften).

Danke erstmal, Sabine

Hm.

Mach bitte Folgendes:

1. Alle versteckten Dateien und Ordner sichtbar machen.

2. Die beiden folgenden Dateien suchen, die du gefixt hattest:

Zitat:

Zitat von Sabine01

C:\WINDOWS\system32\svchost.exe:exe.exe
C:\WINDOWS\FONTS\F0E25.com

und sie bei Virustotal scannen lassen, im Anschluss die Ergebnisse posten (die erstgenannte Datei nicht mit c:\windows\system32\svchost.exe verwechseln!).

3. EScan, im Anschluss die Ergebnisse der find.bat posten.

Zitat:

Zitat von Sabine01

Ach ja: muß ich UNBEDINGT die auf dem Rechner gespeicherten Passwörter ändern?

Sicherheitshalber solltest du das tun, von einem sauberen Rechner aus, und den befallenen Rechner nach dem eScan möglichst vom Netz trennen.

Hallo Franz,

ich hatte schon zuvor nach diesen beiden Dateien gesucht. Ich kann sie weder durch anklicken und "manuelles" Durchsuchen der entsprechenden Ordner, noch durch einen Suchlauf finden!

Alle versteckten Dateien und Ordner habe ich sichtbar gemacht (das ist bei mir ohnehin Standard, habe es aber nochmal geprüft).

EScan folgt.

Viele Grüße

Oh je, dieses Escan läuft ja ewig!

Bis jetzt behauptet das Programm, bereits 13 Viren gefunden zu haben.

Etwas mißtrauisch bin ich da schon, zumal gleich die Aufforderung kam, die Vollversion zu kaufen.

Siehe auch diesen Beitrag in einem anderen Forum.



Na ja, ich lass da jetzt mal weiterlaufen und poste dann die Ergebisse.

Viele Grüße, Sabine (gerade an einem anderen Rechner)

OK, EScan ist beendet, hier das Ergebnis:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 10/27/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "hsa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "energyplugin Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
System found infected with abetterinternet Spyware/Adware (alchem.ini)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Default User\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Gast\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{BB2BC3A9-295A-49F5-8425-2AEC7003D525}\RP172\A0038306.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{BB2BC3A9-295A-49F5-8425-2AEC7003D525}\RP188\A0041231.exe:exe.exe infiziert von "Trojan.Win32.Obfuscated.jw" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\config\systemprofile\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\alchem.ini
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\dsb
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\hsa !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sw !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\DSL Connection Manager\Update\update.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 76880
Gefundene Viren: 14
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 371
Dauer des Scans bisher: 01:18:19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:39:28,73
Batchende: 14:39:35,80

Ist das bedenklich? Was mache ich jetzt??

Danke und Grüße, Sabine

Sodele. Mit Abstand am interessantesten sind wieder einmal die "infected files", während die Infektionsmeldungen doch arg nach eScan-typischen Fehlalarmen klingen. (Dein Misstrauen ist da durchaus berechtigt.)

Als erstes versuche bitte, diese Datei

Zitat:

Zitat von Sabine01

C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\desktop.ini

mit Hilfe eines Editors zu öffnen. Poste dann ihren Inhalt.

Zweitens - und jetzt wird's heikel, denn als Windows 2000-Nutzer, das keine Systemwiederherstellung kennt, weiß ich nicht, ob's funktioniert - versuche, diese Datei bei Virustotal scannen zu lassen:

Zitat:

Zitat von Sabine01

C:\System Volume Information\_restore{BB2BC3A9-295A-49F5-8425-2AEC7003D525}\RP188\A0041231.exe:exe.exe

Kopiere dazu den Dateipfad in das Eingabefeld auf der Virustotal-Website hinein.

Drittens poste ein SilentRunners-Logfile nach KarlKarls Anleitung:

Zitat:

Zitat von KarlKarl

Lade SilentRunners von dieser Seite auf den Desktop runter. Alle Programme schließen und SilentRunners starten. In der Abfrage "nein" wählen, damit die "supplementary searches" ebenfalls ausgeführt werden. Die weitere Abfrage mit "ja" bestätigen. Nun warten, bis SilentRunners mit einem Fenster bestätigt fertig zu sein, dies kann einige Zeit dauern. Das Logfile findest Du danach auf dem Desktop. Dessen Inhalt posten.

Habe die Reihenfolge mal geändert, hoffentlich nicht schlimm...!

Zitat:

Zitat von Franz1968

Zweitens - und jetzt wird's heikel, denn als Windows 2000-Nutzer, das keine Systemwiederherstellung kennt, weiß ich nicht, ob's funktioniert - versuche, diese Datei bei Virustotal scannen zu lassen:

C:\System Volume Information\_restore{BB2BC3A9-295A-49F5-8425-2AEC7003D525}\RP188\A0041231.exe:exe.exe

Kopiere dazu den Dateipfad in das Eingabefeld auf der Virustotal-Website hinein.

Sobald Virustotal die Datei hochlädt, meldet mein Antivir einen Trojaner-Befall:

Zitat:

In der Datei 'C:\System Volume Information\_restore{BB2BC3A9-295A-49F5-8425-2AEC7003D525}\RP188\A0041231.exe:exe.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Hijack.Explor.776' [TR/Hijack.Explor.776] gefunden.
Ausgeführte Aktion: Datei löschen

Ich habe mal auf "Datei löschen" geklickt!

Die "Virustotal"-Website meldet dann:

Zitat:

0 bytes size received / Se ha recibido un archivo vacio

Zitat:

Zitat von Franz1968

Als erstes versuche bitte, diese Datei
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\desktop.ini
mit Hilfe eines Editors zu öffnen. Poste dann ihren Inhalt.

Ich finde diese Datei im Windows-Explorer, sie hat allerdings 0 Byte Größe. Öffnen mit Editor geht, ist aber leer!

Zitat:

Zitat von Franz1968

Drittens poste ein SilentRunners-Logfile nach KarlKarls Anleitung:

Mache ich, sobald ich kann!

So, hier noch das Silentrunners-Logfile:

Zitat:

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"AtiPTA" = "atiptaxx.exe" ["ATI Technologies, Inc."]
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"EPSON Product Registrierungserinnerung" = "C:\WINDOWS\Temp\RegModule.exe" [file not found]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\ssv.dll" ["Sun Microsystems, Inc."]
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}\(Default) = (no title provided)
-> {HKLM...CLSID} = "EpsonToolBandKicker Class"
\InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" [file not found]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Desktop\Montoya.jpg"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Daten löschen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Scheduled Tasks:
------------------------

"Low Battery Alarm Program" -> WARNING -- The file "Low Battery Alarm Program.job" is corrupt! (no executable)


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 49
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}"
-> {HKLM...CLSID} = "EPSON Web-To-Page"
\InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}" = (no title provided)
-> {HKLM...CLSID} = "EPSON Web-To-Page"
\InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.5.0_11"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_11"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll" ["Sun Microsystems, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://global.acer.com/

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AccSys WiFi Component, accsvc, "C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe" ["AccSys GmbH"]
AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
EpsonBidirectionalService, EpsonBidirectionalService, "C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe" [null data]
IPv6-Hilfsdienst, 6to4, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\6to4svc.dll" [MS]}
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
BJ Language Monitor2\Driver = "CNBJMON2.DLL" [MS]
EPSON V3 2KMonitor397\Driver = "E_SL2397.DLL" ["SEIKO EPSON CORPORATION"]
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
OKI PSE Monitor\Driver = "OKPSEMON.DLL" ["Oki Data Corporation"]


---------- (launch time: 2007-10-27 16:37:51)
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 56 seconds.
---------- (total run time: 142 seconds)

Was den "Virustotal"-Test angeht, habe ich diesen gerade nochmals gemacht.

Jetzt meldet mein Antivir nichts mehr!

Vielleicht war es also gut, die Option "Datei löschen" anzuklicken?

Zitat:

Zitat von Sabine01

Vielleicht war es also gut, die Option "Datei löschen" anzuklicken?

Äh...nein. Zwar verständlich aus deiner Sicht, aber im Moment nicht so gut, denn ich hätte schon gern gewusst, was sich hinter dieser Datei verbirgt.

Wir machen jetzt Folgendes, denn auch SilentRunners hilft nicht wirklich weiter: Update bitte dein AntiVir, fahre deinen Rechner herunter, boote neu in den abgesicherten Modus (-> beim Start F8 drücken, dann die entsprechende Auswahl treffen). Evtl. Funde bitte nicht löschen, sondern zunächst ignorieren. Im Anschluss den Report posten.

Zuvor diese Datei bei Virustotal auswerten lassen:

Zitat:

C:\WINDOWS\system32\shmgrate.exe

und das gesamte Ergebnis inkl. der MD5- und SHA1-Werte posten; ich nehme aber an, dass sie sauber ist.

Nachtrag: Nutzt du bewusst einen Proxy-Server, wie hier zu sehen?

Zitat:

Zitat von Sabine01

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 127.0.0.1:4001

OK, die Virustotal-Auswertung kommt hier unten. Den AntiVir-Report kann ich erst heute nacht oder morgen bringen, denn eine komplette Überprüfung durch AntiVir dauert bei mir einige Stunden! (habe erst vorhin einen gemacht, Ergebnis sah harmlos aus...).

Dank + Gruß, Sabine

edit: hier mal das Ergebnis als Scrennshot-Bild.

Zitat:

Datei shmgrate.exe empfangen 2007.10.27 19:10:58 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/31 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 48 und 68 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.27.0 2007.10.26 -
AntiVir 7.6.0.30 2007.10.26 -
Authentium 4.93.8 2007.10.26 -
Avast 4.7.1074.0 2007.10.27 -
AVG 7.5.0.503 2007.10.27 -
BitDefender 7.2 2007.10.27 -
CAT-QuickHeal 9.00 2007.10.26 -
ClamAV 0.91.2 2007.10.27 -
DrWeb 4.44.0.09170 2007.10.27 -
eSafe 7.0.15.0 2007.10.22 -
eTrust-Vet 31.2.5244 2007.10.26 -
Ewido 4.0 2007.10.27 -
FileAdvisor 1 2007.10.27 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.26 -
F-Secure 6.70.13030.0 2007.10.26 -
Ikarus T3.1.1.12 2007.10.27 -
Kaspersky 7.0.0.125 2007.10.27 -
McAfee 5150 2007.10.26 -
Microsoft 1.2908 2007.10.27 -
NOD32v2 2620 2007.10.27 -
Norman 5.80.02 2007.10.26 -
Panda 9.0.0.4 2007.10.27 -
Prevx1 V2 2007.10.27 -
Rising 19.46.51.00 2007.10.27 -
Sophos 4.23.0 2007.10.27 -
Sunbelt 2.2.907.0 2007.10.27 -
Symantec 10 2007.10.27 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.26 -
VirusBuster 4.3.26:9 2007.10.27 -
weitere Informationen
File size: 42496 bytes
MD5: c836f4c95314d69b9c799f722199c8fb
SHA1: 72cf02746efdcd7e61733ed76d02f6f66061356c