Vista-PC verseucht - ja oder nein?

roadrunner · 04.11.2007, 23:36

Halli, hallo,

ich werf' mal eine Frage in die Experten-Runde:
Ist mein neuer Vista-PC nach gut zwei Monaten schon verseucht?

Ich habe die Kaspersky Internet Security 7.0.

Dann habe ich mir den Spyware Doctor heruntergeladen, und der `Doc` hat einige Sachen entdeckt, die ich auch schleunigst gelöscht habe.
Da mir die Geschichte aber keine Ruhe ließ, habe ich mir eure Beiträge im Trojaner-Board durchgelesen.

Der eScanner, von dem hier stets die Rede ist, hat dann über 100 Viren entdeckt, obwohl "Kollege" Kaspersky bei mir bislang nicht vorstellig geworden ist. Bei täglichen Durchläufen findet er nichts, aber auch gar nichts. Will der mich verkaspern?

Daraufhin habe ich mir noch den CounterSpy als Trialversion geladen, und er sagt auch, der liebe PC sei virenfrei.

Seltsamerweise meldet sich jetzt auch das Windows-Sicherheitscenter mit der Warnung: "Es wurde keine Antivirussoftware auf diesem Computer gefunden."
Bei der Rubrik" Schutz vor Spyware und anderer schädlicher Software" wird indes auf die Kaspersky Internet Security aös zusätzlicher Schutz verwiesen.

Ein weiteres Problem:
Ist der PC im Energiesparmodus und wird dann wieder benutzt, schnauft er wie ein altes Dampfross.
Und heute kam noch die Firewall-Meldung:
Die ausführbare Datei wurde verändert
Die Datei wurde seit der letzten Untersuchung verändert. Die Veränderung deutet darauf hin, dass die Datei aktualisiert wurde oder infiziert ist. Netzwerkaktivität für die veränderte Datei erlauben?
Prozessname: SVCHOST.EXE
Prozess-ID: 1484
Hersteller: Microsoft Corporation
Version: 6.0.6000.16386

Ich habe die Aktion erst mal verboten.

Da ider eScan-Bericht tierisch lang ist und ich Dusel ihn nicht verkleinern kann, folgt erst mal mein HijackThis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:18:48, on 04.11.2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Windows\System32\oodtray.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe
C:\Program Files\Intel\IntelDH\CCU\CCU_TrayIcon.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Windows\System32\oodtray.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Intel\IntelDH\CCU\CCU_Engine.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Windows\system32\taskeng.exe
C:\Users\uli\AppData\Local\Temp\mexe.com
C:\Windows\System32\mobsync.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NMSSupport] "C:\Program Files\Common Files\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe" /startup
O4 - HKLM\..\Run: [CCUTRAYICON] "C:\Program Files\Intel\IntelDH\CCU\CCU_TrayIcon.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [NvSvc] "RUNDLL32.EXE" C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Easy-PrintToolBox] "C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" /logon
O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AnyDVD] "C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKCU\..\Run: [WMPNSCFG] "C:\Program Files\Windows Media Player\WMPNSCFG.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-3640123640-457264246-3556321685-501\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'Gast')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{089297EB-89DE-4A1A-AA81-FE00C39D4AE0}: NameServer = 212.19.48.14
O17 - HKLM\System\CS1\Services\Tcpip\..\{089297EB-89DE-4A1A-AA81-FE00C39D4AE0}: NameServer = 212.19.48.14
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Intel(R) DHTrace Controller (DHTRACE) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\IntelDH\bin\DHTraceController.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: GnabService - Empolis GmbH - c:\program files\common files\gnab\service\servicecontroller.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Intel(R) NMSCore (NMSCore) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\IntelDH\NMS\NMSCore\NMSCore.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: Intel(R) Quality Manager (QualityManager) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\qualitymanager.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: YILMN - Sysinternals - www.sysinternals.com - C:\Users\uli\AppData\Local\Temp\YILMN.exe

--
End of file - 10181 bytes

Schöne Grüße vom
Roadrunner

raven · 05.11.2007, 07:55

Zitat:

Zitat von roadrunner

Der eScanner, von dem hier stets die Rede ist, hat dann über 100 Viren entdeckt, obwohl "Kollege" Kaspersky bei mir bislang nicht vorstellig geworden ist.

100 Viren halte ich für unwahrscheinlich aber natürlich nicht ausgeschlossen.

Zitat:

Zitat von roadrunner

Und heute kam noch die Firewall-Meldung:
Die ausführbare Datei wurde verändert
Die Datei wurde seit der letzten Untersuchung verändert. Die Veränderung deutet darauf hin, dass die Datei aktualisiert wurde oder infiziert ist. Netzwerkaktivität für die veränderte Datei erlauben?
Prozessname: SVCHOST.EXE
Prozess-ID: 1484
Hersteller: Microsoft Corporation
Version: 6.0.6000.16386

Wenn vorher Windows Updates eingespielt wurden, dann kann das daher kommen. Ein Virus kann hier aber freilich auch nicht ausgeschlossen werden. Wenn du die (virenfreie) svchost.exe blockierst, dann kannst du meines Wissens keine Windows Updates mehr einspielen. Scan also die Datei zuerst online bei VirusTotal, wenn sie virenfrei ist kannst du sie wieder freigeben.

Scan bitte ebenfalls bei VirusTotal die folgenden Dateien:

Zitat:

Zitat von roadrunner

C:\Users\uli\AppData\Local\Temp\mexe.com
C:\Users\uli\AppData\Local\Temp\YILMN.exe

roadrunner · 05.11.2007, 11:32

Hallo Raven,

ein dickes Dankeschön für die Zeit, die du opferst, um mein Problem zu lösen.

Wo finde ist die Datei SVCHOST.EXE?

Nehme ich die Suchen-Funktion, zeigt mir der PC kein Ergebnis an.

Schne Grüße aus dem Tal der Ahnungslosen

Roadrunner

roadrunner · 05.11.2007, 12:39

Hallo Raven,

ich habe die svchost.exe-Datei mittlerweile gefunden und zum Virentest eingecheckt.
Sie oll virenfrei sein, wurde mir mitgeteilt.

Die beiden Dateien C:\User-Dateien habe ich nicht mehr entdecken können.
Der User-Ordner zeigt Default an.
Möglicherweise habe ich sie gelöscht.

Hier die Viren, die eScan angemeckert hat:

Object "NULLBYTE Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" found in File System! Action Taken: No Action Taken.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" found in File System! Action Taken: No Action Taken.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" found in File System! Action Taken: No Action Taken.
Object "multipassrecover Spyware" found in File System! Action Taken: No Action Taken.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" found in File System! Action Taken: No Action Taken.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" found in File System! Action Taken: No Action Taken.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" found in File System! Action Taken: No Action Taken.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" found in File System! Action Taken: No Action Taken.
Object "spyware.ming Spyware" found in File System! Action Taken: No Action Taken.

Den Eintrag “spyware.ming.spyware” gab es es noch 20 – 30 Mal .

Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".shtml". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".xht". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".xhtml". Action Taken: No Action Taken.

Gruß vom roadrunner

Lucky · 05.11.2007, 18:27

Zitat:

Zitat von raven

100 Viren halte ich für unwahrscheinlich aber natürlich nicht ausgeschlossen.

Sag das nicht, ich hatte einen Bekannten der meinte er brauche keine Firewall und kein Antivirenprogramm, denn der Router schütze ihn schon. Bei 434(!) Viren habe ich ihn dann abbrechen und formatieren lassen... *g*

Shadow · 06.11.2007, 15:23

Raven dürfte wohl xyz Virenfunde (ein Virus "besteht" eventuell aus mehreren Dateien, ein Virus erzeugt oder befällt mehrere Dateien, ...) von xyz Viren unterscheiden. Auch ich habe schwere Zweifel ob ein PC mit 100 oder gar über 400 unterschiedlichen(!), aktiven Viren noch arbeitet.

Dass 100 oder 1000 (oder noch mehr) Dateien von einem Virus (oder ein paar Viren) befallen sind oder zu einem Virus gehören, wäre aber nichts ganz außergewöhnliches. Wenn dann noch jegliche Malware unter Virus angesiedelt wird, erst recht nicht.
Aber 100+/400+ unterschiedliche (echte) Viren wäre eine Leistung.

raven · 06.11.2007, 17:00

Zitat:

Zitat von Shadow

Raven dürfte wohl xyz Virenfunde (ein Virus "besteht" eventuell aus mehreren Dateien, ein Virus erzeugt oder befällt mehrere Dateien, ...) von xyz Viren unterscheiden. Auch ich habe schwere Zweifel ob ein PC mit 100 oder gar über 400 unterschiedlichen(!), aktiven Viren noch arbeitet.

Genau so war es gemeint.

roadrunner · 06.11.2007, 20:00

Hallo Rabe,
hallo Schattenmann,

der Quälgeist mag nicht mehr. Er streikt.
Erst hat er noch laut wie die Dunstabzugshaube in der Küche herumposaunt,
dann schmierte er plötzlich ab, beim Booten war der Bildschirm auf einmal zart-lila, beim nochmaligen Rauf- und Runterfahren tat sich gar nix mehr.
Da war nur noch ein leises Schnurren hörbar, doch der Bildschirm blieb black in black.
Der Telefondienst bei Medion tippte aufs Netzteil oder das Motherboard.
Er schickt in Kürze einen technisch begabten Schrauber vorbei.

Es grüßt der roadrunner

Vista-PC verseucht - ja oder nein?

Antiviren-, Firewall- und andere Schutzprogramme: Vista-PC verseucht - ja oder nein?