Hallo liebe Boardmitglieder,

Entschuldigung gleich vorweg für die Ausführlichkeit, ich weiß nicht, was in diesem Fall unwichtig ist.
Einige verdächtige Anzeichen haben mich dazu bewogen, einen Escan zu machen - mit positivem Ergebnis...

Hier mein escanlog von gestern:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.6
Sprache: German
Virus-Datenbank Datum: 11/23/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with xp advanced keylogger Commercial KeyLogger (skinmagic.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with hotbar Spyware/Adware (install.scr)! Action taken: Keine Aktion vorgenommen.
System found infected with hotbar Spyware/Adware (install.scr)! Action taken: Keine Aktion vorgenommen.
System found infected with hotbar Spyware/Adware (install.scr)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with xp advanced keylogger Commercial KeyLogger (skinmagic.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with hotbar Spyware/Adware (install.scr)! Action taken: Keine Aktion vorgenommen.
System found infected with hotbar Spyware/Adware (install.scr)! Action taken: Keine Aktion vorgenommen.
System found infected with hotbar Spyware/Adware (install.scr)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP46\A0014674.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP46\A0014680.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP46\A0014682.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP46\A0014685.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP46\A0014686.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP46\A0014687.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP46\A0014688.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP46\A0014689.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP46\A0014690.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP46\A0014707.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP48\A0014937.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP50\A0015152.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP50\A0015157.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP51\A0015197.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP53\A0015358.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP53\A0015374.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP53\A0015377.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP53\A0015378.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP53\A0015379.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP57\A0015554.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{58CD9CE9-311D-434B-A6E2-49F4FF1D7643}\RP62\A0015777.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\skinmagic.dll
Offending file found: F:\mein\larry\larry5\install.scr
Offending file found: F:\mein\larry\larry6\install.scr
Offending file found: F:\mein\musik\freddy pharkas - frontier pharmacist\install.scr
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\skinmagic.dll
Offending file found: F:\mein\larry\larry5\install.scr
Offending file found: F:\mein\larry\larry6\install.scr
Offending file found: F:\mein\musik\freddy pharkas - frontier pharmacist\install.scr
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\***\Startmenü\programme\concept design\onlinetv 3\tools
Offending Folder found: C:\Dokumente und Einstellungen\***\Startmenü\Programme\concept design\onlinetv 3\tools
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\onlinetv 2\tools
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\onlinetv 2\tools
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 115745
Gefundene Viren: 55
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 68
Dauer des Scans bisher: 02:00:02
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 16:03:33,54
Batchende: 16:03:50,92

Nun weiß ich aber, dass Antivir schonmal zwei der A00****.exe-Dateien gemeldet hatte, ich hatte sie dann dort eingeschickt mit der Antwort: False Positive. Alle Offending Files habe ich bei Virustotal checken lassen, das einzig positive Ergebnis kam bei cmdlineext02.dll:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - Adware.CmdLine (Not a Virus)
ClamAV - - -
DrWeb - - -
eSafe - - Spyware.CmdLineExt
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - PossibleThreat
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - Aplicacion/CmdExt
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
weitere Informationen
MD5: e60a8e3889df3c95e5f8fe2473db889e


Den Scan habe ich gemacht, weil gestern nach dem Starten des PC das Sicherheitscenter anzeigte, ich hätte keine Antivirensoftware installiert, obwohl Antivir wie immer gestartet war.
Außerdem wurde automatisch die Internetverbindung hergestellt, was bei mir sonst nur manuell erfolgt. Sie wurde auch weiterhin als hergestellt dargestellt, als ich sie physisch unterbrochen hatte.
Nach einem Neustart war das alles wieder in Ordnung.
Das HJT-log zeigte mir aber einen neuen Eintrag an, der eine Woche zuvor nicht da war, obwohl ich nichts geändert hatte:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:01:28, on 23.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE
C:\Programme\GigaByte\VGA Utility Manager\G-vga.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Sandboxie\Control.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\haijack\HiJackThis\Haijack.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-vga.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-823518204-842925246-839522115-1004\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191637710671
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 5601 bytes

Dabei ist das der neue Eintrag:
O4 - HKUS\S-1-5-21-823518204-842925246-839522115-1004\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe (User '?')

Daraufhin habe ich Ad-aware durchlaufen lassen, der einen Eintrag mit der selben Zahlenfolge als Privacy Object beanstandet hat:

Item Id: 2 Value: MRU Registry Key: S-1-5-21-823518204-842925246-839522115-1004\Software\Microsoft\Search Assistant\ACMru\5603 Count: 9

Dabei hat Sandboxie überhaupt nichts mit Microsoft zu tun. (?)

Aber da ich mich nicht so gut auskenne, habe ich alles gelassen wie es ist, und habe AVG erstmal scannen lassen wollen, jedoch konnte ich nicht mehr updaten mit der Fehlermeldung, AVG sei fehlerhaft installiert.
Dann kam der Escan, und seitdem habe ich jedesmal nachdem Windows geladen wurde diesen tieferen Windows-Warnton, der normalerweise mit einem Alert mit rotem Kreuz einhergeht, aber es erscheint nichts.
Auch hatte ich gestern auf google immer wieder das Phänomen, dass ein kleines Fenster meinte, *.vimore(dot)com verwende ein Sicherheitszertifikat zur verschlüsselten Datenübertragung, das seit einigen Monaten abgelaufen sei, ich solle meine Systemuhr überprüfen (Falls von Bedeutung: habe genauen Wortlaut zur Hand). Gleichzeitig stand dann immer links unten im Browser "verbunden mit rares.moldoveanu.vimore(dot)com". Als ich Skripte für google.de verboten und dann wieder erlaubt hatte, war das behoben.
Schließlich waren noch meine Einstellungen der Orderansicht verstellt und beim Rückstellen fragte Windows nach, ob ich mir sicher sei, was vorher auch nicht so war.

Was meint Ihr also? Zufällige Häufung von Unwichtigkeiten oder habe ich mir was gefangen?

Jetzt habe ich ein neues Symptom:
In meinem Firefox sind plötzlich alle Addons nicht mehr aktiv, also Adblock, Noscript, etc.
Es heißt, sie werden beim nächsten Start installiert, so, als hätte ich sie mir frisch runtergeladen, aber auch das passiert nicht.
Komischerweise ist der sandboxed Firefox noch so, wie ich es immer hatte.

Mir ist das alles sehr rätselhaft, freue mich also über jede Form von Feedback.
Und sei es nur: "Sei nicht so paranoid!"

Vielen Dank schon mal.

Hallo,
werte mal die Dateien:

C:\Programme\Sandboxie\Control.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D 2.EXE
C:\WINDOWS\SYSTEM32\slserv.exe

-Bei Virustotal aus und poste das Ergebniss:
-Durchsuchen > eine von den oben genannten Dateien auswählen > Senden
-Dann warten bis es ausgewertet wurde (Wenn die Analyse nicht automatisch kommt klick auf Reanalyse).
-Danach warten bis es fertig ist, dann kopiere das Ergebniss und poste es hier.
-Das wiederhohlst du bei jeder Datei, bis du alle 3 Ergebniss hast.

Zitat:

Entschuldigung gleich vorweg für die Ausführlichkeit, ich weiß nicht, was in diesem Fall unwichtig ist.

Ist doch besser, umso mehr Infos umso schneller können wir helfen.

Zu den Firefox Addons weiß ich allerdings nichts.

Also, die habe ich vor einiger Zeit schon mal ausgewertet, das sind eigentlich legitime Dateien von Sandboxie, Windowsservice und ein Treiber meines Epsondruckers.

Nichtsdestotrotz habe ich es gerade noch einmal versucht, aber nach dem abschicken kam: This file has already been analysed. Soweit so gut, aber die Buttons "Show last report" und "Reanalyse now" sind grau, nicht anklickbar.

Vorübergehendes Problem bei virustotal oder weiteres Symptom?

edit:
Ach so, meine Javaeinstellungen waren auch verändert. Also, hier die Ergebnisse:

Control.exe:
jotti: nix
virustotal: Prevx1 - - Heuristic: Suspicious Hijacker
MD5: fa549de833036a7ab0719f374ca5ce10

E_S4I0D2.EXE:
virustotal: nix
File size: 99840 bytes
MD5: 8a884bf56fa5239c13b7fa9633dea024
SHA1: f040a107a1c77fb5d762a02472051256e99b7a49

slserv.exe:
virustotal: nix
File size: 45056 bytes
MD5: dcf3687b97c1d3aa936394b6584d9e16
SHA1: 72ef4a33e6faf8555faf7695453e436eee9fdc49

Hmm... lösch mal den Cache, Cookies etc. von deinem Browser, wenns dann noch immer nicht geht, wechsle mal die IP.

Huch, war wohl doch nicht so schlau mit dem Editieren...
Cache, Cookies, etc löschen sich bei mir eh ständig mit neuem Browserstart (dank Sandboxie).

Und nun?

Machs trotzdem mal manuell.
Und dann sag obs funktioniert, außerdem brauchst du Sandboxie nicht. Das kann man auch so einstellen, das nach dem schliessen des Browsers die Sachen gelöscht werden

Hast Du meine Editierung unten gelesen?
Anscheinend sind die Dateien sauber.
Und das ist ja nicht der einzige Grund, weshalb ich Sandboxie nutze

Zu den Infected Files, die EScan gefunden hat. Die kann man eigentlich löschen, sind ja nur von der System Volume Information, ich weiß aber nicht genau wie das geht..

Och Profis helft mir doch mal^^

Leider weiß ich auch nicht, wie genau man bei EScan herrausfindet, was Fehlermeldungen sind (Die ja bekanntlich oft kommen).

Das ist im Grunde ganz einfach: Systemwiederherstellung deaktivieren, Punkte löschen, neustarten, wieder einschalten.
Aber da liegt ja gar nicht mein Problem, wie unten beschrieben: die A00...-Dateien, hat AntiVir mir ja als false positiv rückgemeldet. Ich wüsste gerne, ob die gefundene Spyware wirklich welche ist und ob sie für die beschriebenen Symptome verantwortlich sein könnte.
Irgendwie ist ja außer uns niemand on, und die Versuche, uns gegenseitig zu helfen sind auch nicht so fruchtbar.

Wo sind all die wunderbaren undoreal, myrtille, cosinus, etc. -Experten hin?

Paranoikerin sucht Beistand

Der schreibt in den Artikeln über diesem^^

Naja, vielleicht Installier mal den Mozilla Firefox neu.
Wie gesagt, EScan kann ich nichts sagen

Ansonsten werte nochmal die bei Virustotal aus:

C:\WINDOWS\system32\CTFMON.EXE

Einfach mal machen, bis die Pros in diesem Thread aufwachen.^^
Eigentlich ist dein HijackThis Logfile dann Clean.

Aber es kann sein, das dieses Sandbox nen Hijacker ist, wenn plötzlich z.B. die Addons deaktiviert wurden, ist in letzter Zeit sonst noch was im Browser ohne dein Wissen verändert worden?

Achja, werte auch mal diese Dateien aus:

cmdlineext02.dll
install.scr (Vielleicht kriegst du zu vile Suchergebnisse hier)

Einfach mit Windowssuchen (Nicht vergessen auch versteckte Elemente zu durchsuchen) und dann bei Virustotal hochladen.

Hm, alle Veränderungen habe ich ja bereits beschrieben und sie beziehen sich ja nicht nur auf den Firefox, insofern sollte mich da eine Neuinstallation wohl kaum weiterbringen.
Die Dateien, die Du vorschlägst, habe ich ja auch schon getestet, das steht incl. der Ergebnisse alles in meinem ersten Post.
Danke, dass Du mir helfen willst, aber ich habe das Gefühl, Du liest gar nicht, was ich schreibe.
Die Sandbox ist garantiert kein Hijacker, es wird in vielen seriösen Antivirenboards als Präventivmaßnahme gelobt. Wie gesagt: die Addons sind ja gerade in der Sandbox NICHT verändert, sondern im eigentlichen Programm, dass ich sonst nicht nutze. Ich hatte das letzte halbe Jahr auch nie Probleme mit ihr. Die entsprechenden Dateien habe ich trotzdem bereits testen lassen und dort war nichts dabei.

Nimms nicht persönlich, aber ich glaube, ich warte besser auf jemanden, der mir auch Feedback zum eScan geben kann. Schließlich wundern mich ja die Veränderungen trotz reinem HJTlog (bis auf den unerklärlichen neuen Eintrag).
Viel Glück, dass auch Deine Fragen noch beantwortet werden.