Hallo,

danke für die schnelle Antwort. Also würdest du mir raten, dass Programm NoAdware zu deinstallieren? Aber die Datei Backdoor Sdboot.F hört sich doch wirklich nicht gut an. Wie soll jemand wie ich, der nicht so viel Ahnung hat, wissen das das Programm eSan diese Datei erstellt.

Was ist denn mit dem Ergebnis von eScan:

System found infected with toolbardeepdive Adware ({d449eb58-55af-4695-b216-895d546aed89})! Action taken: Keine Aktion vorgenommen.
System found infected with toolbardeepdive Adware ({b7db519e-7131-47b1-a9f5-da8d061c2611})! Action taken: Keine Aktion vorgenommen.
System found infected with toolbardeepdive Adware ({446761d5-3ac9-40cc-9dcd-cde23e2ce31a})! Action taken: Keine Aktion vorgenommen.

Wobei handelt es sich dabei?

Und wie beurteilst du das Ergebnis von Bitdefender:

Datei c:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\MWAVSCAN.COM
infiziert mit BehavesLike:Win32.FileInfector

Der Virus wurde geblockt. Ihr System wurde nicht infiziert.

Habe jetzt auch mal das Programm "Ad-Aware" durchlaufen lassen mit folgenden Ergebnissen:


Adware.CDN (Malware)
File Root: HKCR Path: clsid\{d449eb58-55af-4695-b216-895d546aed89}
File Root: HKCR Path: interface\{446761d5-3ac9-40cc-9dcd-cde23e2ce31a}
File Root: HKCR Path: typelib\{b7db519e-7131-47b1-a9f5-da8d061c2611}

Was bedeuten denn diese Ergebnisse von Ad-Aware? Sind das Trojaner? Soll ich die gefundenen Einträge löschen?



Gibt es das Programm "Ad-Aware" eigentlich auch auf Deutsch?

Was für ein Programm benutzt du denn, um am sichersten herauszufinden ob der Computer infiziert ist? Lohnt es sich da, dass Programm eSan zu kaufen? Oder was für ein Programm würdest du empfehlen? Hat das Programm auch einen Echtzeitschutz? Bin echt am verzweifeln, wie und mit welchem Programm man am besten herausfindet ob man mit irgendwas infiziert ist.

Hier nun mein HJT-log:

gfile of HijackThis v1.99.1
Scan saved at 02:24:17, on 13.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Caere\OmniPagePro90\opware32.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Razer\CopperHead\razerhid.exe
C:\Programme\AxBx\VirusKeeper 2007 Pro Probeversion\VirusKeeper.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Softwin\BitDefender10\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\NoAdware5.0\NoAdware5.exe
C:\Programme\Razer\CopperHead\razertra.exe
C:\Programme\Razer\CopperHead\razerofa.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 6 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\CopperHead\razerhid.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Programme\AxBx\VirusKeeper 2007 Pro Probeversion\VirusKeeper.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NoAdware5] "C:\Programme\NoAdware5.0\NoAdware5.exe" :Min:
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity Trial\AVK\AVKWCtl.exe (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



Vielen Dank im Voraus für die Antworten.

Zitat:

Zitat von jens_78

Also würdest du mir raten, dass Programm NoAdware zu deinstallieren? [..]Wie soll jemand wie ich, der nicht so viel Ahnung hat, wissen das das Programm eSan diese Datei erstellt.

Ja. Scanner, die nur nach Namen gehen, keine inhaltliche Prüfung vornehmen und ne Datei nicht von einem Ordner unterscheiden können, taugen nichts. Dass die Dinger von escan stammen, weiß man mit der Zeit; aus der Kalten kannst du das natürlich nicht wissen.

Zitat:

Ergebnis von eScan:
System found infected with toolbardeepdive Adware ({d449eb58-55af-4695-b216-895d546aed89})!
System found infected with toolbardeepdive Adware ({b7db519e-7131-47b1-a9f5-da8d061c2611})!
System found infected with toolbardeepdive Adware ({446761d5-3ac9-40cc-9dcd-cde23e2ce31a})!

Adware.CDN (Malware)
File Root: HKCR Path: clsid\{d449eb58-55af-4695-b216-895d546aed89}
File Root: HKCR Path: interface\{446761d5-3ac9-40cc-9dcd-cde23e2ce31a}
File Root: HKCR Path: typelib\{b7db519e-7131-47b1-a9f5-da8d061c2611}

Die Einträge stammen von Bitdefender. siehe hier. Grund des Fehlalarms ist wohl, dass Adware identische Schlüssel anlegt. -> HyperSnap Installer - Potenziell unerwünschte Anwendung - Sophos Bedrohungsanalyse

Zitat:

Und wie beurteilst du das Ergebnis von Bitdefender:
Datei c:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\MWAVSCAN.COM
infiziert mit BehavesLike:Win32.FileInfector

Ebenfalls Fehlalarm; Bitdefender meckert zum Ausgleich escan als schädlich an. :aplaus: Nichts löschen!

Zitat:

Gibt es das Programm "Ad-Aware" eigentlich auch auf Deutsch?

We are working on the translations.

Zitat:

Was für ein Programm benutzt du denn, um am sichersten herauszufinden ob der Computer infiziert ist?[..]Oder was für ein Programm würdest du empfehlen?

Ich hatte mal Kaspersky und war ganz zufrieden. Derzeit nutze ich die Auswertung auf virustotal.com, den antivir-commandline-scanner und Analysetools wie Process Explorer, Autoruns, Processmonitor.

Nimm ein AVP, mit dem du gut zurecht kommst, dessen Meldungen du verstehst und eines, was von der Performance deiner Kiste auch noch was übrig läßt. Personal Firewalls sind überflüssig. Ebenso halte ich Antispyware- und Antiadware-tools für Pfeffer, da die Malwarekategorien ohnehin fließend sind. Ein guter scanner deckt das alles ab, den Rest erledigt man mit einer vernünftigen Konfiguration seiner Software. Bsp cookies: cookie-Einstellungen

Zitat:

Lohnt es sich da, dass Programm eSan zu kaufen? Hat das Programm auch einen Echtzeitschutz?

Keine Ahnung, ich habe das Programm nie genutzt. Infos über das Programm findest du auf der Hompage.

zum HJT-log:
fixe die Überbleibsel von G-Data

Zitat:

O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)

Mach dir nicht so ne Raste über den bestmöglichen scanner. Wenn du mit gesundem Menschverstand surfst und nicht noch den 12. pornocodec installierst, bleibt dein AVP arbeitslos. In diesem Fall ist ziemlich buggi, welches Programm das ist. Grüße

Hallo,

danke für deine Antwort. Aber jetzt komm ich schon etwas durcheinander. Ich glaube das trotzdem mit meinem PC irgendwas nicht stimmt. Habe nämlich eScan im normalen Modus mal gestartet und da wird mir doch auf einmal angezeigt:System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.

Also hab ich mal im Internet geschaut und da wurde gesagt das man mit dem Programm "SmitfraudFix" den Virus "video activex access Trojan" entfernen könne. Ich habe das Programm ausgeführt (nach Anleitung). Ich glaubte damit sei das Problem gelöst. Also hab ich eScan nochmal im abgesicherten Modus gestartet um zu schauen ob mein System jetzt sauber ist. Doch der Virus ist immer noch da und zusätzlich bekomme ich auch noch folgenden Schädling angezeigt: trojan-downloader.bat.ftp.

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Hypertrophie ist auch ein Hobby. Lesetip.

Hallo,

ja aber mal im ernst, warum bekomm ich denn von eScan die Datei trojan-downloader.bat.ftp. und video activex access Trojan angezeigt? Ich bin wirklich absoluter Anfänger was das Thema betrifft. Bitte um Hilfe.

Was eScan "trojan-downloader.bat.ftp" nennt, sind Überreste von Smitfraudfix. Einfach ignorieren, einmal, wie von ordell schon gesagt, die Systemwiederherstellung deaktivieren, Rechner neu starten und es sollte gut sein.
Den Report von Smitfraudfix könntest du aber noch mal posten, wenn du ihn noch hast.

Zitat:

Zitat von Franz1968

Was eScan "trojan-downloader.bat.ftp" nennt, sind Überreste von Smitfraudfix. Einfach ignorieren, einmal, wie von ordell schon gesagt, die Systemwiederherstellung deaktivieren, Rechner neu starten und es sollte gut sein.
Den Report von Smitfraudfix könntest du aber noch mal posten, wenn du ihn noch hast.

Habe es so gemacht, wie du gesagt hast. Aber danach wurde immer noch von eScan die Meldungen angezeigt: "System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader" und "System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})"

Habe dann manuell die betroffenen Dateien gelöscht:
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe

OK somit habe ich das Problem lösen können, was die Überreste von dem Programm "Smitfraudfix" betrifft. Aber die Meldung "System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})" bekomme ich immer noch angezeigt. Kannst Du mir sagen, wobei es sich dabei handelt? Also mit dem Programm "Smitfraudfix" habe ich es nicht geschafft den video activex access Trojan wegzubekommen.

Hier mal der Report von Smitfraufix:

SmitFraudFix v2.268

Scan done at 21:44:02,39, 14.12.2007
Run from C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\SmitraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

Problem while deleting C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9956EF14-FE9B-48BE-ACD3-37CDBF163337}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9956EF14-FE9B-48BE-ACD3-37CDBF163337}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9956EF14-FE9B-48BE-ACD3-37CDBF163337}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


Bitte um Hilfe was genau der Report aussagt. Wie bekomme ich den video activex access Trojan weg?
Oder handelt es dabei auch nur um Überreste, von irgendein Programm?