Hallo,
als ich den Inhalt des Ordners C:\Users\Admin\AppData\Local\Temp\ löschen wollte ist Sophos (da lief es noch) auf ein paar Sachen gestoßen, die ihm nicht gefallen haben (z.B. ein reload.exe und ein download.exe, die wurden mit Hilfe von sophos gelöscht). Daraufhin habe ich einen HijackThis-Scan gemacht und bin auf einige Einträge aus eben diesem Ordner gestoßen, jeweils mit dem Vermerk: File missing.

Es handelt sich um folgende Einträge:

Zitat:

O23 - Service: BNY - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\BNY.exe
O23 - Service: BOXEPYWFI - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\BOXEPYWFI.exe
O23 - Service: DHHSNEM - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\DHHSNEM.exe
O23 - Service: JQXLS - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\JQXLS.exe
O23 - Service: PYMMPGNEF - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\PYMMPGNEF.exe
O23 - Service: SPZICTR - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\SPZICTR.exe

Die Seite www.sysinternals.com gehört soviel ich weiß zu Microsoft, allerdings ergab die Onlineauswertung:

Zitat:

Fuzzy Algorithmusprüfung (2.98 / 5.00), Schädlich

Ich habe versucht diese Einträge zu fixen, nach dem Neustart waren sie aber immer noch da.
Ich weiß nicht, ob diese Dinger wirklich schädlich sind (und ob es einen guten grund hat, dass ich sie nicht fixen kann), also gehe ich lieber auf Nummer sicher und frage. Wäre nett, wenn sich das mal jemand anguckt.

lg
nunja

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:16:20, on 01.01.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\ASUSTPE.exe
C:\Windows\ASScrPro.exe
C:\Program Files\PowerForPhone\PowerForPhone.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\Program Files\jdk\bin\javaw.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\mmc.exe
C:\Windows\system32\Taskmgr.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SavMain.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ASUSTPE] C:\Windows\system32\ASUSTPE.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe
O4 - HKLM\..\Run: [PowerForPhone] C:\Program Files\PowerForPhone\PowerForPhone.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Program Files\HJT\HijackThis.exe /startupscan
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-836278891-959880045-3722424293-1000\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User '***')
O4 - HKUS\S-1-5-21-836278891-959880045-3722424293-1000\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User '***')
O4 - HKUS\S-1-5-21-836278891-959880045-3722424293-1000\..\Run: [Vidalia] "C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe" (User '***')
O4 - HKUS\S-1-5-21-836278891-959880045-3722424293-1000\..\Run: [Speech Recognition] "C:\Windows\Speech\Common\sapisvr.exe" -SpeechUX -Startup (User '***')
O4 - S-1-5-21-836278891-959880045-3722424293-1000 Startup: SDK Tray Menu.lnk = ? (User '***')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O13 - Gopher Prefix:
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: BNY - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\BNY.exe
O23 - Service: BOXEPYWFI - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\BOXEPYWFI.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DHHSNEM - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\DHHSNEM.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: JQXLS - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\JQXLS.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PYMMPGNEF - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\PYMMPGNEF.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: SPZICTR - Sysinternals - www.sysinternals.com - C:\Users\Admin\AppData\Local\Temp\SPZICTR.exe

--
End of file - 8000 bytes

Du hast wohl mal den Rootkitrevealer laufen lassen?
Nicht gefährlich, kosmetisch kannst Du die Einträge mittels HJT fixen, dazu musst Du es aber als Admin ausrühren (Rechtsklich / ausführen als).
Die Temp Ordern kann Du z.B. mit dem CCleaner löschen.

Ja, genau, den hatte ich laufen.
Jetzt hat auch das fixen geklappt. Sieht viel schöner aus, jetzt. Oh und danke für den Tipp mit dem CCleaner, so geht alles viel schneller.

P.S.: Wenn der andere Thread jetzt gelöscht wird, soll ich das Problem mit Sophos hier dann nochmal schildern?
Wenn niemand einen Rat weiß, werde ich mit dem CCleaner mal Sophos löschen, da geht das ja auch, wie ich gerade gesehen habe...

Zitat:

P.S.: Wenn der andere Thread jetzt gelöscht wird, soll ich das Problem mit Sophos hier dann nochmal schildern?

Mach das mal. Ich hab das nicht ganz verstanden? Hattest Du einen Befall im Vorfeld?

Ok, hat sich erledigt. Habe Sophos deinstalliert und neu installiert, jetzt läuft es wieder wie geschmiert. Sophos hatte mal was gefunden und gelöscht...
Ich habe jetzt mehrere Scanner laufen lassen (Spybot -SD und Ad-Aware und eScan) und die haben nichts gefunden. Waren vielleicht vermurkste Einstellungen...

Zitat:

Waren vielleicht vermurkste Einstellungen...

Mag sein.
So long

So, da bin ich wieder. Habe noch eine Frage.
Ich habe die Paranoia auf die Spitze getrieben und habe noch GMER laufen lassen. Jetzt hängt sich mein Rechner aber ständig auf, wenn GMER läuft und zwar immer an der gleichen Stelle: unter Devices und zwar \Cdfs. Ich habe dann mal die ganzen Häckchen weggemacht, also die Unterpunkte (System, Devices, etc.) einen nach dem anderen gescannt und habe festgestellt, dass mein Rechner sich auch bei Modules aufhängt und zwar sofort. Alles andere ging. Wollte mal fragen woran das liegt. (Ich habe alle mir bekannten Antivirenprogramme natürlich ausgeschalten)

Ach ja, die Anfangsanzeige lautete:

Zitat:

GMER 1.0.14.13998 - http://www.gmer.net
Rootkit scan 2008-01-04 02:01:45
Windows 6.0.6000


---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Nero AG)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

Registry

Zitat:

GMER 1.0.14.13998 - http://www.gmer.net
Rootkit scan 2008-01-04 03:08:17
Windows 6.0.6000


---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018f337f16b
Reg HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\0018f337f16b
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{55AF1F47-3823-445B-A81B-F84003170D0E}
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{55AF1F47-3823-445B-A81B-F84003170D0E}
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{55AF1F47-3823-445B-A81B-F84003170D0E}@Path \Microsoft\Windows Defender\MP Scheduled Scan
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{55AF1F47-3823-445B-A81B-F84003170D0E}@Triggers 0x15 0x00 0x00 0x00 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{55AF1F47-3823-445B-A81B-F84003170D0E}@DynamicInfo 0x03 0x00 0x00 0x00 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows Defender\MP Scheduled Scan@Id {55AF1F47-3823-445B-A81B-F84003170D0E}

---- EOF - GMER 1.0.14 ----

lg

paranoiker ;-)

Ok, habe ich gemacht. Beim erstenmal hat sich der Rechner wieder aufgehängt. Dann habe ich mir nochmal die Virensoftware angeguckt und habe entdeckt, dass der Windowsdefender im Sicherheitscenter zweimal aufgeführt wird und habe ihn zum Schweigen gebracht. Spybot war im Schlummermodus, lies sich aber nicht beenden, also habe ich es deinstalliert.
Dann lief mg.bat, allerdings so schnell, dass ich nichts gesehen habe, außer dass da ganz kurz ein Fenster aufgetaucht ist. Die erstellte txt-Datei ist leer.
Ist das gut?

P.S.: Habe mich gefragt, ob Spybot vielleicht schuld dran ist, dass GMER nicht läuft und habe nochmal versucht die Modules zu scannen. Hat sich wieder aufgehängt.

Zitat:

Ist das gut?

Ja
Die anderen Fehler sind schon seltsam, aber ich denke immer noch das es dann an Vista liegt.

Falls es jemanden interessiert, es konnten alle Probleme gelöst werden:

1. Vista entfernen
2. Linux installieren