Hallo

versuch es doch mal hiermit (die Toolbar kannst du abwählen wenn in den Browsern nicht benötigt)
PDF Creator 0.9.5 - Open Source - ZDNet.de, Downloads, Business, Textbearbeitung

Zitat:

Wie kann ich also sicher sein, dass alles OK ist?

100% Sicher sein darfst du dir nie, man kann keine Garantie abgeben, dass ein System frei von Schädlingen ist nur, weil es sich normal verhält.
Siehe auch MightyMarcs Sig

Zitat:

Man muss sich nur davor hueten, die Abwesenheit von Anomalien als Beweis fuer die Sauberkeit des Systems zu werten.--- Jürgen Schmidt @ heise.de

Ich denke aber, wir haben den Bösewicht von der Platte.

MFG

Eine Sache ist mir jetzt aber noch aufgefallen. Nach einem der letzten Reboots hatte ich auf einmal ein zweites IE Icon auf dem Desktop und zwar ohne den Verknüpfungspfeil. Sollte ich mir Gedanken machen?

Zweitens werden blöderweise die Icons im Systray (unten rechts) von Avira und der Fritzbox nach dem Hochfahren nicht mehr aktiv. Will sagen, das Antivir Guard Icon steht auf deaktiviert, obwohl der Guard aktiv ist. Das Icon zeigt erst wieder richtig an, wenn ich den Guard kurz deaktiviere und dann wieder aktiviere.

Auch das Fritzbox Icon zeigt keine Internetverbindung vom Router an, obwohl ich surfen kann. erst wenn ich die Diagnaose vom Fritzbox Startcenter anklicke, springt das Icon auf grün. Was ist da los?

HRR

Hallo

Zitat:

Nach einem der letzten Reboots hatte ich auf einmal ein zweites IE Icon auf dem Desktop und zwar ohne den Verknüpfungspfeil.

Hast du kürzlich die Updateseite von M$ besucht und den IE7 installiert?

Zitat:

Zweitens werden blöderweise die Icons im Systray (unten rechts) von Avira und der Fritzbox nach dem Hochfahren nicht mehr aktiv. Will sagen, das Antivir Guard Icon steht auf deaktiviert, obwohl der Guard aktiv ist. Das Icon zeigt erst wieder richtig an, wenn ich den Guard kurz deaktiviere und dann wieder aktiviere.

Wenn der Guard wirklich aktiv ist (im Taskmanager nachsehen) ok, aber erklären kann ich es nicht.

Zitat:

Auch das Fritzbox Icon zeigt keine Internetverbindung vom Router an, obwohl ich surfen kann. erst wenn ich die Diagnaose vom Fritzbox Startcenter anklicke, springt das Icon auf grün. Was ist da los?

Auch da bin ich überfragt.
Wenn aber noch zweifel bestehen, solltest du mal mit mindestens 4 Programmen von hier scannen (nicht mit Blacklight o. Gmer)
AntiRootkit Scanner Anleitung - HijackThis.de Support Board
berichte bitte ob etwas gefunden wurde.

MFG

EDIT : Eventuell hilft hier auch ein deinstallieren und ein neues installieren der Programme

Ich hab den IE 7 bis jetzt nur runtergeladen, aber noch nicht installiert. In diesem Zusammenhang die Frage. Von welchen Dateien muss ich backups machen, bevor ich IE7 installiere. Überenimmt der die Einstellungen von IE6?

Ob der AVGuard nach dem Reboot im Taskman aktiv ist muss ich schauen. Avira selbst zeigt den Guard als aktiv an.

Das mit den Rootkit Scannern versuche ich mal.

HRR

So, hier schonmal die Erste Logfile:


+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

HRR

@nochdigger:

Zitat:

Zitat von nochdigger

Hallo

Hast du kürzlich die Updateseite von M$ besucht und den IE7 installiert?

Ich hab den IE 7 bis jetzt nur runtergeladen, aber noch nicht installiert. In diesem Zusammenhang die Frage. Von welchen Dateien muss ich backups machen, bevor ich IE7 installiere. Überenimmt der die Einstellungen von IE6?

Zitat:

Zitat von nochdigger

Wenn der Guard wirklich aktiv ist (im Taskmanager nachsehen) ok, aber erklären kann ich es nicht.?

Der Guard ist aktiv und das Icon scheint jetzt wohl wieder zu funzen, nach dem ich es in den Systray Eigenschaften deaktiviert und wieder aktiviert habe. Das muss ich allerdings jetzt mal weiter beobachten.

Wegen der Geschichte mit dem nicht richtig funktionierenden Fritzbox Systray Icon stehe ich im Moment mit AVM in Kontakt.

Da ich supervorsichtig geworden bin, habe ich nochmal alles wie beschrieben abgearbeitet. Anbei die Logfile von eScan. Da wurde immer noch was gefunden. Ich bin mir sicher,dass ich die 2 Echsen im Sytem32 gelöscht habe. Jetzt sind die wieder da. Da sind auch noch ein paar andere Files in anderen Ordnern. Was passiert mit denen? Habe ich vielleicht irgendwo was falsch gemacht beim löschen?

Hier erstmal die aktuelle Logfile:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.4
Sprache: German
Virus-Datenbank Datum: 12/27/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei I:\Programme\Norton AntiVirus\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei I:\WINDOWS\TEMP\Norton Anti-Virus 2004\NAV\EXTERNAL\NORTON\NAVAPW32.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei I:\System Volume Information\_restore{7BDA0033-00BE-4B16-9CC4-3B7747B20435}\RP7\A0000435.exe//WISE0019.BIN//data0001.cab/VVSN.exe infiziert von "Trojan-Dropper.Win32.Agent.ay" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File I:\System Volume Information\_restore{7BDA0033-00BE-4B16-9CC4-3B7747B20435}\RP7\A0000436.exe//data0005 markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
I:\Papyrus\NASCAR Racing 2003 Season\NR2003.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
I:\Eigene Dateien\Downloads\RStudio-Demo-Deutsch.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
I:\Eigene Dateien\Downloads\Transam\NR2003.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt...
I:\Programme\Ontrack\SystemSuite\mxcwvi.mxd nicht gescannt. Wahrscheinlich durch Passwort geschützt...
I:\WINDOWS\SYSTEM\gif89.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
I:\WINDOWS\SYSTEM\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Camera Files\SOFTWARE\CW\ENGLISH\DATA1.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Camera Files\SOFTWARE\CW\JAPANESE\DATA1.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Camera Files\SOFTWARE\PR2\PRART.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Camera Files\SOFTWARE\WIA625\CANON CAMERA WIA DRIVER.MSI nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Camera Files\SOFTWARE\ZOOMBRSR\ENGLISH\ZBPSDK.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 135163
Gefundene Viren: 6
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 188
Dauer des Scans bisher: 02:17:13
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 0:03:57,48
Batchende: 0:04:08,98

Kannst Du hierzu noch etwas sagen?

HRR

Hallo

Zitat:

Kannst Du hierzu noch etwas sagen?

Ich versuch mich mal...

Zitat:

Von welchen Dateien muss ich backups machen, bevor ich IE7 installiere. Überenimmt der die Einstellungen von IE6?

Ich meine beim IE7 unter - Datei --> importieren und expotieren, sichern ist immer gut, wenn neue Software ins Spiel kommt

Zitat:

Ich bin mir sicher,dass ich die 2 Echsen im Sytem32 gelöscht habe.

Welche Echsen?
Du meinst sicherlich diese beiden Dateien

Zitat:

swreg.exe
swsc.exe

kann es sein, dass wenn du alles nochmal durchgespielt hast, diese Dateien von Fixwareout stammen?
Ich glaube jaaa

Dann wird wieder die Systemwiederherstellung angemeckert sowie auch das alte Norton.

Was haben die Rootkitscans ergeben?

MFG

Zitat:

Zitat von nochdigger

Hallo
Ich meine beim IE7 unter - Datei --> importieren und expotieren, sichern ist immer gut, wenn neue Software ins Spiel kommt

Welche Dateien muss ich sichern (exportieren)? Auch irgendwelche die mit Outlook Express zusammenhängen?

Zitat:

Zitat von nochdigger

Welche Echsen?
Du meinst sicherlich diese beiden Dateien

Genau. Echse = .exe

Zitat:

Zitat von nochdigger

kann es sein, dass wenn du alles nochmal durchgespielt hast, diese Dateien von Fixwareout stammen?
Ich glaube jaaa

Eigentlich nicht. Fixwareout hatte ich nach dem ersten Mal gelöscht.

Zitat:

Zitat von nochdigger

Dann wird wieder die Systemwiederherstellung angemeckert sowie auch das alte Norton.
Was haben die Rootkitscans ergeben?
MFG

Das mit der Systemherstellung hab ich zwar vom Ablauf her geschnallt, aber im sinnigen Zusammenhang noch nicht. Wenn ich aber etwas lösche, ist das doch der Systemwiederherstellung egal, oder nicht?

Das alte Norton ist auf ner Datenplatte, die früher mal ne Bootplatte war. Das kann ich auch löschen.

Ich muss ehrlich gestehen, dass ich nur den Rootkitscan gemacht habe, von dem ich auch eine Logfile gepostet habe. Zusätzlich noch den GMER. Für die anderen muss man sich zum einen registrieren. Bei einem anderen funktionierte der link nicht. Kann ich aber trotzdem noch machen.

HRR

Also, ich hab jetzt nochmal die swreg.exe und swcs.exe gelöscht. Ich hab die Fritz Software und Avira durch die neuesten Versionen ersetzt. Das beschriebene Problem mit den Icons existiert nicht mehr. Leider stimmt aber etwas mit der Avira Sytemprüfung nicht (Hierzu habe ich allerdings einen anderen Thread ins Antivirus/Firewall Forum gestellt).

Ich werd nochmal ne HJT Logfile und ne eScan file posten und hoffe, dass die Sache jetzt ausgestanden ist.

HRR