Guten Tag erst mal!

Hab leider seit einer Woche ein Problem, dass sich als etwas hartnäckig heraus stellt. Hatte meine Platte kurz an einem sehr offen zugänglichen Rechner angestöpselt und als ich sie wieder an den Lappi hängte, hats mir irgendwas geschossen.
Seitdem habe ich zwar wenig Prozessbelastung und hohe Leerprozesswerte, aber die Auslastung schnallt bei jeder Kleinigkeit hoch und bringt alles ins Stocken.


Mein System:
Vaio VGN-FS....
WinXP Home
Externe Platten

Gut, bin bis jetzt folgendermaßen vorgegangen:

1. Kapserski wieder angeschaltet (war ne Zeit lang aus) und gescannt:

deleted: virus Heur.Trojan.Generic File: c:\windows\system32\fifefox\away.exe

deleted: virus Heur.Trojan.Generic File: C:\System Volume Information\_restore{3B6CDC77-F641-489A-8F0D-BCF8F80FE160}\RP621\A0104543.exe


Das "Fifefox" kam mir schon sehr verdächtig vor, weshalb ich trotz ungenauer Definition gelöscht habe...

2. Hijack-Scan:

Logfile of HijackThis v1.99.1
Scan saved at 17:31:24, on 13.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Centrino HC\Centrino_HC.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Inhalt\fsbl1067.exe
D:\Inhalt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.178.1:80
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [CentrinoHardwareControl] "C:\Programme\Centrino HC\Centrino_HC.exe" -quiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - *********** - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: VAIO Entertainment Aggregation and Control Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
O23 - Service: VAIO Entertainment Task Scheduler - Sony Corporation - C:\Programme\Sony\VAIO Entertainment\VzTaskScheduler.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\IntegratedServer\HTTP (file missing)
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobile\Gateway" /DisplayName="VAIO Media Gateway Server (file missing)
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)

3. Festplatten-Check:

Scan Disk sagt ok

4. Blacklight:

alles ok


Liegt es evt. an der fehlenden WinVNC.exe von UltraVNC? Hab auch Knoppicilin, leider im failsafe-Mode wegen cardmgr, drüber laufen lassen und da wurde auch nix gefunden.

5. Die Ereignisanzeige meldet:

Ausrufezeichend unter Anwendung:

Die Registrierung des Benutzers "*******************" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird.

Die Daten in der Datei/im Ordner konnten nicht registriert werden.
Das Dateiformat wird nicht unterstützt.
D:\Inhalt\hijackthis.log


So, und jetzt bin ich mit meinem Abc langsam am Ende... Weiß jetzt nicht wie ich weiter fortfahren soll. Denke vielleicht noch an eine Systemwiederherstellung, bin mir aber nicht sicher ob sich das nicht mit dem Kaspersky beißt, da er Zeitpunkt vor der Installation liegen würde. Nen Memory-Test werd ich auf jedenfall gleich noch mal machen. Aber ansonsten ist langsam Ende Gelände....

Hat jemand vielleicht nen Tipp für mich?

Danke!

Zitat:

1. Kapserski wieder angeschaltet (war ne Zeit lang aus) und gescannt:

Warum war der aus?

Alles was ich zu der Datei finde, führt mich zu Backdoor Trojanern.
Daher mein Rat an Dich, auch wenn ich in diesem Log nichts mehr sehe:
Den Rechner neu installieren, alle Zugangsdaten ändern.
Hier gibts eine Anleitung dazu.

Danke für die Antwort!

Hab vor kurzem nen Online-Scan durchgeführt und dazu muss ja der lokale Kasper erst mal aus dem System raus....

Gibts keine Alternative zum Neuaufsetzten? Wie es der Zufall so möchte, brauch ich mein System die nächsten Wochen wie nie zuvor und hab kaum Zeit alles neu aufzusetzten.... Hab mir auch schon überlegt, ob es Programme für Xp gibt wie beispielsweise für Mac's, die dann eigentlich fast das ganze System mitnehmen. Aber ich denk, dass sich dann der Trojaner mitfortpflantzt, oder!? Einfach Xp drüber zu installieren wird in die gleiche Einbahnstraße führen, oder!?

thx & greets

GMER - Rootkit Detection

* Lade GMER von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt
* Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Devices, -Module, -Processes, -Threads, -Libraries


* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

Sophos Anti-RootKit

- Gehe zu Sophos - (Anleitung) und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
- Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
- Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
- Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
- Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.
(Thx to Argos)

ModGreper

* Lade Modgreper von hier.
* Entpacke es nach c:\
* Lade die mg.bat von hier .
* Speicher diese auf dem Desktop
* Klicke die mg.bat an, ein schwarzes Fenster erscheint
* nachdem dieses verschwunden ist Öffne mit dem Explorer oder über den Arbeitsplatz
* dort liegt nun die Datei c:\modgreper.txt, diese mit einem Doppelklick öffnen
* poste den Inhalt der modgreper.txt im Forum

----
modGREPER findet verteckte Module unter Windows 2000/XP/2003. Es durchsucht den Kernel Speicher um dort Strukturen von gültigen Modul Beschreibungsobjekten zu finden.

Ok, GMER sagt "Gmer hasen´t found any System Modifikation"

Die sarscan.log sieht folgendermaßen aus:

Sophos Anti-Rootkit Version 1.3.1 (data 1.07) (c) 2006 Sophos Plc
Started logging on 14.01.2008 at 11:54:29
Hidden: registry item \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg40
Hidden: registry item \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\d347prt\Cfg\0Jf40
Hidden: registry item \HKEY_USERS\S-1-5-21-850420825-3569101248-3283675037-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify\PastIconsStream
Stopped logging on 14.01.2008 at 12:18:45


Und in der modgreper.txt steht nichts drin....

Gut/Schlecht!?

Vielen Dank noch mal!

Wenn Du die Datei noch in der Quarantäne hast, lass sie bei http://www.virustotal.com prüfen.

Ähm, welche!?

Die

c:\windows\system32\fifefox\away.exe

befindet sich wohl jetzt im Quarantäne Ordner.

Ok, hier das Ergebnis:

Die Datei wurde bereits analysiert:
MD5: 2f86a85cc1d8d382e554fd8f461b278f
Datum 2008.01.12 14:48:04 (CET) [>2D]
Ergebnisse 1/32
Permalink: analisis/b555987ec17f4ff7fe248c73035f2e98

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.12.10 2008.01.11 -
AntiVir 7.6.0.46 2008.01.11 -
Authentium 4.93.8 2008.01.12 -
Avast 4.7.1098.0 2008.01.12 -
AVG 7.5.0.516 2008.01.11 -
BitDefender 7.2 2008.01.12 -
CAT-QuickHeal 9.00 2008.01.12 -
ClamAV 0.91.2 2008.01.11 -
DrWeb 4.44.0.09170 2008.01.12 -
eSafe 7.0.15.0 2008.01.10 -
eTrust-Vet 31.3.5451 2008.01.11 -
Ewido 4.0 2008.01.12 -
FileAdvisor 1 2008.01.12 -
Fortinet 3.14.0.0 2008.01.12 -
F-Prot 4.4.2.54 2008.01.11 -
F-Secure 6.70.13030.0 2008.01.11 -
Ikarus T3.1.1.20 2008.01.12 -
Kaspersky 7.0.0.125 2008.01.12 Heur.Trojan.Generic
McAfee 5205 2008.01.11 -
Microsoft 1.3109 2008.01.12 -
NOD32v2 2785 2008.01.11 -
Norman 5.80.02 2008.01.11 -
Panda 9.0.0.4 2008.01.12 -
Prevx1 V2 2008.01.12 -
Rising 20.26.52.00 2008.01.12 -
Sophos 4.24.0 2008.01.12 -
Sunbelt 2.2.907.0 2008.01.12 -
Symantec 10 2008.01.12 -
TheHacker 6.2.9.186 2008.01.11 -
VBA32 3.12.2.5 2008.01.12 -
VirusBuster 4.3.26:9 2008.01.11 -
Webwasher-Gateway 6.6.2 2008.01.12 -
weitere Informationen
File size: 279684 bytes
MD5: 2f86a85cc1d8d382e554fd8f461b278f
SHA1: cda445c78c28eeddc154f66db6c7988a6d3687d4
PEiD: -


Also wenn ich's richtig verstehe, zickt nur Kasperski rum, oder!?

Richtig wenig Infos bekommen wir da.
Wenn Du weiter keine Problem hast, würde ich die Sache erst mal auf sich beruhen lassen.
Sende die Datei doch bitte an einige dieser AV Hersteller und bitte um Analsyse, so bekommst Du auch ein Feedback.
Poste dann das Result doch abschließend.

Gut, hab das jetzt erst mal gemacht und werd, sobald ich Feedback erhalten habe, die Ergebnisse posten. Soweit also erst mal vielen vielen Dank.....

Aber ich hätt noch mal die Frage bezüglich Kaspersky und der Systemwiederherstellung. Kann ich es nochmal mit der Wiederherstellung versuchen, auch wenn der letzte funktionierende Zeitpunkt vor der Installation von Kaspersky liegt? Habe Bedenken dass ich die Systemfiles dadurch noch mehr kaputt mache... Würd mich um ne Antwort freuen...

thx.

Derartiger Befall schreibt sich auch in die System Restore, was man an

Zitat:

C:\System Volume Information\_restore{3B6CDC77-F641-489A-8F0D-BCF8F80FE160}\RP621\A0104543.exe

ja auch schön sieht, daher wenig praktikabel.

Eventuell hilft Dir ein Scan mit einem Knoppix o.ä. und einem Virenscanner.
Hast Du schon weitere Infos?

Virus Buster hat sich gemeldet, jedoch mit geringer Prioritätseinstufung.... Hab Knoppicilin im failsafe laufen lassen und hat nix gefunden ......

Ich glaub ja mittlerweile, dass mein System sauber ist, jedoch die Registry kaputt ist... Überleg halt ob evt. ne Wiederherstellung was bringt, oder Xp einfach mal drüber installieren!? (Die auftretenden Symptome kommen mir bekannt vor - hab vor nem Jahr mal ein Game einfach gelöscht und zwar nicht über Windows, sonder einfach den Ordner... Dann war die Registry oder irgendwas kaputt und der Rechner zickte genauso rum wie jetzt. Hab dann ne Wiederherstellung durchgeführt und gut wars...???). Was aber wenn ich einen Zeitpunkt vor den Befall wähle?

Also vielleicht drüber installieren?

Zitat:

Was aber wenn ich einen Zeitpunkt vor den Befall wähle?

Schwer zu sagen. Ich habe mit diesen Wiederherstellungspunkten durchwachsene Erfahrungen gemacht.
Probieren kannst Du es natürlich, aber hier gilt wie immer: Vorher ein Backup der Daten machen!

Naja, hat leider wieder nicht geklappt... "Die Systemwiederherstellung konnte nicht durchgeführt werden. Es wurden keine Daten verändert."

VirusBuster hat sich noch mal gemeldet uns sich für das "malicious sample" bedankt und den Fall geschlossen. Bin mir jetzt nicht mal sicher, ob die einfach davon ausgehen ob es bösartig ist, oder nicht. Vielleicht meldet sich ja noch ein anderer Hersteller....

greets