du hast gesagt, du hast u.a. word- bzw. excel-dateien gesichert...
reeeeeeeein theoretisch könnte ein schadprogramm bösartigen 'code' in form von sog. makros hier reingepflanzt haben....

hmm, das wäre natürlich sch..., denn dann wären jetzt 2 pcs infiziert. wenn der ganze sums wieder aufm meinem pc ist, werde ich auf jeden fall nochmal ein log-file erstellen lassen und stell es hier rein. dauert noch einige minuten bis das ganze zeug wieder aufm pc is, aber bis jetzt hat auch das anti-viren-programm noch nichts gemeldet.

Zitat:

Zitat von virus

BataAlexander hat dir ja entwarnung gegeben was ich noch nicht gemacht hätte

Warum nicht? Willst Du mit Deiner Killbox Orgie noch weitere Dateien einzeln löschen lassen?
Hier lag ein "simpler" Befall mit der Smitfraud / Errorcleaner Family vor.
Diese hast Du zu großen Teilen, einzeln löschen lassen.
Dazu noch ein paar andere Sachen, die der User dann halt mal verschmerzen muss, nLite, Adobe Acrobat, aber das kann ja passieren, wenn man sich damit nicht richtig auskennt.
@dobrown: Generell hast Du recht: Ein Linux ist schon eine tolle und sichere Sache, grade von einer Live CD.
Hier liegt aber kein Linux vor, der User benutzt Windows XP. Also damit arbeiten.
Und wenn Du rätst, den Rechner neu zu machen, da er von irgendwas befallen wurde, so hast Du auch hier recht, allerdings ist es nicht praktikabel. Der User kann diesen Befall leicht wieder loswerden, oder so wie virus es ihm gezeigt hat, und mit dem System weiterarbeiten. Sicherlich immer mit einem Restrisiko der Infektion. Dieses Restrisiko gibt es allerdings immer, zu jedem Zeitpunkt und auf jedem System, man muss sich dessen nur bewußt sein.

Zitat:

Wenn Du einfach nicht neu installieren willst dann nutze zur Überprüfung wenigstens das chinesische Tool ICESWORD. das ding hat zwar auch keinen bekannten Quellcode, muss aber zumindest nicht per .exe installiert werden.

Dieser Satz ist komplett sinnfrei Icesword.exe?
Zur Verwendung von Icesword: Gern, aber bitte richtig, nicht den User hier den Teufel an die Wand malen!
Rote Einträge, bedeuten zunächst erst mal nichts, sie müssen interpretiert werden. In unserem Fall zeigen sich typische Merkmale der AV Preogramme und des allseits beliebten ICQ, welches sich immer einen Weg nach außen bohrt und von so manchem Admin gehaßliebt wird.
Auch hier sieht man keine Bedrohung.

Zitat:

Zitat von DocBrown

Der JUnge hat AHNUNG !!

Einer muss ja

Zitat:

Zitat von DJ86

und mittlerweile habe ich auch den pc formatiert,

Jeder glaubt das was er will. Nötig war es hier wirklich nicht! Schade :|

PHP-Code:

Zitat:
Zitat von DJ86
und mittlerweile habe ich auch den pc formatiert,
Jeder glaubt das was er will. Nötig war es hier wirklich nicht! Schade :| 


ja war vielleicht nicht nötig, aber war mir lieber. ich hoffe nur das jetzt wirklich alles weg ist. am ersten tag war das glaube, seit ich den virus hatte, hat sich da auch einma so was komisches geöffnet, da stand dann was mit "bloßstellenden dateien"...weiß es nicht mehr genau, aber hier im forum steht ja irgendwas, dass das was mit backdoor-trojanern zu tun hat.

naja, nachm formatiern is wenigstens wieder ordnung, weil es hier und da aussah, als wäre ne bombe eingeschlagen, nachdem ich hier ein tool nach dem andern runtergeladen habe.

ich hatte vor dem formatiern noch ein zweites mal das programm icesword benutzt und da waren dann noch viel mehr rote einträge. und vor 2 tagen wollte ich auch combofix mal ausprobiern, aber da war auch mein pc wieder einfach ausgegangen. das programm war mir ehrlich gesagt auch nicht so geheuer, nachdem ich die anleitung gelesen hab. allein schon die meldung, wenn man das programm startet, "jeder hunderteste pc übersteht das nicht" oder so...

ch hatte vor dem formatiern noch ein zweites mal das programm icesword benutzt und da waren dann noch viel mehr rote einträge.

Du hast das richtige getan!!! Auch wenn es nur ein "Simpler Befall war" und nichts anderes.:aplaus:

Denk dran regelmäßig image ziehen, jetzt.

Zitat:

Zitat von BataAlexander

Warum nicht? Willst Du mit Deiner Killbox Orgie noch weitere Dateien einzeln löschen lassen?
Hier lag ein "simpler" Befall mit der Smitfraud / Errorcleaner Family vor.
Diese hast Du zu großen Teilen, einzeln löschen lassen.
:|

balbalabla lies das thema mal richtig durch dann würdest du sehen das ich den user lediglich 4 - max. 5 dateien mit KillBox habe löschen lassen
Ich weiss du glaubst du seiest der einzige mit Ahnung, schlussendlich konnte ich jedem user in jedem Thread bei dem ich gepostet habe helfen

ps. es kann immer mal vorkommen das man etwas einfaches schwieriger macht als das es ist. Trotzdem solltest du nicht alles bemänglen was nicht genau so gemacht wird wie du es gemacht hättest

Zitat:

Zitat von BataAlexander

Dazu noch ein paar andere Sachen, die der User dann halt mal verschmerzen muss, nLite, Adobe Acrobat, aber das kann ja passieren, wenn man sich damit nicht richtig auskennt.:|

nicht richtig auskennt?!?!!
Adobe Acrobat?? ist wirklich extrem wichtig für den Autostart........ das ist völlig unnützlich und verlangsamt denn rechner nur unnötig
das selbe für nLite ist ja nix systemabhängiges oder so das kann man starten wenn man es braucht

Jetzt weiß ich, warum die bei Dell soviel zu tun haben

Zitat:

ps. es kann immer mal vorkommen das man etwas einfaches schwieriger macht als das es ist.

Ja, das ist wie mit dem Weg nach Rom. Allerdings kann man sich das Leben ja auch mal einfacher machen.

so, um wieder mal zum thema zurück zu kommen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:54:06, on 01.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB9EC55F-A6B3-496A-AB08-D7A14CA6F111}: NameServer = 192.168.2.1
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe

--
End of file - 4667 bytes


sieht das ok aus??

ich wollte heut mein drucker installiern und da hat was net geklappt und dann hab ich den bei systemsteurung --> software deinstalliert, aber der drucker wird trotzdem noch angezeigt (bei der druckereinrichtung und bei software). genauo wie die icq-toolbar, die hab ich auch wieder deinstalliert, aber im firefox kann ich die immer noch anzeigen lassen. wie bekomme ich den mist den wieder ganz weg?

außerdem ist mein pc langsamer als vorher, weiß net genau seit wann, so ca. ner stunde, wo ich so sachen wie acrobade reader, den drucker und so installiert hab.

und immer wenn icq startet, kommt da irgendwas mit laufzeitfehler, aber das kam glaube bis jetzt immer, wenn ich windows neu drauf gemacht habe.

hat sich eigentlich alles von selbst erledigt. drucker wurde nicht richtig vom pc entfernt, da noch ein druckauftrag im gange war (obwohl der drucker ja nicht drucken konnte, da es ein netzwerkdrucker ist und ich die einstellungen nicht vorgenommen hatte ) und somit hat sich auch dann das problem mit dem langsamen pc erledigt, er ist nämlich wieder so schnell wie vorher auch und das mit der icq toolbar hat sich auch erledigt, da ich die nochma seperat im firefox bei den add-ons löschen musste. auf so sachen muss man ja auch erstma kommen.




und ich will mich hier auch nochmal offiziell bei allen bedanken, die mir in den letzten tagen geholfen haben.

Danke
:aplaus:


(wenn ich wieder probleme habe, melde ich mich im forum --> vielleicht ja schon morgen)