Hallo Trojaner-Board,
mein erstes Forum, bitte schon mal um Nachsicht und Geduld. Schritt für Schritt erklären, bei "starte mal im abgesicherten modus und deaktiviere die Systemwiederherstellung" entstehen nur und Handlungsunfähigkeit Danke.

Meldungen von ZoneAlarm (Windows Vista):
...? versucht auf das Internet zuzugreifen. sistray.exe
Remotezugriffswählhilfe versucht.. rasautou.exe
Aufgabenplanungsmodul versucht.. taskeng.exe
Lokaler Sitzungs-Manager-Dienst versucht... lsm.exe
Windows-Explorer versucht... explorer.exe
Client-Server-Laufzeitprozess versucht... csrss.exe.

Bin bis zum HJT gekommen. Laut Info im Internet taucht PROVA im italienischsprachigen Raum auf. Das könnte ich mir dann über italienische hotmail.com E-Mail eingefangen haben, obwohl ich nichts geöffnet habe.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:41:12, on 08.06.2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\SiS VGA Utilities\SiSTray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\FSC\Wireless Utility\WirelessSelector.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.fujitsu-siemens.com/index2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SiSTray] %ProgramFiles%\SiS VGA Utilities\SiSTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"16:48 08.06.200816:49 08.06.2008
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: WirelessSelector.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABCDC747-9E5A-47D2-ABED-F398F5717340}: NameServer = 213.209.104.220 213.209.104.250
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 5212 bytes
         

Gruß tintin

Hi,

Bitte mal folgende datei bei virustotal überprüfen,ergebniss hier posten:

C:\Program Files\SiS VGA Utilities\SiSTray.exe


Lasse bitte Malwarebytes Antimalware laufen,poste das ergebnis und mache im anschluss nen onlinescan mit housecall. ebenso ergebnis hier posten.

gruß

schrauber

Hallo, danke für die schnelle Antwort!

Virus Total:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.5.30.1	2008.06.05	-
AntiVir	7.8.0.55	2008.06.06	-
Authentium	5.1.0.4	2008.06.08	-
Avast	4.8.1195.0	2008.06.08	-
AVG	7.5.0.516	2008.06.07	-
BitDefender	7.2	2008.06.08	-
CAT-QuickHeal	9.50	2008.06.07	-
ClamAV	0.92.1	2008.06.08	-
DrWeb	4.44.0.09170	2008.06.08	-
eSafe	7.0.15.0	2008.06.05	-
eTrust-Vet	31.6.5858	2008.06.08	-
Ewido	4.0	2008.06.08	-
F-Prot	4.4.4.56	2008.06.08	-
F-Secure	6.70.13260.0	2008.06.08	-
Fortinet	3.14.0.0	2008.06.08	-
GData	2.0.7306.1023	2008.06.08	-
Ikarus	T3.1.1.26.0	2008.06.08	-
Kaspersky	7.0.0.125	2008.06.08	-
McAfee	5312	2008.06.06	-
Microsoft	1.3604	2008.06.08	-
NOD32v2	3165	2008.06.06	-
Norman	5.80.02	2008.06.06	-
Panda	9.0.0.4	2008.06.08	-
Prevx1	V2	2008.06.08	Malicious Software
Rising	20.47.42.00	2008.06.06	-
Sophos	4.30.0	2008.06.08	-
Sunbelt	3.0.1145.1	2008.06.05	-
Symantec	10	2008.06.08	-
TheHacker	6.2.92.339	2008.06.07	-
VBA32	3.12.6.7	2008.06.08	-
VirusBuster	4.3.26:9	2008.06.08	-
Webwasher-Gateway	6.6.2	2008.06.08	-
weitere Informationen
File size: 552960 bytes
MD5...: 676f4b16d650d783d8b6701cd9f72239
SHA1..: e55e2a56b96676a7cd8f10c04ec87931c7b4d33b
SHA256: b968c981388e68dff9381b02a3e2c5522fa5e02a9c61dc38a9a00d6526184129
SHA512: 6668735433a8280408a7548ba7af31d2bde442253b3446cc10558148b7fbc080
7b25b7fd3c8f918b9e0dbd7c68cf064f1b26e3c7755ae7bc4d751b0eeab8ca8c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x48502e
timedatestamp.....: 0x46c13d9b (Tue Aug 14 05:28:59 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2000 0x83034 0x84000 7.00 099e4f877abe6277ebb02e982b2bcf1d
.rsrc 0x86000 0xb38 0x1000 3.92 c1acdc5bd111ab34d129bb3d5ab368b6
.reloc 0x88000 0xc 0x1000 0.02 5cc6fe241894dbdca22f878a1f00efc4

( 1 imports )
> mscoree.dll: _CorExeMain

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7D25CD8500BF5A8570F7082D4A601F008C2F8AE3
         

Während des Postens versuchte sistray.exe auf das Internet zuzugreifen.

Malwarebyte:

kein Befund

MSASCui.exe versuchte auf das Internet zuzugreifen. Habe ich verweigert, weil ich das in dem Moment nicht zuordnen konnte.

HouseCall konnte ich nicht durchführen. Mußte Java installieren Nach Neustart war das Feld mit Einstellungen für Wählverbindungen offen. Hatte nichts geöffnet.

Java (TmM) Platform SE binary versucht auf das Internet zuzugreifen.
jusched.exe auch und habe dem IP-Konfigurationsprogramm zugestimmt, nachdem HouseCall noch Daten fehlten, habe ich nachträglich in ZA wieder gesperrt.
Beim Versuch Daten aus dem Internet zu übertragen ist ein Fehler aufgetreten! Soll Trend Mirco HouseCall erneut versuchen, die benötigten Daten zu übertragen? Klicke vergeblich auf okay.

Guten Morgen! Heute morgen konnte ich HouseCall (Schnellauswahl) durchführen lassen:

Scanning and Cleaning Complete

HouseCall did not find any potential threats on your computer.


Soll ich die erweiterte Auswahl laufen lassen?

jepp,

immer komplett scannen lassen.

gruß

schrauber

und scan nochmal mit counterspy:

Lade die 15 Tage kostenlose Trialversion von CounterSpy V2 von Sunbelt herunter. Counterspy V2 ist ein Programm, dass Adware und Spyware findet und löscht. Das Programm ist geeignet für Windows 98/ME/2000/XP/2003/Vista. Drucke Dir die Anleitung evtl. aus, da Du während der Reinigung keine Verbindung zum Internet haben wirst.

• Update das Programm online (Geduld, das kann eine Weile dauern).
• Klicke links auf "System Scan" und setze Häkchen bei Full System, Low Risk Programs, Cookies und bei Save Options.
• Beende die Internet-Verbindung.
• Starte Deinen Rechner neu in den abgesicherten Modus (Hinweise zum Wie findest Du weiter unten).
• Scanne nun Deinen Rechner (Scan Now) mit CounterSpy (das Fenster sieht im abgesicherten Modus etwas anders, nicht wundern). Auch hier ist wieder Geduld gefragt, denn ein kompletter Scan dauert je nach Belegung der Festplatten u. U. mehrere Stunden.
• Wenn der Scan fertig ist, klicke bitte auf den Button "Results".
• Du musst nun Counterspy sagen, was es mit den Funden machen soll, dazu
• Recommended Action auf REMOVE (= entfernen) umstellen, damit Counterspy weiß, was es mit der Malware machen soll.

• Vorhanden sind folgende Möglichkeiten:
• Ignore
• Quarantine
• Remove (das wählen!)

• Dann musst Du noch auf den Button 'Clean' klicken, den Du unten rechts im Bild siehst. Wenn Du das nicht machst, weiß CounterSpy nicht, dass es eine Handlung vornehmen soll.
• Wenn die Behandlung der Malware abgeschlossen ist, zeigt CounterSpy Dir das Ergebnis des Scans.

CounterSpy entfernt mit einem Durchgang immer nur einen Teil der Malware vom System. Wiederhole den Scan im abgesicherten Modus so oft, bis Counterspy keine Funde mehr anzeigt. Starte den Rechner anschließend neu in den normalen Modus.

• Logfiles finden:
• Starte Counterspy V2
• klicke oben im Menü auf View => System Scan => View System Scan History => dort unten rechts => View full details of scan'.
• Es erscheint ein Fenster mit allen Scanergebnissen (Scan History).
• Markiere das Ergebnis des ersten Scans und klicke unten rechts auf => View full details of scan...
• In dem aufpoppenden Fenster 'Scan History Details' steht das Scan Ergebnis mit allen Details, was an Malware auf Deinem Rechner gefunden und gelöscht worden ist.
• Dieses Ergebnis mit STRG + A markieren und mit STRG + C ins Clipboard kopieren.
• Mit STRG + V die Ergebnisse hier in den Thread reinkopieren.
• Dies ist das erste Logfile von CounterSpy, das wir im Forum unbedingt sehen müssen, um zu erfahren, was auf Deinem System gefunden und gelöscht wurde.
• Poste bitte auf die gleiche Weise die Ergebnisse der weiteren Scans, die evtl. gemacht wurden, in diesem Thread.

===== Hinweise zum Arbeiten im abgesicherten Modus

• Neustart des Computers
• Vor dem Start von Windows mehrfach die Taste "F8" betätigen, um in das erweiterte Windows-Startmenü zu gelangen.
• Auf einem Computer, der für das Starten mit mehreren Betriebssystemen konfiguriert ist, bei Anzeige des Auswahlmenüs die Taste "F8" drücken.
• Im erweiterten Windows-Startmenü wähle die über die Pfeiltasten die Option "Abgesicherter Modus" und drücke die Eingabetaste. Starte Deinen Rechner neu, um wieder in den normalen Modus zu kommen.

===== Nach dem ersten Durchlauf von Counterspy bitte die Systemwiederherstellung deaktivieren und wieder reaktivieren, damit alle alten Systemwiederherstellungspunkte (und die dazugehörigen alten Dateien) gelöscht werden. Systemwiederherstellung deaktivieren und wieder aktivieren:

• Windows XP: Deaktiviere die Systemwiederherstellung
• Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
• Wähle den Reiter Systemwiederherstellung
• Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
• der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
• den Haken wieder entfernen und OK drücken
• wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten (ich persönlich habe die SWH nur auf C: aktiv und bei allen zusätzlichen Partitionen/Laufwerken deaktiviert).

Danach ggfs. noch einmal Counterspy laufen lassen, falls beim ersten Durchlauf Funde gemacht wurde.


gruß

schrauber

Hallo,

vielen Dank für die ausführliche Beschreibung! Hatte erst jetzt die Zeit und Ruhe, alles abzuarbeiten. Ich dachte, ich würde länger brauchen.


HouseCall Komplettscan:

Scanning and Cleaning Complete

HouseCall did not find any potential threats on your computer. Make sure you run HouseCall once a week to keep your PC clean and malware free.


CounterSpy V2 (2x laufen lassen):

Scan History Details
Start Date: 14.06.2008 22:19:19
End Date: 14.06.2008 22:47:00
Total Time: 27 Min 41 Sec
Detected security risks
No risks were found during this scan.


Scan History Details
Start Date: 15.06.2008 00:27:06
End Date: 15.06.2008 00:54:45
Total Time: 27 Min 39 Sec
Detected security risks
No risks were found during this scan.


"Nach dem ersten Durchlauf von Counterspy bitte die Systemwiederherstellung deaktivieren und wieder reaktivieren." Im abgesicherten Modus? Konnte ich ohnehin nicht tun, da fehlender Reiter (oder ich konnte ihn partout nicht finden?). Habe demnach die Systemwiederherstellung im normalen Modus deaktiviert und wieder aktiviert.


Gruß

tintin

*hochschieb*