Hallo.

Ich hatte mir vor ein paar Wochen einen Virus/Malware eingefangen. Auf dem Desktop waren 3 Icons, z.B. ErrorCleaner.
Ich hatte erstmal gegooglet und habe versucht das Problem mit Smitfraudfix zu lösen. Danach lief auch alles wieder. Habe Antivir komplett durchlaufen lassen. War alles okay.
Nun hatte mir AntiVir heute beim hochfahren bei folgender Datei gemeckert:
C:\WINDOWS\system32\404Fix.exe

Nun wollte ich mal meine Logfile posten, damit mal jmd mit Ahnung drüber gucken kann.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:40:15, on 17.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
E:\Programme\Napster\napster.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\NETGEAR\WG111v3\WG111v3.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\QIP\qip.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
E:\Programme\WinRAR\WinRAR.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DelReg] C:\Programme\MSI\DualCoreCenter\DelReg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [NapsterShell] E:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel PhotoDownloader.exe" -startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = E:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v3\WG111v3.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

--
End of file - 5814 bytes

Ich hoffe, ich habe alle Regeln beachtet

Danke schon mal im Voraus

Hallo phil83.

- Konfiguriere AntiVir aggressiv.

- Update die Viren Signaturen.

- Wechsel in den abgesicherten Modus und führe dort einen Vollscan durch. Poste bitte das log.

So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich

Vielen Dank für die schnelle Antwort.
AntiVir habe ich jetzt wie beschrieben konfiguriert.

Wenn AntiVir was findet, soll ich die betreffende Datei dann sofort löschen?

LG

Zitat:

Wenn AntiVir was findet, soll ich die betreffende Datei dann sofort löschen?

Ab in die Quarantäne damit.

Alles klaro, wird gemacht

Ich habe AntiVir im abgsichertem Modus durchlaufen lassen.

Wie sieht der nächste Schritt aus?
:
Edit: Lasse AntiVir gerade im "normalen" Modus durchlaufen. Es wurden mehrere Sachen im Verzeichnis " System Volume Information" gefunden

Hier mal die AntiVir Logs. Vll helfen die ja...

Abgesicherter Modus:

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 17. Juli 2008 11:37

Es wird nach 1462410 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: Philipp
Computername: HOME

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 16:50:34
ANTIVIR2.VDF : 7.0.5.119 1264128 Bytes 15.07.2008 16:06:06
ANTIVIR3.VDF : 7.0.5.130 121856 Bytes 17.07.2008 09:22:54
Engineversion : 8.1.1.9
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.54 303482 Bytes 17.07.2008 09:23:01
AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 16:05:41
AERDL.DLL : 8.1.0.20 418165 Bytes 31.05.2008 21:13:14
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 16:05:39
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 21.06.2008 16:39:49
AEHEUR.DLL : 8.1.0.42 1339766 Bytes 17.07.2008 09:23:00
AEHELP.DLL : 8.1.0.15 115063 Bytes 31.05.2008 21:13:09
AEGEN.DLL : 8.1.0.29 307573 Bytes 21.06.2008 16:39:46
AEEMU.DLL : 8.1.0.6 430451 Bytes 31.05.2008 21:13:07
AECORE.DLL : 8.1.1.6 172405 Bytes 17.07.2008 09:22:56
AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 09:22:55
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 17. Juli 2008 11:37

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '12' Prozesse mit '12' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '38' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Philipp\Desktop\CryptLoad_1.1.3\router\FRITZ!Box\nc.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ad146e.qua' verschoben!
C:\WINDOWS\system32\IEDFix.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRC.Chazz.42
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c31c3a.qua' verschoben!
Beginne mit der Suche in 'E:\' <Philipp>
E:\Eigene Dateien\Downloads\CryptLoad_1.1.3.rar
[0] Archivtyp: RAR
--> CryptLoad_1.1.3\router\FRITZ!Box\nc.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
[WARNUNG] Die Datei wurde ignoriert.
E:\Eigene Dateien\Downloads\hms2.zip
[0] Archivtyp: ZIP
--> hms.zip
[1] Archivtyp: ZIP
--> winrar.3.70.final. generic -patch.exe
[FUND] Ist das Trojanische Pferd TR/Agent.212992.B
--> keygen.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.aac.4
[WARNUNG] Die Datei wurde ignoriert.
E:\Programme\QIP\SmitfraudFix\404Fix.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRC.Chazz.41
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48b32fc5.qua' verschoben!
E:\Programme\QIP\SmitfraudFix\IEDFix.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRC.Chazz.42
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c32fe0.qua' verschoben!
E:\Programme\QIP\SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e13006.qua' verschoben!
E:\Programme\QIP\SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f23008.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 17. Juli 2008 13:43
Benötigte Zeit: 2:05:45 min

Der Suchlauf wurde vollständig durchgeführt.

4267 Verzeichnisse wurden überprüft
279477 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
279468 Dateien ohne Befall
5079 Archive wurden durchsucht
7 Warnungen
6 Hinweise

Danach im "normalen" Modus

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 17. Juli 2008 13:48

Es wird nach 1462410 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: HOME

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 16:50:34
ANTIVIR2.VDF : 7.0.5.119 1264128 Bytes 15.07.2008 16:06:06
ANTIVIR3.VDF : 7.0.5.130 121856 Bytes 17.07.2008 09:22:54
Engineversion : 8.1.1.9
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.54 303482 Bytes 17.07.2008 09:23:01
AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 16:05:41
AERDL.DLL : 8.1.0.20 418165 Bytes 31.05.2008 21:13:14
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 16:05:39
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 21.06.2008 16:39:49
AEHEUR.DLL : 8.1.0.42 1339766 Bytes 17.07.2008 09:23:00
AEHELP.DLL : 8.1.0.15 115063 Bytes 31.05.2008 21:13:09
AEGEN.DLL : 8.1.0.29 307573 Bytes 21.06.2008 16:39:46
AEEMU.DLL : 8.1.0.6 430451 Bytes 31.05.2008 21:13:07
AECORE.DLL : 8.1.1.6 172405 Bytes 17.07.2008 09:22:56
AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 09:22:55
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 17. Juli 2008 13:48

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '36396' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ScannerFinder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WG111v3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'napster.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSMMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '38' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '36' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{75DBDA65-8994-4758-AE69-557AD43868EA}\RP74\A0010888.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRC.Chazz.41
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48af3411.qua' verschoben!
C:\System Volume Information\_restore{75DBDA65-8994-4758-AE69-557AD43868EA}\RP74\A0010894.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRC.Chazz.42
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48af3418.qua' verschoben!
C:\System Volume Information\_restore{75DBDA65-8994-4758-AE69-557AD43868EA}\RP74\A0010897.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48af341b.qua' verschoben!
C:\System Volume Information\_restore{75DBDA65-8994-4758-AE69-557AD43868EA}\RP74\A0010898.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48af341d.qua' verschoben!
C:\System Volume Information\_restore{75DBDA65-8994-4758-AE69-557AD43868EA}\RP78\A0011169.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRC.Chazz.41
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48af3425.qua' verschoben!
C:\System Volume Information\_restore{75DBDA65-8994-4758-AE69-557AD43868EA}\RP78\A0011203.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48af342c.qua' verschoben!
C:\System Volume Information\_restore{75DBDA65-8994-4758-AE69-557AD43868EA}\RP78\A0011204.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRC.Chazz.42
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48af342f.qua' verschoben!
Beginne mit der Suche in 'E:\' <Philipp>
E:\Eigene Dateien\Downloads\CryptLoad_1.1.3.rar
[0] Archivtyp: RAR
--> CryptLoad_1.1.3\router\FRITZ!Box\nc.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
[HINWEIS] Die Datei wurde gelöscht.
E:\Eigene Dateien\Downloads\hms2.zip
[0] Archivtyp: ZIP
--> hms.zip
[1] Archivtyp: ZIP
--> winrar.3.70.final. generic -patch.exe
[FUND] Ist das Trojanische Pferd TR/Agent.212992.B
--> keygen.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.aac.4
[HINWEIS] Die Datei wurde gelöscht.
E:\System Volume Information\_restore{75DBDA65-8994-4758-AE69-557AD43868EA}\RP78\A0011205.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRC.Chazz.41
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48af37b5.qua' verschoben!
E:\System Volume Information\_restore{75DBDA65-8994-4758-AE69-557AD43868EA}\RP78\A0011206.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRC.Chazz.42
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48af37b8.qua' verschoben!
E:\System Volume Information\_restore{75DBDA65-8994-4758-AE69-557AD43868EA}\RP78\A0011207.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48af37ba.qua' verschoben!
E:\System Volume Information\_restore{75DBDA65-8994-4758-AE69-557AD43868EA}\RP78\A0011208.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48af37bc.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 17. Juli 2008 14:14
Benötigte Zeit: 25:22 min

Der Suchlauf wurde vollständig durchgeführt.

4646 Verzeichnisse wurden überprüft
291155 Dateien wurden geprüft
14 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
11 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
291141 Dateien ohne Befall
5099 Archive wurden durchsucht
6 Warnungen
13 Hinweise
36396 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Du hast versucht dir Halo 2 zu saugen oder? Sehr dumme Idee!

Ich an deiner Stelle würde den rechner neuaufsetzten aber augenscheinlich ist er erstmal wieder sauber.
Lösche alle gesaugten Dateien und Archive! Die sind praktisch alleverseucht!

Öhm nee. Wollte ich nicht. Zumindest nicht bewusst

Alle Dateien sind verseucht?

Du solltest alle Dateien löschen die du über P2P Netzwerke wie Torrent, IRC, Bearshare, e-Mule usw. gesogen hast.

Ebenfalls alle die du aus nicht vertrauenswürdigen Zonen wie unsignierte Websiten oder rapidshare gesaugt hast.

Zitat:

C:\WINDOWS\system32\IEDFix.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRC.Chazz.42

Eine Frage, die Datei gehört doch zu SmitfraudFix, hab ich Recht?

P2P Netzwerke nutze ich nicht. Rapidshare schon...

Hm also wenn ich dich richtig verstanden habe, dann sollte ich die Festplatte formatieren, oder? Beide Partitionen?

Vielen Danke für deine Hilfe

und woher kommen dann solche Dateien?

Zitat:

E:\Eigene Dateien\Downloads\hms2.zip

Willst du nicht verstehen worauf ich hinaus möchte oder tust du es wirklich nicht?

Du sollst alle Dateien löschen die nicht aus 100% vertrauenswürdiger Quelle stammen!

Dann musst du nicht zwingend formatieren. Besser wäre es aber in jedem Falls.

http://www.trojaner-board.de/51262-a...sicherung.html

Die Datei stammt von Rapidshare. Die hatte ich aber noch gar nicht geöffnet und als AntiVir darauf ansprang, habe ich sie auch gelöscht.

Doch ich weiß was du meinst. Ich dachte nur, dass ne Formatierung gründlicher ist und man somit nichts übersehen kann.

Zitat:

Ich dachte nur, dass ne Formatierung gründlicher ist und man somit nichts übersehen kann.

Das ist absolut richtig und vernünftig! Wenn du damit keine Probleme hast würde ich das auf jeden Fall machen.

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!