Moin,
ich hatte vor einigen tagen den Verdacht (mein PC wurde Langsamer), dass ich mir nen Virus eingefangen habe und habe daraufhin Panda u. Kasperski onlinescan und antivir drüber laufen lassen. Es wurden auch ein paar Sachen gefunden und gelöscht.
Ich bin aber noch nicht überzeugt, dass ich alles los bin. Deshalb wäre es klasse, wenn jemand über meinen Log gucken könnte um eventuell durchgeschlüpfte Sachen zu finden.

Was schon gelöscht wurde kann ich leider nicht mehr reproduzieren.


Vielen Dank schon mal im Voraus.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:51:38, on 14.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\X-Micro WLAN 11g USB Adapter\ZDWlan.exe
C:\Dokumente und Einstellungen\***\Desktop\FirefoxPortable\App\firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\antivirus-Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://update.zonelabs.com/downloadrequest?updtConfId=1527&updtReqId=1460566472
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: winhost_app.winhost_appdll - {5E06398E-3017-467B-A399-18425A20F655} - C:\WINDOWS\winhost_app.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: FCBHOBHO Class - {8B3868B4-EBA8-48FA-A19B-E1DFB99066FA} - d:\Programme\FlashCapture\fcbho.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Verknüpfung mit aas.exe.lnk = D:\xampp\aas.exe
O4 - Global Startup: X-Micro WLAN 11g USB Adapter.lnk = C:\Programme\X-Micro WLAN 11g USB Adapter\ZDWlan.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save F&lash with FlashCapture - res://d:\Programme\FlashCapture\fciext.dll/FCIEXT.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202065246670
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - D:\xampplite\apache\bin\apache.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6431 bytes
         

Ich kann meinen Beitrag leider nicht editieren, falls ein Mod so nett wäre.


Mittlerweile habe ich noch mbam durchlaufen lassen und der hat noch einen Trojaner entdeckt und auch gleich beseitigt.
Das war aber das eizige.

Code: Alles auswählenAufklappen

ATTFilter

Infizierte Dateien: 1

D:\alte Festplatte\c\Dokumente und Einstellungen\[...]\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
         

Hi,
wenn du einmal mit Malware befallen bist, wirst du diese durch Bereinigung nie 100% los, das soll dir schonmal klar sein.

Zitat:

D:\alte Festplatte\c\Dokumente und Einstellungen\[...]\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

Das hier sieht mir nach einem Backup von dir aus.

Formatiere deinen Rechner erneut, diesmal richtig.

mfg

Das stimmt, es ist eine art backup. Ich habe aber so viele Daten, dass es schwer wird, diese extern zwischen zu speichern während dem vollständigen Formatieren.

Würde es reichen alle .exe und .dll Dateien in diesen "backups" zu löschen?

Wenn es dir ausreicht, kannst du das machen.
Allerdings würde ich es nicht empfehlen, und beim nächsten Backup ein Image des sauberen Systems erstellen (mit z.B. Acronis True Image) oder nur Bilder/Musik/Textdokumente via Live-CD wie Knoppix, BartPE, etc. auf eine ext. Platte/USB-Stick ziehen.

mfg

Danke überhaupt erstmal für deine Antwort.

Mit dem ausreichen ist das so ne Sache. Ich hätte natürlich schon gerne nen "malware-freies" System, würde aber nur ungerne meine D: Platte formatieren weil da halt echt viele Daten drauf liegen die ich brauche. Und weil es so viel ist, ist es eben auch nicht so einfach die mal eben auf ne externe Festplatte zu ziehen.
Wenn es aber nötig bzw. unumgänglich ist, muss ich mir halt noch de große Festplatte (ich weiß nichtmal ob 320gb reichen ^^) Kaufen für das Backup bzw. die dann gleich ganz einbauen und die Daten dann auf die neue spielen.

Die Frage ist jetzt halt, inwiefern das "wirklich nötig" ist.

Dazu müsste man wissen, welche Art von Schädlingen auf deinem Rechner waren/sind.
Dazu wäre es gut, wenn du alte Report-Dateien, etc. posten würdest.

mfg

Ok, dann begebe ich mich mal auf die suche.
Werde sie dann morgen gleich Posten.

g8 ^^

So, das sind jetzt alle die antivir jemals gefunden hat.
(Aber halt auch alle, die frühzeitig erkannt wurden, die kann ich leider nicht auseinander halten.)

TR/Dldr.Swizzor.Gen
TR/Click.Agen.36864
W95/Blumblebee.1738
HEUR/HTML.Malware
WORM/Autorun.cxl
Windows-Virus W95/CIH
Joker-Relokator-Virus
WORM/Autorun.cxl
HEUR/Malware
Windows-Virus W95/CIH
TR/Crypt.ULPM.Gen
TR/Vaklik.cdd
TR/Spy.Agent.BCP
TR/Agent.240128.B
HEUR/Crypted
TR/Agent.57344.O
TR/Crypt.XPACK.Gen
TR/ATRAPS.Gen

Wow, sind ne ganze menge geworden über die Zeit. Aber ich kann wie gesagt nicht erkennen, ob die sich schon ausgebreitet hatten oder noch im Keim erstickt wurden.

Zitat:

Windows-Virus W95/CIH

Bist wohl ein kleiner Virenhorter, was?

Das lustige ist: ich hatte nie ein System mit Win 95. Mein erster PC hatte schon 98 drauf. ^^

Wie sieht das denn jetzt aus? Gibts da was dabei, was möglicherweise noch sein unwesen treibt bzw. was kann ich machen um noch eventuell unentdecktes zu finden?
Oder ist das ein Anlass zu Formatieren?

Zitat:

Das lustige ist: ich hatte nie ein System mit Win 95. Mein erster PC hatte schon 98 drauf. ^^

Das hat nichts damit zu tun, welches OS du hast.
Den CIH-Virus kannst du auch horten, wenn du kein Win95/98 hast.
Da er auf allen NT-Versionen keinen Schaden anrichtet, kannst du diesbezüglich beruhigt sein, aber ich gehe davon aus, die .exe ist absichtlich oben.

Natürlich wäre Neuaufsetzen die sicherste Variante, nicht nur wegen der nicht definierbaren Schädlingen, sondern auch wegen eines Autorun-Wurms.

mfg

Sry for Doppelpost. *schäm*

Was wiederholst du dich?

Edit:
Wenn du dir eine kleine Virensammlung anlegst und diese auch noch ausführst musst du mit deinem Problem selber fertig werden.
So nach dem Motto: Wer dem Andren eine Grube gräbt, fällt selbst hinein.

Sry, aber ich versteh dich nicht ganz. (Vielleicht liegts auch an der Uhrzeit, ka.)

Was für eine exe ist wo oben? Meinst du die, auf die du mich vor ein paar Posts hingewiesen hast?

Und in wieweit kann ich meinen PC auch ohne komplettes überbügeln wieder sicher bekommen?