Virus, Trojaner o.Ä., bitte um Hilfe.

colinzeal · 16.08.2008, 01:02

Hallo zusammen,

es wäre sehr nett, wenn mir jemand von Euch ein paar Tipps geben könnte.
Nachdem ich schon desöfteren Probleme mit Spyware auf meinem Labtop (mit Windows XP) hatte, die aber nie ganz lösen konnte bis irgendwann gar nichts mehr ging habe ich vor 2/3 Wochen eine neue Festplatte bekommen. Es lief dann erstmal alles wieder ok, bis ich vorhin eine Meldung von AntiVir bekam, dass etwas gefunden wurde. In Panik löschte ich die Datei sofort und lies CCleaner alles reinigen. Deswegen kann ich mich leider nicht mehr erinnern, was genau gefunden wurde.
Da die Reparatur extrem teuer war und ich Angst davor habe, dass dieser nervenaufreibende Stress jetzt wieder losgeht und ich auch finde, das alles wieder etwas langsamer läuft, obwohl die komplette Systemprüfung mit AntiVir nichts findet, wäre es sehr nett, wenn jemand von euch mal kurz schauen könnte.
Vielen Dank schonmal dafür!

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:47:51, on 16.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\QuickPlay\QPService.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://hp.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 5371 bytes

undoreal · 16.08.2008, 07:53

Halli hallo colinzeal

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update der Viren-Signaturen deines Anti-Viren Programmes.
.
Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
Windows Update -> Der Frischmacher.
.
Vernünftige Ordneransicht -> Einstellungen.
.
Abschalten unnötiger Dienste:
XP_ dingens.org
Vista_ TechNET
.
Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
XP_ Firewall
Vista_ Firewall
.
Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

Häufig gestellte Fragen: XP | Vista

Zitat:

Nachdem ich schon desöfteren Probleme mit Spyware auf meinem Labtop (mit Windows XP) hatte, die aber nie ganz lösen konnte bis irgendwann gar nichts mehr ging habe ich vor 2/3 Wochen eine neue Festplatte bekommen.

Hättest mal gleich zu uns kommen sollen...

Installiere dir halt nicht so viel Müll! Dann hast du die Probleme auch nicht.

AntiVir erstellt log Dateien (Berichte) über alle Funde. Poste uns diesen bitte!

colinzeal · 16.08.2008, 13:27

Danke für die rasche Antwort!

Ich habe jetzt alles gemacht. Ist das vorher gepostete Logfile denn soweit ok?

Hier ist der Bericht über den Fund gestern von AntiVir:

Code:

ATTFilter

In der Datei 'C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0y9i45r0.default\Cache\9C7CAB69d01'
wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.
Ausgeführte Aktion: Datei löschen

Ansonsten scheint da nichts auffälliges dabei, außer, dass irgendwann einmal irgendein Update wohl nicht geklappt hat.

Was nun?

undoreal · 17.08.2008, 16:53

Die logs sind O.k. und auch der AntiVir Bericht sieht nicht zu Besorgnis erregend aus.

Konfiguriere AntiVir aggressiv und führe einen Vollscan durch. Poste das log.

colinzeal · 17.08.2008, 22:57

Ich habe das jetzt unter den aggresiven Einstellungen gescannt. Soll ich die Einstellungen bei AntiVir so lassen?
Hier der Bericht des Scans:

Code:

ATTFilter


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 17. August 2008  23:29

Es wird nach 1559120 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     PC701415791258

Versionsinformationen:
BUILD.DAT     : 8.1.00.295      16479 Bytes  09.04.2008 16:22:00
AVSCAN.EXE    : 8.1.2.12       311553 Bytes  18.03.2008 09:02:52
AVSCAN.DLL    : 8.1.1.0         57601 Bytes  30.01.2008 15:10:50
LUKE.DLL      : 8.1.2.9        151809 Bytes  28.02.2008 08:41:20
LUKERES.DLL   : 8.1.2.0         12545 Bytes  19.02.2008 08:39:40
ANTIVIR0.VDF  : 6.40.0.0     11030528 Bytes  18.07.2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1       8182784 Bytes  24.06.2008 17:36:00
ANTIVIR2.VDF  : 7.0.6.10      2587136 Bytes  14.08.2008 12:50:39
ANTIVIR3.VDF  : 7.0.6.24       103424 Bytes  16.08.2008 12:26:46
Engineversion : 8.1.1.19  
AEVDF.DLL     : 8.1.0.5        102772 Bytes  25.02.2008 09:58:21
AESCRIPT.DLL  : 8.1.0.63       311673 Bytes  07.08.2008 15:01:15
AESCN.DLL     : 8.1.0.23       119156 Bytes  28.07.2008 17:36:10
AERDL.DLL     : 8.1.0.20       418165 Bytes  28.07.2008 17:36:10
AEPACK.DLL    : 8.1.2.1        364917 Bytes  28.07.2008 17:36:09
AEOFFICE.DLL  : 8.1.0.21       192891 Bytes  28.07.2008 17:36:09
AEHEUR.DLL    : 8.1.0.47      1368437 Bytes  07.08.2008 15:01:15
AEHELP.DLL    : 8.1.0.15       115063 Bytes  28.07.2008 17:36:07
AEGEN.DLL     : 8.1.0.35       315764 Bytes  07.08.2008 15:01:14
AEEMU.DLL     : 8.1.0.7        430452 Bytes  03.08.2008 13:33:12
AECORE.DLL    : 8.1.1.8        172406 Bytes  03.08.2008 13:33:12
AEBB.DLL      : 8.1.0.1         53617 Bytes  28.07.2008 17:36:05
AVWINLL.DLL   : 1.0.0.7         14593 Bytes  23.01.2008 17:05:55
AVPREF.DLL    : 8.0.0.1         25857 Bytes  18.02.2008 10:29:37
AVREP.DLL     : 8.0.0.2         98344 Bytes  03.08.2008 13:33:11
AVREG.DLL     : 8.0.0.0         30977 Bytes  23.01.2008 17:05:52
AVARKT.DLL    : 1.0.0.23       307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.11       114945 Bytes  28.02.2008 08:31:27
SQLITE3.DLL   : 3.3.17.1       339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.19        28929 Bytes  23.01.2008 17:06:34
NETNT.DLL     : 8.0.0.1          7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.35      2371841 Bytes  10.03.2008 14:34:46
RCTEXT.DLL    : 8.0.32.0        86273 Bytes  06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, 
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 17. August 2008  23:29

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HpqToaster.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqimzone.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VeohClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HP Wireless Assistant.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eabservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '38' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
      [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
      [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '33' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <HP_RECOVERY>


Ende des Suchlaufs: Sonntag, 17. August 2008  23:45
Benötigte Zeit: 15:47 min

Der Suchlauf wurde vollständig durchgeführt.

   4246 Verzeichnisse wurden überprüft
 211551 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 211551 Dateien ohne Befall
   6771 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise

undoreal · 18.08.2008, 08:11

Zitat:

Soll ich die Einstellungen bei AntiVir so lassen?

Das musst du selber wissen. Es kommt relativ schnell zu falschen Alarmen aber wenn du in der Lage bist die zu erkennen dann solltest du die Einstellungen so belassen.

colinzeal · 18.08.2008, 16:52

Zitat:

Zitat von undoreal

Das musst du selber wissen. Es kommt relativ schnell zu falschen Alarmen aber wenn du in der Lage bist die zu erkennen dann solltest du die Einstellungen so belassen.

OK. Aber ist denn dann jetzt was drauf auf meinem PC oder ist das Thema dann jetzt durch? Ich habe ja nach wie vor das Gefühl, dass seit dem Fund alles etwas langsamer geworden ist.

undoreal · 18.08.2008, 17:09

Dann mache noch Scans mit Anti-Malware und SuperAntiSpyware..

17.08.2008, 16:53	#4
undoreal /// AVZ-Toolkit Guru	Virus, Trojaner o.Ä., bitte um Hilfe. Die logs sind O.k. und auch der AntiVir Bericht sieht nicht zu Besorgnis erregend aus. Konfiguriere AntiVir aggressiv und führe einen Vollscan durch. Poste das log. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

18.08.2008, 17:09	#8
undoreal /// AVZ-Toolkit Guru	Virus, Trojaner o.Ä., bitte um Hilfe. Dann mache noch Scans mit Anti-Malware und SuperAntiSpyware.. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

Virus, Trojaner o.Ä., bitte um Hilfe.

Log-Analyse und Auswertung: Virus, Trojaner o.Ä., bitte um Hilfe.