Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Befall mit Antivirus XP 2008 und UPS-Virus

Befall mit Antivirus XP 2008 und UPS-Virus


Plagegeister aller Art und deren Bekämpfung: Befall mit Antivirus XP 2008 und UPS-Virus

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 5 1 23 Letzte »
Alt 29.08.2008, 18:43   #1
Ulla
Gast
 
Befall mit Antivirus XP 2008 und UPS-Virus - Standard

Befall mit Antivirus XP 2008 und UPS-Virus


Hallo liebe Helfer,
erst einmal herzlichen Dank für dieses wundervolle Forum, wo sich auch ungeübte Benutzer wohl fühlen können.

Mein Problem sind UPS-Virus (ich wartete dringend auf ein Paket) und Antivirus XP 2008 (an diesem Tag suchte ich nur eine Telefonnummer). Ich hatte einen Bildschirmschoner, der einen Windows-Absturz simulierte, diverse Fenster mit Warnhinweisen, lästige Fenster mit Kaufofferten. Eine Systemwiederherstellung klappte ebenso nicht wie Löschungen im abgesicherten Modus (nach Selbsthilfeanleitungen aus dem Internet).

Auf meinem PC läuft Windows XP SP2, Internet Explorer 6.0, AntiVir für KEN als Lizenz. AntiVir konnte mir nicht helfen aber zunächst scheinbar Ad-Aware Se personal und Spybot Search & Destroy. Beim nächsten Scan war jedoch vieles wieder da.

In Ihrem Forum las ich von Malwarebytes' Anti-Malware. Ich habe es zweimal laufen lassen, anschließend HijackThis. Könnten Sie sich bitte die beigefügten drei Logfiles ansehen, ob bei mir jetzt alles in Ordnung ist? Danke schon einmal im voraus.

Herzliche Grüße
Ulla

PS: Ich versuche, die Logfiles als Code einzufügen, in der Vorschau schaut es nicht so aus, als habe ich es richtig gemacht?



Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1089
Windows 5.1.2600 Service Pack 2

19:55:33 27.08.2008
mbam-log-08-27-2008 (19-55-33).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 80916
Laufzeit: 26 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 50
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 5
Infizierte Dateien: 13

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\suzkaco.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\blphcgsgj0eg4c.scr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\suzkaco (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ratoolbar.ietoolbar (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ratoolbar.ietoolbar.1 (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ratoolbar.ratoolbar (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ratoolbar.ratoolbar.3 (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\tbsb00001.tbsb00001 (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\tbsb00001.tbsb00001.3 (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{09fc30bb-8163-4211-9ad5-e394bb821dd4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0abf2ab4-f61f-4034-9120-d8b81a61a476} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0b15a970-3600-484c-ad29-da866e7b14fd} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0ce76896-b612-465d-a5b8-a07dc1f2f596} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{119ddd5b-7b88-41d5-9156-ce69030afe61} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1882370d-c294-4607-9ecf-2c3f0bc3fd23} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{25b18194-40d4-4640-86e2-548caeda81be} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{337740e2-8d2c-49e9-b93e-9cb52e65bd87} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{36e4149a-0923-4735-895b-1c02c410a00d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6ac7595f-094e-47f6-8578-39f105349fe6} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7a8236e2-565e-44fd-9f81-9c8686365613} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8a077461-06f2-4a9f-940e-9428ea8accbe} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{94d2ffc4-186e-4061-864e-41502c792bf0} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9c3cf303-9d50-476d-bcc3-13e664e73a2c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a6d1f76e-ba02-4e05-9835-567a555e5312} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a72cddcc-8026-489a-b6e2-11639f15760b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ae0e943e-37ba-405d-a2c7-1db44d3b9707} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b42989c4-38cc-425b-95ee-26c3b34e113a} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b511a4e5-82dc-40bb-ac16-c7af39e50b11} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{be383095-ee2d-4202-8314-02d7801bc1c2} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c8ebda8c-2aad-4695-921c-d4c388199cce} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d631e193-5223-4079-adea-1f72b2a8cc3e} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{eac65987-4ff5-46da-9168-fb9667153b84} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ebd5ffc6-b42a-4eb0-a72d-0ee23d3aeb65} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{18d4ca2d-e313-49c5-8b15-65ded4540663} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7e9746a6-fcd9-468c-8e65-84fb7571703e} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xbtb03004.ietoolbar (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xbtb03004.ietoolbar.1 (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xbtb03004.xbtb03004 (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xbtb03004.xbtb03004.3 (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{00bbc39a-b87b-4d5b-82fd-15bfb89be9a0} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{055cd4ae-97b0-40c3-ba50-ba24084b43de} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{165cc0ae-37b0-49c3-bacf-bad4080b432d} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9ebb289a-2d7b-465b-825f-1530b813e95a} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{cd5c92ae-97b0-4bc3-ba65-ba0308d543bf} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f5bb069a-a87b-485b-82da-155ab8d7e94b} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcgsgj0eg4c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhclsgj0eg4c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\suzkaco.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\blphcgsgj0eg4c.scr (Trojan.FakeAlert) -> Delete on reboot.
C:\Programme\RA-MICRO\RAToolbar\tbhelper.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcgsgj0eg4c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcgsgj0eg4c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pphcgsgj0eg4c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttC.tmp.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt7.tmp (Trojan.Downloader) -> Delete on reboot.
C:\WINDOWS\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.


Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1089
Windows 5.1.2600 Service Pack 2

15:03:46 29.08.2008
mbam-log-08-29-2008 (15-03-46).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 81168
Laufzeit: 25 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:01:16, on 29.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\TeaTimer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\Nero\Nero 7\Core\nero.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.22.220:3128/ken.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.22.220:3128;https=192.168.22.220:3128;ftp=192.168.22.220:3128;socks=192.168.22.220:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: XBTB03004 - {C543F87B-D228-466C-8432-A6F7D1C44565} - C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll
O2 - BHO: RAToolbar - {EF8E1F96-FF80-4E85-AD4F-0F19166E21DB} - C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04e\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://192.168.22.220:3128/ken.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209107514531
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer = 192.168.22.220,192.168.22.1
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe
O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: SageDB 5.0 - Unknown owner - C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 8224 bytes
Alt 29.08.2008, 18:52   #2
trojan-death
 
Befall mit Antivirus XP 2008 und UPS-Virus - Standard

Befall mit Antivirus XP 2008 und UPS-Virus


Hi und


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
  • Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 1)
  • Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Bitte lass mal noch Blacklight laufen.

Weiter Anweisungen folgen
__________________

__________________
Geändert von trojan-death (29.08.2008 um 19:01 Uhr)

Alt 29.08.2008, 20:11   #3
Ulla
Gast
 
Befall mit Antivirus XP 2008 und UPS-Virus - Standard

Befall mit Antivirus XP 2008 und UPS-Virus


Hallo Trojan,
so schnelle Hilfe habe ich nicht erwartet, danke.
Ich habe SmitfraudFix und Blacklight laufen lassen. Bei Blacklight steht: scan complete, no hidden items found.

Hier ist das Logfile von SmitfraudFix. Ich komme aber erst am 30.08. vormittags dazu, wieder ins Forum zu sehen.

Bis dahin herzlich Grüße
Ulla

PS: Ich habe schon mehrere Versionen durch, um die Logfiles im Code zu schicken. Was mache ich falsch?



SmitFraudFix v2.342

Scan done at 20:08:45,79, 29.08.2008
Run from C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Temp\Downloads Virenschutz\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer=192.168.22.220,192.168.22.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer=192.168.22.220,192.168.22.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer=192.168.22.220,192.168.22.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
__________________
Alt 29.08.2008, 20:14   #4
trojan-death
 
Befall mit Antivirus XP 2008 und UPS-Virus - Standard

Befall mit Antivirus XP 2008 und UPS-Virus


Ok gut.
Erstelle noch ein Log mit RunScanner
__________________
Kein Support per PN

Zitat:
"If it ain't broke, don't fix it"
"Never change a running System"

Alt 30.08.2008, 12:24   #5
Ulla
Gast
 
Befall mit Antivirus XP 2008 und UPS-Virus - Standard

Befall mit Antivirus XP 2008 und UPS-Virus


Hallo Trojan,

besten Dank für die weitere Hilfe. Hier ist das Logfile von Runscanner. Ich kann erst am Montag wieder ins Forum - jedenfalls von diesem PC aus. Bis dahin ein schönes Wochenende.

Ulla

[CODERunscanner logfile http://www.runscanner.net

* = signed file
- = file not found

General info
------------
Computer name : PC002
Creation time : 30.08.2008 12:53:30
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 6.0.2900.2180
OS : Microsoft Windows XP
OS Build : 2600
OS SP : Service Pack 2
RunScanner Version : 1.7.0.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\WINDOWS

Running processes
-----------------
* C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (Lavasoft)
* C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe (Adobe Systems Incorporated)
C:\Programme\AntiVir fuer KEN!\avguard.exe (Avira GmbH)
C:\Programme\AntiVir fuer KEN!\sched.exe (Avira GmbH)
C:\Programme\AntiVir fuer KEN!\avgnt.exe (Avira GmbH)
* C:\WINDOWS\system32\services.exe (Microsoft Corporation)
* C:\WINDOWS\System32\alg.exe (Microsoft Corporation)
C:\WINDOWS\system32\Brmfrmps.exe (Brother Industries, Ltd.)
* C:\WINDOWS\system32\csrss.exe (Microsoft Corporation)
* C:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe (Hewlett-Packard Development Company, L.P.)
* C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe (Hewlett-Packard Development Company, L.P.)
* C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Development Company, L.P.)
C:\WINDOWS\htpatch.exe
* C:\Programme\Nero\Nero 7\InCD\InCD.exe (Nero AG)
* C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe (Nero AG)
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe (Inprise Corporation)
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE (Inprise Corporation)
C:\Programme\FRITZ!\IWatch.exe (AVM Berlin)
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe (Sun Microsystems, Inc.)
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe (Sun Microsystems, Inc.)
C:\Programme\KEN!\KENCLI.EXE (AVM Berlin)
C:\Programme\KEN!\kentbcli.exe (AVM Berlin)
* C:\WINDOWS\system32\lsass.exe (Microsoft Corporation)
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe
* C:\Programme\Nero\Nero 7\InCD\NBHGui.exe (Nero AG)
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe (ScanSoft, Inc.)
* C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
* C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Temp\Downloads Virenschutz\RunScanner.exe (Runscanner.net)
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)
* C:\WINDOWS\system32\spoolsv.exe (Microsoft Corporation)
* C:\Programme\TeaTimer.exe (Safer Networking Limited)
* C:\WINDOWS\Explorer.EXE (Microsoft Corporation)
* C:\Programme\Messenger\msmsgs.exe (Microsoft Corporation)
* C:\WINDOWS\system32\winlogon.exe (Microsoft Corporation)
* c:\windows\System32\smss.exe (Microsoft Corporation)
C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, Inc.)

Unrated items
-------------
002 C:\Programme\AntiVir fuer KEN!\avgnt.exe (Avira GmbH)
002 C:\Programme\Brother\ControlCenter2\brctrcen.exe (Brother Industries, Ltd.)
002 C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe (ABBYY (BIT Software))
002 C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe (Hewlett-Packard Development Company, L.P.)
002 C:\WINDOWS\htpatch.exe
002 C:\Programme\ScanSoft\PaperPort\IndexSearch.exe (ScanSoft, Inc.)
002 C:\Programme\KEN!\kentbcli.exe (AVM Berlin)
002 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe (ScanSoft, Inc.)
002 C:\Programme\Brother\Brmfl04e\BrStDvPt.exe (Brother Industories, Ltd.)
002 C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Scansoft, Inc.)
002 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe (Sun Microsystems, Inc.)
002 * C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
005 * C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Development Company, L.P.)
005 C:\Programme\FRITZ!\IWatch.exe (AVM Berlin)
005 C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, Inc.)
010 C:\Programme\AntiVir fuer KEN!\avguard.exe (AntiVir für KEN! Guard)
010 C:\Programme\AntiVir fuer KEN!\sched.exe (AntiVir für KEN! Planer)
010 C:\Programme\KEN!\KENCLI.EXE (AVM KEN Klient)
010 C:\WINDOWS\system32\Brmfrmps.exe (Brother Popup Suspend service for Resource manager)
010 C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE (InterBaseGuardian)
010 C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe (InterBaseServer)
010 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Machine Debug Manager)
010 C:\Programme\Symantec\pcAnywhere\awhost32.exe (pcAnywhere Host-Modul)
010 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (SoundMAX Agent Service)
011 C:\WINDOWS\system32\drivers\sisperf.sys (Add Performance Filter Driver)
011 * C:\Programme\AntiVir fuer KEN!\avgio.sys (avgio)
011 * C:\Programme\AntiVir fuer KEN!\avgntflt.sys (avgntflt)
011 * C:\WINDOWS\system32\DRIVERS\avipbb.sys (avipbb)
011 c:\windows\System32\drivers\avmport.sys (AVMPORT)
011 C:\WINDOWS\system32\drivers\aw_host5.sys (AW_HOST)
011 c:\windows\System32\Drivers\awlegacy.sys (awlegacy)
011 C:\WINDOWS\system32\drivers\Gernuwa.sys (Gernuwa)
011 C:\WINDOWS\System32\Drivers\PxHelp20.sys (PxHelp20)
011 C:\WINDOWS\system32\drivers\sisidex.sys (sisidex)
011 C:\WINDOWS\system32\drivers\srvkp.sys (SiSkp)
011 C:\WINDOWS\system32\drivers\SSHDRV63.sys (SSHDRV63)
011 * C:\WINDOWS\system32\DRIVERS\ssmdrv.sys (ssmdrv)
011 C:\WINDOWS\System32\Drivers\Uad72.sys (Uad72)
030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
031 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) {CD00020A-8B95-11D1-82DB-00C04FB1625D}
031 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) {0A9007C0-4076-11D3-8789-0000F8105754}
035 C:\WINDOWS\system32\mscories.dll (Microsoft Corporation) {89B4C1CD-B018-4511-B0A1-5476DBF70820}
052 C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.) {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
052 * C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll (RA-MICRO Software GmbH) {C543F87B-D228-466C-8432-A6F7D1C44565}
052 * C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll (RA-MICRO Software GmbH) {EF8E1F96-FF80-4E85-AD4F-0F19166E21DB}
061 C:\Programme\Microsoft Office\Access 97\soa800.dll (Microsoft Corporation) {BB7DF450-F119-11CD-8465-00AA00425D90}
061 C:\Programme\Sonic\RecordNow! Deluxe\shlext.dll {DEE12703-6333-4D4E-8F34-738C4DCC2E04}
061 C:\Programme\AntiVir fuer KEN!\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
061 * C:\Programme\Real\RealPlayer\rpshell.dll (RealNetworks, Inc.) {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}
061 C:\WINDOWS\system32\dfshim.dll (Microsoft Corporation) {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}
061 C:\WINDOWS\system32\dfshim.dll (Microsoft Corporation) {e82a2d71-5b2f-43a0-97b8-81be15854de8}
061 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}
061 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79305-84BE-11CE-9641-444553540000}
061 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79306-84BE-11CE-9641-444553540000}
061 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79307-84BE-11CE-9641-444553540000}
062 C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}
067 C:\WINDOWS\system32\PCANotify.dll (Symantec Corporation)
069 C:\WINDOWS\system32\FritzColorPort.dll (AVM Berlin GmbH)
069 C:\WINDOWS\system32\FritzPort.dll (AVM Berlin GmbH)
069 C:\WINDOWS\system32\mdimon.dll (Microsoft Corporation)
069 C:\WINDOWS\system32\awmon.dll (Symantec Corporation)
069 C:\WINDOWS\system32\Primomonnt.dll
100 Default_Page_URL HKLM : http://192.168.22.220:3128/ken.html
100 ProxyServer HKCU : http=192.168.22.220:3128;https=192.168.22.220:3128;ftp=192.168.22.220:3128;socks=192.168.22.220:1080
100 Start Page HKCU : http://www.google.de/
104 C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll (Sun Microsystems, Inc.) {8AD9C840-044E-11D1-B3E9-00805F499D93}
104 GUID / CLSID not found {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
104 C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll (Sun Microsystems, Inc.) {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}
104 C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll (Sun Microsystems, Inc.) {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
105 Nach Microsoft &Excel exportieren : res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
120 NameServer {AC6A699E-A510-4E98-A740-7E4218267C53} : 192.168.22.220,192.168.22.1
153 C:\WINDOWS\system32\SYNCOR11.DLL (SoundMAX)
173 C:\Programme\AntiVir fuer KEN!\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
173 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}
221 C:\Programme\AntiVir fuer KEN!\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
221 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}
225 c:\programme\abbyy finereader 7.0 professional edition\fecmenu.dll (ABBYY (BIT Software)) {AC0DD14A-8F29-4F88-BE1D-0F0ED1B06C9F}
225 c:\programme\abbyy finereader 7.0 professional edition\fecmenu.dll (ABBYY (BIT Software)) {AC0DD14A-8F29-4F88-BE1D-0F0ED1B06C9F}
225 C:\Programme\AntiVir fuer KEN!\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
225 C:\Programme\AntiVir fuer KEN!\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
225 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}
225 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}
227 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}
231 C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) PDF Column Info

Missing files
-------------
002 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
002 C:\WINDOWS\system32\khooker.exe
010 C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe "--defaults-file=C:\Programme\Sage\SageDB 5.0\server.ini"
011 C:\WINDOWS\system32\drivers\Abiosdsk.sys
011 C:\WINDOWS\system32\drivers\abp480n5.sys
011 C:\WINDOWS\system32\drivers\adpu160m.sys
011 C:\WINDOWS\system32\drivers\Aha154x.sys
011 C:\WINDOWS\system32\drivers\aic78u2.sys
011 C:\WINDOWS\system32\drivers\aic78xx.sys
011 C:\WINDOWS\system32\drivers\AliIde.sys
011 C:\WINDOWS\system32\drivers\amsint.sys
011 C:\WINDOWS\system32\drivers\asc.sys
011 C:\WINDOWS\system32\drivers\asc3350p.sys
011 C:\WINDOWS\system32\drivers\asc3550.sys
011 C:\WINDOWS\system32\drivers\Atdisk.sys
011 C:\WINDOWS\system32\drivers\cd20xrnt.sys
011 C:\WINDOWS\system32\drivers\Changer.sys
011 C:\WINDOWS\system32\drivers\CmdIde.sys
011 C:\WINDOWS\system32\drivers\Cpqarray.sys
011 C:\WINDOWS\system32\drivers\dac2w2k.sys
011 C:\WINDOWS\system32\drivers\dac960nt.sys
011 C:\WINDOWS\system32\drivers\dpti2o.sys
011 C:\WINDOWS\system32\drivers\hpn.sys
011 C:\WINDOWS\system32\drivers\i2omgmt.sys
011 C:\WINDOWS\system32\drivers\i2omp.sys
011 C:\WINDOWS\system32\drivers\ini910u.sys
011 C:\WINDOWS\system32\drivers\IntelIde.sys
011 C:\WINDOWS\system32\drivers\lbrtfdc.sys
011 C:\WINDOWS\system32\drivers\mraid35x.sys
011 C:\WINDOWS\system32\drivers\PCIDump.sys
011 C:\WINDOWS\system32\drivers\PDCOMP.sys
011 C:\WINDOWS\system32\drivers\PDFRAME.sys
011 C:\WINDOWS\system32\drivers\PDRELI.sys
011 C:\WINDOWS\system32\drivers\PDRFRAME.sys
011 C:\WINDOWS\system32\drivers\perc2.sys
011 C:\WINDOWS\system32\drivers\perc2hib.sys
011 C:\WINDOWS\system32\drivers\ql1080.sys
011 C:\WINDOWS\system32\drivers\Ql10wnt.sys
011 C:\WINDOWS\system32\drivers\ql12160.sys
011 C:\WINDOWS\system32\drivers\ql1240.sys
011 C:\WINDOWS\system32\drivers\ql1280.sys
011 C:\WINDOWS\system32\drivers\Simbad.sys
011 C:\WINDOWS\system32\drivers\Sparrow.sys
011 C:\WINDOWS\system32\drivers\sym_hi.sys
011 C:\WINDOWS\system32\drivers\sym_u3.sys
011 C:\WINDOWS\system32\drivers\symc810.sys
011 C:\WINDOWS\system32\drivers\symc8xx.sys
011 C:\WINDOWS\System32\drivers\tcpsr.sys
011 C:\WINDOWS\system32\drivers\TosIde.sys
011 C:\WINDOWS\system32\drivers\ultra.sys
011 C:\WINDOWS\system32\drivers\ViaIde.sys
011 C:\WINDOWS\system32\drivers\WDICA.sys
061 deskpan.dll
073 C:\Programme\LOGIN\LOGINventory4\LOGINquiry.exe
073 C:\Programme\LOGIN\LOGINventory4\LOGINsert.exe
145 aw_host.sys
][/CODE]


Alt 01.09.2008, 10:11   #6
Ulla
Gast
 
Befall mit Antivirus XP 2008 und UPS-Virus - Standard

Befall mit Antivirus XP 2008 und UPS-Virus


Hallo Trojan-Death,

hörst Du mich da draußen?

Heute morgen - Hilfe, Hilfe - starte ich den PC und sehe den Bildschirmschoner mit dem simulierten Windows-Absturz und Antivirus XP 2008 zählt dazu meine angeblichen Virusbedrohungen mit 2.889.

Spybot meldet: ein wichtiger Registrierungsdatenbank-Eintrag wurde geändert:
System Startup global entry, Wert hinzugefügt, Eintrag: lphcgsgj0eg4c, neue Daten: C:\WINDOWS\system32\lphcgsgj0eg4c.exe,
den ich verweigere, ebenso bei der folgenden Meldung:
SMrhclsgj0eg4c, C:\Programme\rhclsgj0eg4c\rhclsgj0eg4.exe

Was habe ich übersehen oder falsch gemacht? Ich habe jetzt Malwarebytes durchlaufen lassen, dann noch einmal im abgesicherten Modus, danach HijackThis im Normal-Modus. Ich füge die drei Logfiles bei und wäre sehr dankbar, wenn ich weiter Hilfe bekommen könnte.

Viele Grüße

Ulla

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1089
Windows 5.1.2600 Service Pack 2

09:33:21 01.09.2008
mbam-log-09-01-2008 (09-33-05).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 82128
Laufzeit: 33 minute(s), 6 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 5
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 23
Infizierte Dateien: 16

Infizierte Speicherprozesse:
C:\Programme\rhclsgj0eg4c\rhclsgj0eg4c.exe (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\pphcgsgj0eg4c.exe (Trojan.FakeAlert) -> No action taken.

Infizierte Speichermodule:
C:\WINDOWS\system32\suzkaco.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\blphcgsgj0eg4c.scr (Trojan.FakeAlert) -> No action taken.
C:\Programme\rhclsgj0eg4c\MFC71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhclsgj0eg4c\msvcp71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhclsgj0eg4c\msvcr71.dll (Rogue.Multiple) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\suzkaco (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhclsgj0eg4c (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\rhclsgj0eg4c (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\rhclsgj0eg4c (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Packages (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhclsgj0eg4c (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhclsgj0eg4c\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhclsgj0eg4c\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Packages (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\suzkaco.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\blphcgsgj0eg4c.scr (Trojan.FakeAlert) -> No action taken.
C:\Programme\rhclsgj0eg4c\database.dat (Rogue.Multiple) -> No action taken.
C:\Programme\rhclsgj0eg4c\license.txt (Rogue.Multiple) -> No action taken.
C:\Programme\rhclsgj0eg4c\MFC71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhclsgj0eg4c\MFC71ENU.DLL (Rogue.Multiple) -> No action taken.
C:\Programme\rhclsgj0eg4c\msvcp71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhclsgj0eg4c\msvcr71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhclsgj0eg4c\rhclsgj0eg4c.exe (Rogue.Multiple) -> No action taken.
C:\Programme\rhclsgj0eg4c\rhclsgj0eg4c.exe.local (Rogue.Multiple) -> No action taken.
C:\Programme\rhclsgj0eg4c\Uninstall.exe (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\lphcgsgj0eg4c.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\phcgsgj0eg4c.bmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\pphcgsgj0eg4c.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk (Rogue.Antivirus) -> No action taken.
C:\WINDOWS\Temp\.tt4.tmp (Trojan.Downloader) -> No action taken
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1089
Windows 5.1.2600 Service Pack 2

10:22:47 01.09.2008
mbam-log-09-01-2008 (10-22-42).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 81270
Laufzeit: 42 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\suzkaco.dll (Trojan.Agent) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\suzkaco (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\suzkaco.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\blphcgsgj0eg4c.scr (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\drivers\tcpsr.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lphcgsgj0eg4c.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\.tt6.tmp (Trojan.Downloader) -> No action taken
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:44:51, on 01.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\TeaTimer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.22.220:3128/ken.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.22.220:3128;https=192.168.22.220:3128;ftp=192.168.22.220:3128;socks=192.168.22.220:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: XBTB03004 - {C543F87B-D228-466C-8432-A6F7D1C44565} - C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll
O2 - BHO: RAToolbar - {EF8E1F96-FF80-4E85-AD4F-0F19166E21DB} - C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04e\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://192.168.22.220:3128/ken.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209107514531
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer = 192.168.22.220,192.168.22.1
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe
O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: SageDB 5.0 - Unknown owner - C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 8072 bytes

Alt 01.09.2008, 14:09   #7
Ulla
Gast
 
Befall mit Antivirus XP 2008 und UPS-Virus - Standard

Befall mit Antivirus XP 2008 und UPS-Virus


Hallo Trojan-Death,

wo liegt mein Fehler? Habe ich irgendwo ein Häckchen vergessen? Soll ich Spybot deinstallieren, der eine Systemsicherung gemacht hat? Ich verstehe auch nicht, Freitag nachmittag hatte ich bei MAM nur noch 1 Eintrag, am Samstag habe ich run scanner laufen lassen, danach war der PC aus und heute morgen direkt nach dem Hochfahren war alles wieder da? Ich muss doch etwas falsch machen!

Ich habe jetzt noch einmal Spybot laufen lassen, der 17 Einträge gefunden hat. Danach noch einmal Malware bytes im abgesicherten Modus (5 Einträge). Dann noch einmal Hijack This im Normal-Modus.

Ich würde mich sehr freuen, wenn Du Zeit hättest, noch einmal die Logfiles anzusehen.

Ich kann kaum richtig arbeiten, weil im Hintergrund oft ein Virenscanner läuft und ich werde langsam nervös. Ein neues Aufsetzen des Systems dauert mit Sicherheit 1,5 Tage. Das würde ich gern vermeiden, da ich erst dazu am 13./14. September Zeit dazu hätte .

Ich werde erst morgen wieder ins Forum sehen können (von diesem PC aus), bis dahin schon einmal herzlich Dank im Voraus.

Ulla - langsam sich auflösend

Hier sind die Logfiles:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1089
Windows 5.1.2600 Service Pack 2

14:29:05 01.09.2008
mbam-log-09-01-2008 (14-29-05).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 81126
Laufzeit: 42 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\suzkaco.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\suzkaco (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\suzkaco.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\blphcgsgj0eg4c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcgsgj0eg4c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcgsgj0eg4c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:34:51, on 01.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\htpatch.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.22.220:3128/ken.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.22.220:3128;https=192.168.22.220:3128;ftp=192.168.22.220:3128;socks=192.168.22.220:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: XBTB03004 - {C543F87B-D228-466C-8432-A6F7D1C44565} - C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll
O2 - BHO: RAToolbar - {EF8E1F96-FF80-4E85-AD4F-0F19166E21DB} - C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04e\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://192.168.22.220:3128/ken.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209107514531
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer = 192.168.22.220,192.168.22.1
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe
O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: SageDB 5.0 - Unknown owner - C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 8157 bytes

Alt 02.09.2008, 14:17   #8
Ulla
Gast
 
Befall mit Antivirus XP 2008 und UPS-Virus - Standard

Befall mit Antivirus XP 2008 und UPS-Virus


Hallo Trojan-Death,

heute morgen, 02.09.08, hatte ich Antivirus wieder auf dem PC. Da ich im Forum gelesen hatte, dass man es im abgesicherten Modus mit der Deaktivierung der Systemwiederherstellung, anschließenden Scannen und Aktivierung der Systemwiederherstellung versuchen sollte, bin ich diesen Hinweisen gefolgt. Also: abgesicherter Modus, Deaktivierung, Spybot (17 Infekte), MAM 1 Infekt, HijackThis. Als ich die Systemwiederherstellung aktivieren wollte, bekam ich den Hinweis, das dies nur im Normalmodus möglich ist. Zurück zum Normalmodus und dann brach alles mich herein, was hier ich im Zusammenhang mit Antivirus XP 2008 schon gelelsen habe. Keine Taskleiste mehr, Systemsteuerung nicht aufrufbar, kein Internet.

Ich schreibe jetzt von einem anderen PC und werde heute Nacht oder morgen früh das System neu aufsetzen. Da ich das erst zweimal gemacht habe, werd' ich noch ein bisschen darüber lesen.

Ich danke Dir, dass Du Dir die Zeit für mein Problem genommen hast, ich weiß, es ist Deine, bzw. Eure Freizeit, die Ihr hier im Forum einsetzt. -

Vielleicht könntest Du Dich noch einmal kurz melden?

Viele Grüße

Ulla

Alt 02.09.2008, 16:54   #9
trojan-death
 
Befall mit Antivirus XP 2008 und UPS-Virus - Standard

Befall mit Antivirus XP 2008 und UPS-Virus


Ich hatte die letzten Tage keine Zeit zu antworten Sorry dafür
Du solltest die Eigeninitiative in Zukunft am besten sein lassen... Du siehst ja was dabei herauskommt...
Soll ich deine Logfiles (RunScanner usw.) nun analysieren oder spielst du sowiso neu auf?

grüsse trojan-death
__________________
Kein Support per PN

Zitat:
"If it ain't broke, don't fix it"
"Never change a running System"

Alt 02.09.2008, 19:37   #10
Ulla
Gast
 
Befall mit Antivirus XP 2008 und UPS-Virus - Standard

Befall mit Antivirus XP 2008 und UPS-Virus


Hallo Trojan-Death,

danke erst einmal für Deine Antwort. Ich bin mit dem Problem wirklich überfordert, ich muss an dem PC dringend arbeiten, habe aber keine Zeit ihn jetzt neu aufzubauen. Ich habe das auch erst zweimal gemacht.

Ich habe meinen zweiten Threat geschrieben, in der Hoffnung, dass ich irgendeine Antwort erhalte. Du kannst ihn löschen bzw. löschen lassen.

Der Zeitaufwand für den Neuaufbau ist hoch und ich bin unsicher. Wenn ich wüßte, dass da noch eine Chance besteht, meine Probleme auf andere Weise in den Griff zu bekommen, lass ich den Neuaufbau sein.

Also, die neuen Logfiles von heute habe ich nicht hier, wo ich gerade arbeite. Ob mein befallener PC überhaupt noch ins Internet geht, weiß ich nicht. Ich könnte aber heute noch hinfahren und nachprüfen, was noch geht.

Die letzten Logfiles sind von gestern. Ob die noch aussagekräftig sind, weiß ich nicht, obwohl ich das gleiche gemacht habe, nur heute mit Systemdeaktivierung.

Kannst Du mir raten, was ich machen soll?

Viele Grüße

Ulla - fast kopflos

Alt 02.09.2008, 19:45   #11
trojan-death
 
Befall mit Antivirus XP 2008 und UPS-Virus - Standard

Befall mit Antivirus XP 2008 und UPS-Virus


Ok

Bleib mal ruhig
Die Logs sind noch genug aktuell
Werde mir das mal anschauen und dir gleich antworten.
Der unnötige Thread kannst du dem GUA melden
__________________
Kein Support per PN

Zitat:
"If it ain't broke, don't fix it"
"Never change a running System"

Alt 02.09.2008, 20:02   #12
trojan-death
 
Befall mit Antivirus XP 2008 und UPS-Virus - Standard

Befall mit Antivirus XP 2008 und UPS-Virus


Ich habe leider ne schlechte Nachricht für dich...
Ich würde sagen, dass bei dir ein Rootkit aktiv sein Unwesen treibt...
Das einzig Sinnvolle und sicherste bei einer Rootkit infizierung ist, dass du Neuaufsetzt
Auch in deinem ersten Log von Malwarebytes, steht das ein Rootkit enfernt wurde, was aber wahrscheinlich nicht richtig oder vollständig geschehen ist, da du bei jedem erneutem Scan mit Malwarebytes weiteres Zeug findest.
Wenn du aber unbedingt nicht Neuaufsetzen möchtest, kann ich dir einfach so gut es geht helfen alles zu beseitigen. Es kann sein, dass du danach keine Probleme mehr hast (und du wieder frei von allem bist) aber ich kann dir dann für nix garantieren da ein Rootkit alles manipuliert haben könnte. Auch solltest du unbedingt alle deine Passwörter von einem "sicheren" PC aus ändern
Wenn der Rootkit aber noch drauf ist und du Setzt nicht neu auf, dann wird er deine "neuen" Passwörter gleich wieder haben.

grüsse trojan-death
__________________
Kein Support per PN

Zitat:
"If it ain't broke, don't fix it"
"Never change a running System"
Geändert von trojan-death (02.09.2008 um 20:18 Uhr)

Alt 02.09.2008, 20:13   #13
Ulla
Gast
 
Befall mit Antivirus XP 2008 und UPS-Virus - Standard

Befall mit Antivirus XP 2008 und UPS-Virus


Hallo Trojan-Death,

ich sehe, dass Du da bist und geschrieben hast, aber Deinen Text sehe ich nicht. Gibt es eine zeitliche Verzögerung?

Bitte, ich bin Anfänger hier, wer ist GUA und wie lasse ich meinen Beitrag löschen? Unter Hilfe habe ich nichts gefunden?

LG
Ulla

Alt 02.09.2008, 20:17   #14
trojan-death
 
Befall mit Antivirus XP 2008 und UPS-Virus - Standard

Befall mit Antivirus XP 2008 und UPS-Virus


Zitat:
Zitat von Ulla Beitrag anzeigen
ich sehe, dass Du da bist und geschrieben hast, aber Deinen Text sehe ich nicht. Gibt es eine zeitliche Verzögerung?

Du siehst meinen Beitrag nicht... cool mach mal "refresh" und/oder melde dich neu an
Ansonsten schick ich dir kurz per PN


Zitat:
Zitat von Ulla Beitrag anzeigen
Bitte, ich bin Anfänger hier, wer ist GUA und wie lasse ich meinen Beitrag löschen? Unter Hilfe habe ich nichts gefunden?
Das ist der GUA ---> Klick


ps. hoffe du konntest das lesen
__________________
Kein Support per PN

Zitat:
"If it ain't broke, don't fix it"
"Never change a running System"

Alt 02.09.2008, 20:22   #15
Ulla
Gast
 
Befall mit Antivirus XP 2008 und UPS-Virus - Standard

Befall mit Antivirus XP 2008 und UPS-Virus


Hallo Trojan- Death,

Deine Nachricht ist gerade gekommen. Ich werde neu aufsetzen. Ich arbeite in einem kleinen Netzwerk und möchte für die anderen kein Risiko sein.

Ich sollte dann wohl die Daten auf der Festplatte vorher schreddern.

Ich danke Dir wirklich sehr, dass Du mir heute Abend geholfen hast, zu einer Entscheidung zu kommen.

Wenn Du mir nun noch schreibst, wie ich den zweiten Beitrag GUA melden kann?

LG

Ulla

Antwort
Seite 1 von 5 1 23 Letzte »

Themen zu Befall mit Antivirus XP 2008 und UPS-Virus
8.tmp, abgesicherten modus, ad-aware, administrator, adobe, adware.softmate, antivirus, askbar, autorun, avira, bildschirmschoner, c.exe, controlcenter, desktop, dringend, einstellungen, ellung, excel, explorer, fritz!, ftp, helfen, herzlichen dank, hijack, hijack.wallpaper, hkus\s-1-5-18, internet, internet explorer, pc läuft, pdf, photoshop, popup, problem, registrierungsschlüssel, rogue.multiple, rootkit.agent, scan, software, symantec, telefonnummer, temp, trojan.downloader, windows xp, windows\temp


« Plötzlich Antivirus und blauer Desktop mit Fehlermeldung | spyware secure werbung »


Ähnliche Themen: Befall mit Antivirus XP 2008 und UPS-Virus


  1. Antivirus XP 2008
    Plagegeister aller Art und deren Bekämpfung - 20.09.2008 (2)
  2. antivirus xp 2008 und smart antivirus 2009
    Plagegeister aller Art und deren Bekämpfung - 14.09.2008 (11)
  3. Antivirus 2008
    Log-Analyse und Auswertung - 14.09.2008 (15)
  4. Antivirus 2008
    Plagegeister aller Art und deren Bekämpfung - 10.09.2008 (1)
  5. Antivirus XP 2008 Befall
    Plagegeister aller Art und deren Bekämpfung - 08.09.2008 (3)
  6. Antivirus XP 2008
    Plagegeister aller Art und deren Bekämpfung - 31.08.2008 (16)
  7. Virus als Antivirus XP 2008 getarnt
    Plagegeister aller Art und deren Bekämpfung - 30.08.2008 (38)
  8. Antivirus-2008
    Log-Analyse und Auswertung - 26.08.2008 (3)
  9. Virus TR/Dldr.FraudLoa.NC + blauer Bildschirm + Antivirus xp 2008
    Plagegeister aller Art und deren Bekämpfung - 17.08.2008 (3)
  10. Antivirus XP 2008
    Mülltonne - 11.08.2008 (0)
  11. Antivirus XP 2008
    Plagegeister aller Art und deren Bekämpfung - 11.08.2008 (6)
  12. Vista AntiVirus 2008 - Virus Alert in der Taskleiste
    Plagegeister aller Art und deren Bekämpfung - 10.08.2008 (46)
  13. Antivirus 2008 XP (nicht "Antivirus XP 2008"!)
    Plagegeister aller Art und deren Bekämpfung - 10.08.2008 (1)
  14. Antivirus XP 2008
    Mülltonne - 04.08.2008 (0)
  15. HJT-Logfile nach "Vista Antivirus 2008"-Befall
    Log-Analyse und Auswertung - 30.07.2008 (1)
  16. VIRUS ALERT!, Vista Antivirus 2008, kein Taskmanager, ...
    Log-Analyse und Auswertung - 17.07.2008 (5)
  17. AntiVirus 2008, Spyhunter und PCHealth Virus befall
    Log-Analyse und Auswertung - 13.07.2008 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Befall mit Antivirus XP 2008 und UPS-Virus - Hallo liebe Helfer, erst einmal herzlichen Dank für dieses wundervolle Forum, wo sich auch ungeübte Benutzer wohl fühlen können. Mein Problem sind UPS-Virus (ich wartete dringend auf ein Paket) und - Befall mit Antivirus XP 2008 und UPS-Virus...
Archiv
Du betrachtest: Befall mit Antivirus XP 2008 und UPS-Virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131