Hallo,

beim Ansurfen einer Website hat sich vor 2 Wochen ein ganzes Paket Schädlinge gedownloadet.
Ich nutze XP SP 2 (Updates aktuell)
Motherboard MSI KK9N Neo-F V2
CPU Athlon 64X2 4200+ AM2
Festplatte intern (Laufwerk C) Samsung 250 GB
Festplatte extern (Laufwerk E) LaCie (WD) 80 GB
Antivirenprogramm AVAST
Firefox 3 (beim Befall: Version 2)

Die angezeigten Schädlinge nennen sich
Win 32:Trojan.gen
Win 32: Bravix
VBS: Malware-gen
Win32/Adware.Virtumonde
Win32/PrivacyRemover.M64
C:\WINDOWS\system32\TDSSL.dll.virus (wurde auch als Rootkit bezeichnet)

Ich habe zuerst zum Putzen verwendet:
AVAST
Bitdefender Free Edition v10
Spybot S & D

Danach schien das System frei, aber hängte sich bisweilen beim Hochbooten auf, obwohl ich XP regelmäßig mit Tune Up 2004 aufräume.
Danach ließ ich
Panda Anti- Rootkit 1.08 suchen, das fand nichts.
Um sicherzustellen, daß nichts vor Windows zuschlägt, prüfte ich mit
Avira Rescue System und
F-Secure Rescue CD 3.0,
beide mit bootbarer CD unter Linux (?) ausgeführt.
F-Secure hatte dabei herbe Schwierigkeiten, den MBR zu testen, lauter Error- Meldungen. Also hab ich ihn sicherheitshalber mit fixmbr neu erstellt. Seitdem bootet der PC wieder flüssig hoch.
AVAST lief auch im abgesicherten Modus über den PC. Dabei konnte ich Zoltan und Smitfraud löschen.
Die Tage gab AVAST eine Warnung durch, mögliches Rootkit TDss.A (uVb, hatte ich nicht notiert). AVAST benannte die Datei um, mit Bitdefender konnte ich sie löschen. Danach suchte ich mit verschiedenen Anti- Rootkits:
MS Malicious Software Removal Tool
AVG Anti- Rootkit free
Sophos Anti-Rootkit,
alle zeigten keinen Befund.

Hab ich mein System jetzt wieder sauber ?
Kann ich wieder unbesorgt in Online- Shops bestellen ?
Was kann ich noch tun ?
Bitte habt etwas Nachsicht mit mir, ich bin ein recht guter User, hab aber umso weniger Ahnung, je tiefer es ins System geht.
Danke vorab.

Hallo,

schade, daß bisher niemand geantwortet hat. Wenn ich was falsch mache beim Posting, schreibt mir das ruhig, ich bin kritikfähig .
Vielleicht hätte ich gleich ein HJT- Logfile posten sollen. Wird hiermit nachgeholt:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:20, on 25.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Comodo\Firewall\CPF.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.amazon.de/gp/r.html?R=2LQ2IGYHEMC4I&C=3G3E1GER04CD7&H=WNHKfakc0trzD3m8omE8r8LmAQkA&T=C&U=http%3A%2F%2Fwww.amazon.de%2Fexec%2Fobidos%2Ftg%2Ffeature%2F-%2F1000174073%2Fref%3Dpe_13271_10895871_hi_img_2%2F
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 6037 bytes
         

Scanne dein system mit Malwarebytes und SuperAntispyware. Logs posten.

Entscheide dich für einen Virenscanner. Avast oder Bitdefender

den Teatimer und den SDhelper von Spybot - Search & Destroy würd ich deaktivieren.

Hier ist das Log von Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1205
Windows 5.1.2600 Service Pack 2

25.09.2008 21:44:25
mbam-log-2008-09-25 (21-44-25).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 94636
Laufzeit: 21 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winsys2 (Spyware.OnlineGames) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\WinSys2.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
         

Und hier das Log von SuperAntispyware:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/25/2008 at 11:01 PM

Application Version : 4.21.1004

Core Rules Database Version : 3579
Trace Rules Database Version: 1567

Scan type       : Complete Scan
Total Scan Time : 00:27:33

Memory items scanned      : 404
Memory threats detected   : 0
Registry items scanned    : 3550
Registry threats detected : 1
File items scanned        : 57935
File threats detected     : 42

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Horst\Cookies\horst@hotbar[2].txt
	C:\Dokumente und Einstellungen\Horst\Cookies\horst@content.licenseacquisition[1].txt
	C:\Dokumente und Einstellungen\Horst\Cookies\horst@www.zango[1].txt
	C:\Dokumente und Einstellungen\Horst\Cookies\horst@im.banner.t-online[1].txt
	C:\Dokumente und Einstellungen\Horst\Cookies\horst@adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\Horst\Cookies\horst@media.licenseacquisition[1].txt
	C:\Dokumente und Einstellungen\Horst\Cookies\horst@contentcatalog.hotbar[1].txt

Trojan.FakeAlert/Desktop
	HKU\S-1-5-21-1757981266-602609370-725345543-1004\CONTROL PANEL\DESKTOP#PREVWALLPAPER

Trace.Known Threat Sources
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\zango-inc[1].gif
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\index[1].html
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\js_zango_com[2].js
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\AC_RunActiveContent[2].js
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\bg[1].jpeg
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\content.licenseacquisition[1].html
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\ContentDisplay[2].js
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\tracker[2].js
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\cookie[2].js
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\btn[1].gif
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\s4[1].jpeg
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\zango_corporate[1].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\ncp[1].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\sitedisp[1].com&Path=&SiteVer=0
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\zango_menu_default[2].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\zango_global[2].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\hbicondrop[1].html
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\shopper_large[1].gif
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\uparrow[1].jpeg
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\btn[1].jpeg
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\csshover[1].htc
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\zango_logo[1].gif
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\zango_global[1].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\zango_home[2].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\s1[1].jpeg
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\s2[1].jpeg
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\listsep[1].gif
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\zango_consumer[2].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\zango_menu_template[3].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452R4TIB\faqs[1].html
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPEV01U3\Zango[2].js
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\Uninstaller[1].exe
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\zango_menu_default[1].css
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01ARWP23\nav_bg[1].gif
	C:\Dokumente und Einstellungen\Horst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTYJ0PMV\zango[1].html
         

Sieht bescheiden aus. Enttäuschend, daß die vielen Programme, mit denen ich vorher gescannt hatte, so viel übersehen haben.
Den Teatimer hab ich deaktiviert. Galt das temporär oder soll er generell ausbleiben ?
Avast ist mein Standard- Scanner. Bitdefender hat keinen Wächter, war nur als Ergänzung gedacht. Soll ich ihn löschen ?
Die Anleitung zu Super Antispyware solltet ihr überarbeiten. Die Screenshots und das Handling hat sich teilweise geändert.
Was kann ich noch tun ?

Danke,

Horst

Das HijackThis Log sieht ok aus.
Den Tearimer würd ich generell deaktivieren, wenn es der Bitdefender free ist kannst du ihn installiert lassen.

zu guter letzt noch das hier:
Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

• Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 1)

• Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Hallo, erty,

ich habe SmitfraudFix nach Anleitung im abgesicherten Modus laufen lassen. Hier das Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

SmitFraudFix v2.354

Scan done at 22:19:06,87, 26.09.2008
Run from C:\Dokumente und Einstellungen\Horst\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Horst


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Horst\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Horst\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
         

Danach hab ich nach Anleitung gereinigt (Option 2). Zur Sicherheit hier das Log nach der Reinigung:

Code: Alles auswählenAufklappen

ATTFilter

SmitFraudFix v2.354

Scan done at 22:21:06,07, 26.09.2008
Run from C:\Dokumente und Einstellungen\Horst\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D458B023-173F-462D-9B40-5120ECD73131}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
         

Hoffentlich kommen wir soweit, daß ich wieder online bestellen kann, ohne mir Sorgen zu machen, daß meine Paßwörter ausgelesen werden...
entschuldige, ich weiß, ich nerve.

Gruß,

Horst

Hallo, erty,

bis jetzt läuft das System sauber, ohne weitere Meldungen. Teatimer und SUPERAntiSpyware hab ich aus dem Autostart rausgeworfen. Mittlerweile hab ich mich auch getraut, ein wenig MMORPG zu spielen.
BTW, kann man Firefox 3 gegen Driveby- Malwaredownloads absichern ? Die Version 2 hatte ich auch so eingestellt, daß vor jedem Download gefragt wird, hatte ja leider in dem Fall nicht funktioniert.

also so wie es aussieht hat malwarbytes und superantispyware "nur" noch reste gelöscht.

Driveby-Malwaredownloads werden meist über Sicherheitslücken im Browser oder über angreifbare Systemkomponenten (Windows Media Player, real player, flash...) eingeschleust. --> updaten, updaten, updaten und überlegen auf welchen seiten man surft...

Für den firefox empfehle ich dir zusätzlich das noscript.

Überprüfe deine Einstellungen in Avast.

Hallo, erty,

Firefox ist auf Vers. 3.03, NoScript hab ich installiert. Flash ist upgedatet. Real hab ich nicht, Quicktime seh ich noch nach. Windows Media Player 9 ist installiert, empfiehlt es sich, auf Vers. 10 upzudaten ?
Den Avast- Wächter hab ich auf hoch eingestellt, war früher auf normal. Alle Updates lass ich sowieso automatisch installieren, damit er aktuell bleibt. Die anderen Einstellungen sind Standard, Prüfung ohne Ausschlüsse.
Das mit dem Überlegen, auf welchen Seiten man surft, hab ich meiner Tochter nicht ganz beibringen können (OK, ich bin da auch nicht fehlerlos ), ist aber in Arbeit. Ich hab mir schon überlegt, ob ich ihren Laptop auch mit dem Internet verbinde, mal sehen.
Ist mein System jetzt -soweit das übersehbar ist- wieder so clean, daß ich online einkaufen kann ?

Gruß,

Horst

ich würde sagen ja, aber 100% kann ich dir das natürlich nicht bestätigen.

Du könntest mit Dr.Web CureIt nochmals einen Fullscan machen. Vorteil Dr. Web: es wird nichts, auch keine services o.ä installiert.

Hier das Ergebnis von Dr. Web CureIt:

Code: Alles auswählenAufklappen

ATTFilter

mzccntrl.exe;c:\programme\gemeinsame dateien\marmiko shared;Adware.Msearch.origin;;
AAWLaMaS.dll;C:\Programme\Gemeinsame Dateien\Marmiko Shared;Adware.Msearch;Verschoben.;
MZCCntrl.exe;C:\Programme\Gemeinsame Dateien\Marmiko Shared;Adware.Msearch.origin;Verschoben.;
patience.exe;C:\Programme\you_games\KartenspieleVolume_2\Patiencen;Wahrscheinlich BACKDOOR.Trojan;;
A0000939.exe\SmitfraudFix\Process.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13\A0000939.exe;Tool.Prockill;;
A0000939.exe\SmitfraudFix\restart.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13\A0000939.exe;Tool.ShutDown.11;;
A0000939.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Archiv enthält infizierte Objekte;Verschoben.;
A0000956.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Tool.Prockill;;
A0000958.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Tool.ShutDown.11;;
A0000979.dll;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Adware.Msearch;Verschoben.;
A0000980.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Adware.Msearch.origin;Verschoben.;
tibia800.exe\data001;E:\Eigene Dateien\tibia800.exe;Win32.HLLW.MyBot.10;;
tibia800.exe;E:\Eigene Dateien;Archiv enthält infizierte Objekte;Verschoben.;
A0000981.exe\data001;E:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13\A0000981.exe;Win32.HLLW.MyBot.10;;
A0000981.exe;E:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Archiv enthält infizierte Objekte;Verschoben.;
         

- mzccntrl gehört wohl zur T- Online- Software;
- patience.exe/Kartenspiele Vol.2 ist von einer Kauf- CD, hab ich schon seit Jahren;
- tibia800 ist die Vorgängerversion des Installers des MMORPG, das ich gelegentlich spiele. Seltsamerweise sehe ich auf Laufwerk E: (meine externe Platte) die Version 800 nicht, auch die Windows- Suche findet nur einen Eintrag unter C:, den ich gleich in den Papierkorb geworfen habe.
Dr. Web CureIT hab ich genau nach Anweisung durchgeführt und keine extra Löschaktionen durchgeführt; hätte ich noch was abschießen sollen ?

Gruß,

Horst

Es wurden ja einige Dateien verschoben, also nicht wundern, falls es mit T-online (mzccntrl.exe, AAWLaMaS.dll beide T-Online International AG, Marmiko IT-Solutions GmbH) Probleme gibt.

Es kann durchaus sein dass es sich um false positives handelt. Du kannst die entsprechenden dateien auch online bei Virustotal und Jotti scannen lassen.

Die Process.exe und restart.exe gehören zu SmitfraudFix

die tibia800.exe scheint mir jedenfalls nicht i.O. Analyse tibia800.exe

bei der patience.exe denke ich, handelt es sich auch um einen FP.

Hallo, erty,

sorry, war gestern so eingespannt, daß ich nicht am Schädlingsproblem arbeiten konnte.
Heute hab ich Dr. Web nochmal durchlaufen lassen; hier das Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

patience.exe;C:\Programme\you_games\KartenspieleVolume_2\Patiencen;Wahrscheinlich BACKDOOR.Trojan;;
A0000956.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Tool.Prockill;;
A0000958.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP13;Tool.ShutDown.11;;
A0001019.exe\data001;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP14\A0001019.exe;Win32.HLLW.MyBot.10;;
A0001019.exe;C:\System Volume Information\_restore{E3671765-FED4-45D0-8871-30ED3567EAE6}\RP14;Archiv enthält infizierte Objekte;Verschoben.;
         

-Beim ersten Scan hatte ich nichts manuell veranlaßt. Ich hatte nur die unter C:\ aufgefundene Tibia800 gelöscht, nachdem ich wieder normal hochgefahren hatte. Beim jetzigen Scan sind die zwei Einträge unter E:\Tibia800 weg, dafür sitzt der "Win32.HLLW.MyBot.10" jetzt in der A0001019.exe; kann es sein, daß das Mistding seine .exe selbst umbenennt, wenn man ihm an den Pelz will ?
Diesmal habe ich aktiv nachgeholfen, Ergebnis wie folgt:
- Patience.exe: gelöscht, mit dem Ergebnis, daß XP jetzt die Platte nach dem Spiel durchsucht. Macht nix, kann ich jederzeit wieder von CD installieren.
- A0000956.exe / Tool.Prockill: Nicht desinfierbar, wurde verschoben.
- A0000958.exe / Tool.ShutDown.11: gelöscht.
- A0001019.exe / Archiv enthält infizierte Objekte: von Dr. Web verschoben.
- A0001019.exe\data001 / Win32.HLLW.MyBot.10: scheint eine Unterdatei der vorhergehenden (verschobenen) zu sein, ließ sich nicht manuell killen, da Dr. Web die Optionsbuttons inaktiv ließ, als ich die Datei markierte. Ist der "Bot" jetzt unschädlich ?
P.S.: für den "Tibia800-bot" hätte ich vielleicht eine Erklärung. Die 800 war das Sommerupdate, und das MMORPG litt massiv unter Spielern, die ihre Chars mit Botprogrammen jagen und hochleveln ließen. Seit diesem Update sind über 1.500 solcher Leute aufgeflogen und gesperrt worden. Könnte das eine Datei sein, mit der man kontrollieren kann, ob ein Spieler ein Botprogramm einsetzt ?
Habe ich das Ungeziefer jetzt vertilgt, bzw. was kann ich noch tun ?

Gruß,

Horst

P.S.: Hab die A0001019.exe in der Quarantäne von Dr. Web gefunden und sie mit dem TuneUp Shredder gründlich gelöscht. Ich hoffe, das war OK.

ja war ok. das was Dr. Web gefunden hat war in der Systemwiederherstellung.

deaktiviere die Systemwiederherstellung (alle wiederherstellungspunkte werden gelöscht) und aktiviere sie anschliessend wieder.