Hallo Leute,

ich bin neu hier und nutze gleich mal die Gelegenheit um "Hallo" zu sagen.
Folgendes: Ich habe den Verdacht, dass sich auf meinem Rechner Schädlinge befinden, die meine Virenscanner aber entweder nicht löschen können oder sie nicht finden. Da ich schon öfters im Internet nach gewissen ".exe" gesucht habe, bin ich über dieses Forum gestolpert und hab mich jetzt eben mal angemeldet.
Ich habe meine HijackThis-Logfile auf h**p://www.hijackthis.de/ bereits auswerten lassen, ohne irgendwelchen Befall meines Systems, aber irgendwie traue ich dem Braten nicht so wirklich.
Vielleicht findet ihr ja was...

HijackThis-Logfile:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\LevelOne\Common\RaUI.exe
D:\Programme\Logitech\SetPoint\KEM.exe
D:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Creative\MediaSource\CTCMS.EXE
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: PopUpBlocker ; XpTuner2004 - {49E0E0F0-5C30-11D4-945D-000000000010} - C:\PROGRA~1\STEGAN~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6172\SiteAdv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] D:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Levelone Wireless Utility.lnk = C:\Programme\LevelOne\Common\RaUI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7105 bytes

Vielen Dank an die Leute schonmal im Vorraus.

Hallo und

Zitat:

Folgendes: Ich habe den Verdacht, dass sich auf meinem Rechner Schädlinge befinden, die meine Virenscanner aber entweder nicht löschen können oder sie nicht finden.

Werden denn überhaupt Dateien bemängelt?
Wie begründest du deinen Verdacht, ist z.B. dein System spürbar langsamer geworden in letzter Zeit, oder sonst welche Auffälligkeiten?

Poste bitte den Kopf des HijackThis Logs noch hierher.
Sonst müssten wir raten welches Betriebsystem und der welcher Patchstand installiert ist.

Deaktiviere bitte einen der Guards deiner Antivirenprogramme (später komplett deinstallieren) die kommen sich sonst ins Gehege.

MFG

achso ja natürlich...

Kopf:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:29, on 25.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Der Grund für meinen Verdacht bezieht sich auf einen weit zurückreichenden Fall. Vor ein paar Wochen, hatte ich nach etwas im Internet gesucht und da hab ich mir so ein Fake Antivirenscanner eingefangen. Das Ding hieß irgendwie "Antivirus 2008" oder so ähnlich...
Jedenfalls hab ich dann im Internet recherchiert um es wegzubekommen. Durch manuelles Löschen und durchlaufen aller meiner Virenscanner hab ich es dann geschafft (glaube ich jedenfalls ^^). Allerdings finden meine Virenscanner hin und wieder immer noch ein paar Befälle, nicht gravierendes glaub ich, aber es nervt. Die Gewissheit zu haben, dass das eigene System sauber ist, ist natürlich gut. Naja und jetzt bin ich hier gelandet...
Mein Pc hat immer ne große Auslagerungsdatei, es schwankt so zwischen ~300 und ~500 MB, bei 500MB habe ich natürlich einige Prozesse laufen wie MSN und den Mediaplayer und son Kram..
Ich habe irgendwie 4 oder mehr Virenscanner sowie etliche Schädlingserkennungs und Schädlingsentfernungstools seitdem ist er auch langsamer, was eine mögliche Erklärung wäre, aber ich glaube, da steckt eventuell noch mehr dahinter, deswegen frage ich ja...

Hallo

OK, dann können wir weitersehen.

Zitat:

Allerdings finden meine Virenscanner hin und wieder immer noch ein paar Befälle, nicht gravierendes glaub ich

Gib bitte immer solche Infos mit an (Pfad/Dateiname), wir können von dieser Seite nicht in dein System blicken und wissen nicht automatisch was wo angemeckert wird, da alle Glaskugeln zur Inspektion sind.

Zitat:

Durch manuelles Löschen und durchlaufen aller meiner Virenscanner hab ich es dann geschafft (glaube ich jedenfalls ^^).

Das wollen wir mal mit Malwarebytes und Combofix kontrollieren.
Lass alles gefundene löschen und poste anschließend die Logs hierher.
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

MFG

Ich werde alles bei gegebener Zeit abarbeiten nach bestem Wissen und Gewissen. Gestern bin ich leider nicht mehr dazugekommen. Mich würde allerdings ersteinmal interessieren ob meine HijackThis-Logfile nach deinem Ermessen sauber ist. Wenn ein Mann von Fach der Meinung ist, wie die Internetseite, dann ist die Gefahr ja relativ gering, dass noch irgendwelche Störenfriede auf meinem Rechner vorhanden sind. Trotzdem werde ich deine Liste abarbeiten.

Hallo

Zitat:

Mich würde allerdings ersteinmal interessieren ob meine HijackThis-Logfile nach deinem Ermessen sauber ist.

Diese Formulierung - sauber - benutze ich nicht gerne....
Ich sage aber, dein Logfile ist unauffällig, also ich finde nichts was auf dein Problem/Verdacht schließen lässt.

Zitat:

Wenn ein Mann von Fach der Meinung ist, wie die Internetseite, dann ist die Gefahr ja relativ gering, dass noch irgendwelche Störenfriede auf meinem Rechner vorhanden sind.

Kann sein, ich weiß allerdings nicht nach welcher Anleitung du bereinigt hast

Zitat:

Trotzdem werde ich deine Liste abarbeiten.

Jo, sonst hättest du vermutlich auch keinen Beitrag eröffnet, oder?

MFG