Hallo Leute,
ich bin nicht gerade Experte!
Könnte sich das bitte mal einer anschauen?
Hier eine Logdatei von RootKitRevealer:

Code: Alles auswählenAufklappen

ATTFilter

HKLM\SECURITY\Policy\Secrets\SAC*	04.09.2003 22:07	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	04.09.2003 22:07	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol	22.02.2006 19:44	13 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	05.10.2008 17:31	80 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg	15.01.2008 00:25	0 bytes	Access is denied.
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\metrics.xml	05.10.2008 17:31	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\parent.lock	05.10.2008 17:36	0 bytes	Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\places.sqlite-journal	05.10.2008 17:40	56.61 KB	Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\sessionstore.js	05.10.2008 17:50	14.01 KB	Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\06D36E36d01	05.10.2008 17:44	42.17 KB	Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\7B403515d01	02.10.2008 14:55	19.65 KB	Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\8F78EAADd01	05.10.2008 17:37	38.70 KB	Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\A5836543d01	05.10.2008 17:46	29.28 KB	Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\ABE74DFDd01	05.10.2008 17:37	38.81 KB	Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\C87015B9d01	05.10.2008 17:46	16.85 KB	Hidd
         

Danke schon mal für hilfreiche Kommentare!

Gruß Heinz

Hi,

ein paar Informationen zum Thema Betriebssystem und wieso du einen Rootkitscan gemacht hast, wären hilfreich.

Außerdem bitte den Rootkitscan nochmal wiederholen wenn du alle Programme beendet hast.

lg myrtille

Hallo
und Danke für die schnelle Antwort!
Also, ich hab diesen Test gemacht, weil ich vor einer Woche mehrere Trojaner ins System geladen habe. Dieser hat sich, denke ich, an eine Musikdatei gehängt und wurde über Windows Media Player aktiviert. Dann hatte ich die Datei "Codec_Setup.exe" auf meinem Desktop, bin sie aber nicht wieder losgeworden. Dann hab ich mir Hilfe im HijackThis Forum geholt, hab verschiedene Prozesse durchlaufen, u.a. Malwarebytes, CCleaner, SmitFraudFix, etc. Aber als der 2. Schritt abgeschlossen war, habe ich keine Antwort mehr bekommen, seit 5 Tagen warte ich jetzt...
ich hoffe, das ist jetzt kein Problem für euch!
Naja, dann hab ich auf eigene Faust nochmal RootKitRevealer scannen lassen, um nach Rootkits zu schauen, nachdem ich heute wieder 2 Meldungen von Trojanerfunden bei AntiVirGuard hatte:


In der Datei 'C:\System Volume Information\_restore{F3A76400-A910-44B5-9114-313D2D2A3097}\RP4\A0000306.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.8704.76' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen


In der Datei 'C:\WINDOWS\system32\tdssserf1.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.8704.76' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Ich poste mal eine Hijackthis-Logfile mit, da ist das Betriebssytem ja beschrieben:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:57, on 05.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AudioSystem EWX 2496\EwxCpl.exe
C:\PROGRA~1\0190_U~1\w0svc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Avira GmbH\Avira RootKit Detection\avirarkd.exe
C:\DOKUME~1\Anwender\LOKALE~1\Temp\qzoqbqrw.exe
C:\Dokumente und Einstellungen\Anwender\Desktop\RootkitRevealer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [PKR Pal] "C:\Programme\PKR\pkrpal.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\programm_download\SuperAntiSpyWare\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Tools\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EWX 2496 ControlPanel.lnk = ?
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\Hotsync.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Append to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyPokerNet\RunPF.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222901634359
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1222902052093
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: !SASWinLogon - C:\programm_download\SuperAntiSpyWare\SASWINLO.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190_U~1\w0svc.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HG - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Anwender\LOKALE~1\Temp\HG.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 9887 bytes
         

Und die neue Log von RootKitRevealer:

Code: Alles auswählenAufklappen

ATTFilter

HKLM\SECURITY\Policy\Secrets\SAC*	04.09.2003 22:07	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	04.09.2003 22:07	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol	22.02.2006 19:44	13 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	05.10.2008 18:52	80 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg	15.01.2008 00:25	0 bytes	Access is denied.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll	17.09.2008 16:37	252.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll	17.09.2008 16:37	111.50 KB	Visible in Windows API, but not in MFT or directory index.
         

Ich hoffe, das hilft weiter!
Vielen Dank schon mal!
LG Heinz

Hi,

arbeite bitte die DrWeb-Anleitung und die Malwarebytes-Anleitung aus unserem Anleitungen-Forum ab und poste das Ergebnis der beiden Scans hier.

lg myrtille

So, hab die Schritte jatzt ausgeführt:
Scheint nicht so gut auszusehen.
Die gefundenen Objekte durch DrWeb habe ich noch nicht gelöscht.

Code: Alles auswählenAufklappen

ATTFilter

AntiXPVSTFix.exe;C:\WINDOWS\system32;BackDoor.IRC.Dosig.15;Gelöscht.;
Process.exe;C:\WINDOWS\system32;Tool.Prockill;;
SetupPoker.exe\data001;D:\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe\data002;D:\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe\data003;D:\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe;D:\;Archiv enthält infizierte Objekte;Verschoben.;
A0000337.exe\data001;D:\System Volume Information\_restore{F3A76400-A910-44B5-9114-313D2D2A3097}\RP5\A0000337.exe;Adware.Casino;;
A0000337.exe\data002;D:\System Volume Information\_restore{F3A76400-A910-44B5-9114-313D2D2A3097}\RP5\A0000337.exe;Adware.Casino;;
A0000337.exe\data003;D:\System Volume Information\_restore{F3A76400-A910-44B5-9114-313D2D2A3097}\RP5\A0000337.exe;Adware.Casino;;
A0000337.exe;D:\System Volume Information\_restore{F3A76400-A910-44B5-9114-313D2D2A3097}\RP5;Archiv enthält infizierte Objekte;Verschoben.;
         

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1230
Windows 5.1.2600 Service Pack 2

06.10.2008 02:04:22
mbam-log-2008-10-06 (02-04-22).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|)
Durchsuchte Objekte: 142921
Laufzeit: 1 hour(s), 11 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
         

LG Heinz

Hi,

die ersten 2 Funde von DrWeb sind definitiv Fehlalarme. Die weiteren Funde kann ich nur schwer beurteilen, viele der Pokerprogramme sind "verseucht" ob der Fund jetzt berechtigt ist oder nicht, lässt sich so nicht sagen.

Mir fehlen allerdings ein paar andere "typische" Einträge. Könntest du mir den Link zu deinem Thema bei HijackThis geben?
lg myrtille

Ok, hier ist der Link!

http://forum.hijackthis.de/showthread.php?p=228575#post228575

So, werd mal ins Bett gehen und morgen wieder reinschauen!

Vielen lieben Dank schon mal für die Hilfe!
Lg Heinz

Hi,

das erklärt wo die Dateien geblieben sind.

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

lg myrtille

Hallo,
hier die Links zu den Log Dateien


http://www.file-upload.net/download-1162137/log.txt.html

http://www.file-upload.net/download-1162139/info.txt.html


LG Heinz

Hi,

die Logs sehen sauber aus

lg myrtille

Hallo!
Also sind die Funde von DrWeb harmlos?

Wenn jetzt alles sauber ist, wäre es gut, wenn ich auf SP3 updaten würde, oder? Spricht irgendwas dagegen?

LG Heinz

Hi,

ja, die ersten 2 Funde (;BackDoor.IRC.Dosig.15 und Tool.Prockill sind Dateien die zu Smitfraudfix gehören, die fälschlicherweise erkannt werden.
Die restlichen Funden gehören zu deinen Pokerprogrammen.


Besuche bitte mit dem Internet Explorer die Seite Microsoft Windows Update und installiere alle fehlenden Updates. (Kann nciht schaden )
Besuche vielleicht noch Secunia und überprüfe bitte ob deine Software aktuell ist. (Dazu wird Java benötigt)

lg myrtille

OK!


Ein großes Dankeschön für die Hilfe!!!

:aplaus:


LG Heinz