Probleme mit Kaspersky

Melissa22 · 06.10.2008, 23:52

Hallo,

ich bin ganz neu im Forum und ziemlicher Anfänger was Trojaner anbelangt.
Ich habe bis jetzt immer das Avira Antivir-Programm verwendet, was mir auch immer gute Dienste geleistet hat.
Aufgrund ständiger Trojaner-Warnmeldungen meines Windows Firewalls, die von Avira nicht gefunden werden konnten, habe ich nun heute die Testversion von Kapersky Anti Virus 2009 heruntergeladen und einen Scan durchgeführt.

Es wurden fünf Trojaner gelöscht, worüber ich sehr froh bin, allerdings hat es mich verwundert, dass zahlreiche Funde im Bericht rot unterlegt und mit roten Ausführungszeichen versehen waren - diese konnte ich nicht löschen bzw. weiß nicht, wie ich sie löschen kann, da ich sie in den entsprechenden Ordnern nicht finden kann (ich habe auch in den versteckten Dateien nachgesehen).

Es handelt sich um Dateien aus C:\System Volume Information
und im C:\Windows\system32-Ordner sind es die Dateien mjudgpkb.exe und onidquoz.exe, die mir gar nichts sagen.
Wie kann es sein, dass ein Virenprogramm Daten anzeigt, die gar nicht existieren?
In der Hilfe des Programms wurde ich leider nicht fündig.

Als eine weitere hohe Gefahrenquelle bzw. Schwachstelle werden bei mir Java, Macromedia und Microsoft Office, außerdem das Info-Center meines Druckers angegeben. Java lass ich mir ja noch eingehen, aber Winword? Was kann ich gegen diese Schwachstellen tun?

Über Tips und Anregungen wäre ich euch sehr, sehr dankbar.

cosinus · 07.10.2008, 14:39

Hallo und

Zitat:

habe ich nun heute die Testversion von Kapersky Anti Virus 2009 heruntergeladen und einen Scan durchgeführt.

Du hast hoffentlich AntiVir zuvor deinstalliert! Zwei Virenscanner in der Art mit Hintergrundwächter vertragen sich nämlich idR nicht.
Dass der eine oder andere Scanner diesen oder jenen Schädlich nicht erkennt ist völlig normal, denn es gibt heute noch keine Methoden zu 100% sicher jeden Schädling zu erkennen. Wäre das der Fall, wären heutzutage nicht Millionen von PCs infiziert.

Zitat:

Es wurden fünf Trojaner gelöscht,

Das ist toll

aber Du solltest den Bericht hier posten (bitte mit Codetags umschlossen) damit wir hier sehen welche Schädlinge denn KAV gefunden hat...

Zitat:

Wie kann es sein, dass ein Virenprogramm Daten anzeigt, die gar nicht existieren?

Das könnte an Deiner mangelhaften Einstellungen des Windows-Explorers liegen, der nämlich standardmäßig Systemdateien und versteckte Objekte ausblendet.

Zitat:

Java lass ich mir ja noch eingehen, aber Winword? Was kann ich gegen diese Schwachstellen tun?

Man muss für jedes Programm, was auf dem Computer verwendet wird, zeitnah Updates installieren...das gilt auch für M$ Office.

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Melissa22 · 07.10.2008, 22:40

Danke für die zahlreichen Tips. Ich habe mich bemüht die Anweisungen zu befolgen.

Mein ursprüngliches Problem waren Fehlermeldungen meiner Firewall, hierbei handelte es sich um
Trojan-Spy.Win32.keylogger.aa
Trojan-Downloader.Win32.Agent.bq
Trojan-Spy.HTML.Bankfraud.dq
Trojan-spy.Win32.GreenScreen
Trojan-Clicker.Win32.Tiny.h
Also hab ich u. a. Antivir und Spybot durchscannen lassen - ohne Erfolg.
Vor der Anwendung von Kaspersky habe ich Antivir gelöscht, ebenso spybot.
Die Fehlermeldungen sind seit 2 Tagen verschwunden, im Scan gestern wurden folgende Trojaner gefunden und desinfiziert:
Trojan.Win32.obfuscated.gx (insgesamt 4 Mal)
Trojan-Downloader.Win32.Agent.bbb
Als Quellen werden die bereits von mir oben genannten Dateien angegeben.
Diese Trojans wurden laut Programm desinfiziert.

Ich habe heute nochmal Kaspersky durchlaufen lassen, gefunden wurde nur 2x die Datei c:\windows\system32\mjudgpkb.exe; rot untermalt und mit roten Ausführungszeichen. Es wurden keine Trojaner gefunden; interessant ist, dass die Statistik 14 (!) trojanische Programme auflistet - fünf wurden wie gesagt gestern desinfiziert, wo der Rest gelieben ist, weiß ich nicht.

Ich habe wie bereits erwähnt auch die versteckten Objekte "sichtbar" gemacht, kann die Dateien dennoch nicht finden.

Hier nun die Hijack-Logfile, von der ich nicht verstehe, wie man erkennen soll, ob sich Viren oder anderes Ungeziefer darin befindet. Deswegen finde ich es besonders nett, dass sich hier User bereit erklären das Ganze zu "übersetzen".

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:03, on 07.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Search Settings\SearchSettings.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\Dokumente und Einstellungen\...\Desktop\qlketzd.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\kb127\SearchSettings.dll
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\scvhost\svchost.exe,wuauserv.exe
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\kb127\SearchSettings.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [HP Software Update] c:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AAWTray] C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SB1.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O24 - Desktop Component 1: Anfy WATER - C:\Programme\AnfyTeam\Applet\water\preview.html

--
End of file - 13183 bytes

Bei MBR stand nur folgendes:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

BlackLight hat nichts gefunden

Malwarebytes' Antimalware - Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) - durchsucht die angeblich gefährlichen Ordner, findet jedoch nichts daran auszusetzen.
Es werden auch ansonsten keine infizierten Objekte gefunden (vor drei Tagen hat das Programm noch Trojaner gefunden und beseitigt).

Silentrunners
http://www.file-upload.net/index.php?to=links&id=1166142&img=0&hash=1442c00d7d7cc3e668af9704c6c13e3b

Ich hoffe, ich hab alles richtig ausgeführt und richtig gepostet.
Vielen lieben Dank nochmal.

cosinus · 07.10.2008, 22:53

Zuallererst: Was ist mit den anderen Tools, Combofix als Beispiel?

Zitat:

Mein ursprüngliches Problem waren Fehlermeldungen meiner Firewall, hierbei handelte es sich um
Trojan-Spy.Win32.keylogger.aa

Das kann ich nicht ganz nachvollziehen, denn eine Firewall überwacht nur die Verbindungen und kann somit eigentlich nur die Dateien bzw. Prozesse melden, die nach draußen wollen, eine Firewall (Software-Firewall) kann aber nicht erkennen, welcher Schädling sich dahinter verbirgt. Außerdem fehlen immer noch die Pfadangaben! Ein Grund, weshalb ich Dich bat, das Logfile des Programms zu posten, was Dir diese Meldungen ausspuckte!

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb

Aus dem Logfile - wer Tauschbörsen nutzt und einschlägige noch dazu, darf sich eigentlich nicht über Befall wundern.

Ein schädliches Verzeichnis sehe ich schonmal, geh bitte so vor:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

folders to delete:
C:\Programme\Search Settings

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Melissa22 · 08.10.2008, 18:55

Ich habe bis auf Combo-Fix und das Filelisting alle Programme durch, die du genannt hast.

Hier die Resultate vom Filelisting: http://www.file-upload.net/download-1167540/listing.txt.html

Bei Combofix hatte ich etwas Hemmungen, weil du schreibst "Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren." Deswegen wollte ich erst einmal alle anderen Programme durchmachen und wenn dann immer noch was da ist, diesen letzten Schritt vollziehen, ich bin wie gesagt ein blutiger Anfänger.

Das mit der Firewall...
Ich habe die genannten Trojaner unter Google angegeben und es hat sich herausgestellt, dass diese Fehlermeldungen keine echten sind, sondern ihrerseits von einem Trojaner ausgelöst werden.
http://www.trojaner-board.de/60947-hilfe-trojan-clicker-win32-tiny-h-und-aehnliche-fake-alerts-aufgetaucht.html
http://de.pcthreat.com/parasitebyid-7060de.html

Du meinst mit Pfadangaben, die auf denen die Trojaner gesichtet wurden?
c:\system volume information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP363\A0080609.exe
c:\system volume information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP363\A0080378.exe
c:\system volume information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP363\A0080616.exe

c:\windows\system32\mjudgpkb.exe
c:\windows\system32\onidquoz.exe

Report von Avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Programme\Search Settings" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Hijack this

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:32:50, on 08.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\...\Desktop\qlketzd.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\kb127\SearchSettings.dll (file missing)
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\scvhost\svchost.exe,wuauserv.exe
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\kb127\SearchSettings.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [HP Software Update] c:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AAWTray] C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SB1.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O24 - Desktop Component 1: Anfy WATER - C:\Programme\AnfyTeam\Applet\water\preview.html

--
End of file - 13102 bytes

Lieben Dank für deine Bemühungen.

cosinus · 08.10.2008, 19:37

Zitat:

Bei Combofix hatte ich etwas Hemmungen, weil du schreibst "Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren."

Deswegen ja auch nach meiner Anleitung ausführen, so kann eigentlich nix passieren. Reich das bitte noch nach das CF-Logfile.

Code:

ATTFilter

Du meinst mit Pfadangaben, die auf denen die Trojaner gesichtet wurden?
c:\system volume information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP363\A0080609.exe
c:\system volume information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP363\A0080378.exe
c:\system volume information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP363\A0080616.exe

Die Systemwiederherstellung hat Du aber schon deaktiviert?

Melissa22 · 08.10.2008, 22:52

Wiederherstellung hatte ich tatsächlich auch vergessen.
Hab ich jetzt nachträglich gemacht (VOR Combofix). Sollte ich besser alle Punkte noch einmal abarbeiten? Muss das Häkchen bei Wiederherstellung deaktivieren jetzt immer drinbleiben oder nur solange die Probleme behoben sind?

Hier ist der ComboFix-Code

Code:

ATTFilter

ComboFix 08-10-08.01 - ... 2008-10-08 23:16:32.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.91 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\...\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\...\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\...\ravmonlog
C:\WINDOWS\system32\advport.dll
C:\WINDOWS\system32\mstacim.sig
C:\WINDOWS\system32\wbem\ocmor.dll
E:\Autorun.inf

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CLIPART
-------\Legacy_MSQMX
-------\Legacy_MXDISPDR
-------\Service_mxdispdr


(((((((((((((((((((((((   Dateien erstellt von 2008-09-08 bis 2008-10-08  ))))))))))))))))))))))))))))))
.

2008-10-08 22:59 . 2008-10-08 22:59	<DIR>	d--------	C:\Programme\CCleaner
2008-10-06 23:20 . 2008-10-06 23:20	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-10-06 20:33 . 2008-10-06 20:33	<DIR>	d--------	C:\Program Files
2008-10-06 20:31 . 1996-07-18 13:06	297,472	--a------	C:\WINDOWS\uninst.exe
2008-10-06 20:13 . 2008-10-06 20:39	96,976	--a------	C:\WINDOWS\system32\drivers\klin.dat
2008-10-06 20:13 . 2008-10-06 20:13	87,855	--a------	C:\WINDOWS\system32\drivers\klick.dat
2008-10-06 20:12 . 2008-10-06 20:12	<DIR>	d--------	C:\Programme\Kaspersky Lab
2008-10-06 20:12 . 2008-10-08 23:31	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-06 20:12 . 2008-10-08 23:27	2,709,536	--ahs----	C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-06 20:12 . 2008-10-08 23:27	376,864	--ahs----	C:\WINDOWS\system32\drivers\fidbox2.dat
2008-10-06 20:12 . 2008-10-08 23:27	23,296	--ahs----	C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-06 20:12 . 2008-10-08 23:27	2,368	--ahs----	C:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-06 20:04 . 2008-10-06 20:04	<DIR>	d--------	C:\Programme\Kapersky Anti-Virus 2009
2008-10-06 12:34 . 2008-10-06 12:34	<DIR>	d--------	C:\Programme\AmoK_DelayDel_v1.20
2008-10-06 00:45 . 2008-10-06 00:45	<DIR>	d--------	C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-10-06 00:23 . 2008-10-06 00:23	<DIR>	d--------	C:\Programme\ClearProg
2008-10-05 21:57 . 2008-10-05 21:57	<DIR>	d--------	C:\Programme\Avira
2008-10-05 21:57 . 2008-10-06 20:07	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-10-05 20:45 . 2008-10-05 20:45	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-05 20:45 . 2008-10-05 20:45	<DIR>	d--------	C:\Dokumente und Einstellungen\...\Anwendungsdaten\Malwarebytes
2008-10-05 20:45 . 2008-10-05 20:45	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-05 20:45 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-05 20:45 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-05 19:52 . 2008-10-06 01:48	<DIR>	d--------	C:\Programme\Enigma Software Group
2008-10-05 19:31 . 2008-10-05 19:31	164	--a------	C:\install.dat
2008-10-05 07:05 . 2008-10-06 20:07	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-10-05 06:15 . 2008-10-05 06:36	<DIR>	d-a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-25 18:55 . 2008-09-25 18:55	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-09-25 18:52 . 2008-09-25 18:52	<DIR>	d--------	C:\Programme\SlySoft
2008-09-25 18:31 . 2008-09-25 18:31	<DIR>	d--------	C:\Programme\S.A.D
2008-09-24 23:03 . 2008-09-24 23:03	<DIR>	d--------	C:\Programme\MSECache
2008-09-20 16:16 . 2008-10-08 22:51	<DIR>	d--------	C:\Dokumente und Einstellungen\...\Anwendungsdaten\Search Settings
2008-09-20 16:06 . 2001-03-23 16:29	880,912	--a------	C:\WINDOWS\WM8EUTIL.exe
2008-09-20 16:02 . 2008-09-20 16:03	<DIR>	d--------	C:\Programme\mp3DirectCut
2008-09-20 12:44 . 2008-09-20 12:44	99,648	--a------	C:\WINDOWS\system32\drivers\AnyDVD.sys
2008-09-18 19:22 . 2008-09-18 19:22	<DIR>	d--------	C:\Dokumente und Einstellungen\...\Anwendungsdaten\TomTom
2008-09-18 19:21 . 2008-09-18 19:21	<DIR>	d--------	C:\Programme\TomTom HOME 2
2008-09-18 19:06 . 2008-09-18 19:21	<DIR>	d--------	C:\Programme\TomTom HOME
2008-09-17 18:34 . 2008-09-17 18:35	<DIR>	d--------	C:\Programme\HyCam2

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-01 01:40	1,829	----a-w	C:\Programme\PCBIB.INI
2008-09-30 20:42	---------	d-----w	C:\Programme\eMule
2008-09-25 16:30	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-18 22:03	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-09 12:37	---------	d-----w	C:\Programme\TuneUp Utilities 2006
2008-02-16 00:43	223,744	----a-w	C:\Programme\MySpace Music Downloader.exe
2007-10-12 13:36	17,544,048	----a-w	C:\Programme\setupger.exe
2007-05-01 17:21	6,615,736	----a-w	C:\Programme\FirefoxGoogleToolbarSetup.exe
2007-04-20 07:36	496,888	----a-w	C:\Programme\ie6setup.exe
2006-09-24 18:37	197,120	----a-w	C:\Programme\lame.exe
2006-09-24 18:37	169,472	----a-w	C:\Programme\lame_enc.dll
1997-08-10 15:09	1,310,208	----a-w	C:\Programme\pc_bib2.exe
1997-07-28 16:21	327,354	----a-w	C:\Programme\pcbib.hlp
1997-07-23 17:03	4,689	----a-w	C:\Programme\pcbib.cnt
1997-03-20 14:15	9,216	----a-w	C:\Programme\HotKDL32.dll
1996-07-19 11:32	33,792	----a-w	C:\Programme\_ISREG32.DLL
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"TomTomHOME.exe"="C:\Programme\TomTom HOME 2\HOMERunner.exe" [2008-05-06 202088]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-09-20 2177984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"PTHOSTTR"="C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2006-02-14 122880]
"HP Software Update"="c:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-31 122940]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-31 761946]
"hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-03-28 454656]
"CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll" [2003-12-22 17920]
"QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-23 131072]
"Cpqset"="C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe" [2006-04-21 40960]
"Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2005-12-20 1187840]
"Reminder"="C:\WINDOWS\Creator\Remind_XP.exe" [2006-03-09 806912]
"Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-02-15 892928]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-04-06 185896]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 282624]
"AAWTray"="C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe" [2007-08-08 88024]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-02-08 488984]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam10\QuickCam10.exe" [2007-02-08 774168]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 176128]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 671796]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-05-08 67128]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
Source= C:\Programme\AnfyTeam\Applet\water\preview.html
FriendlyName= Anfy WATER

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
2005-07-25 20:41 40960 C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]
2006-03-03 17:08 434176 C:\WINDOWS\system32\IfxWlxEN.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli AsWlnPkg

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"Symantec Core LC"=2 (0x2)
"NSCService"=2 (0x2)
"navapsvc"=2 (0x2)
"SPBBCSvc"=2 (0x2)
"SNDSrvc"=3 (0x3)
"SAVScan"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\WINDOWS\\network diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R1 PersonalSecureDrive;PersonalSecureDrive;C:\WINDOWS\system32\drivers\psd.sys [2005-11-29 36768]
R2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 61440]
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-10-21 36352]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
R3 uscsc108;uscsc108;C:\WINDOWS\system32\DRIVERS\uscsc108.sys [2003-03-09 102336]
S0 osltx;oslt;C:\WINDOWS\system32\DRIVERS\osltx.sys [ ]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [ ]
S3 ATMELFVNETusb(AR)(R);ATMEL FVNETusb(AR)(R) Service for Siemens Gigaset USB Adapter 11;C:\WINDOWS\system32\DRIVERS\vnetusbk.sys [ ]
S3 ATMELWinXPPCMCIAFVNETR(458AS)(R);ATMEL WinXP PCMCIAFVNETR(458AS)(R) Service for Siemens Gigaset PC Card 11;C:\WINDOWS\system32\DRIVERS\f458as51.sys [ ]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 17536]
S3 PCMCIAFVNETR;Siemens Gigaset PC Card 11;C:\WINDOWS\system32\DRIVERS\fvnetr.sys [ ]
S3 PONDIS5;PONDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\PONDIS5.SYS [ ]
S3 scramby_out;Scramby Output;C:\WINDOWS\system32\drivers\scramby_out.sys [2007-08-08 23840]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [ ]
S3 SiemensSiemensGigUSB(5A)(R);Siemens SiemensGigUSB(5A)(R) Service for Siemens Gigaset USB Adapter 11;C:\WINDOWS\system32\DRIVERS\vn5a8asx.sys [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance	REG_MULTI_SZ   	ASChannel

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0edb2364-c932-11dc-80af-0017083ac5e2}]
\shell\verb1\command - F:\desktop.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b582fda-e31e-11db-be28-0001e340fec2}]
\shell\verb1\command - F:\desktop.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6a97a24e-85a3-11dd-8262-0014a5cab6d3}]
\shell\verb1\command - F:\desktop.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6e830b8-e5e3-11db-be2e-0017083ac5e2}]
\shell\verb1\command - F:\desktop.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-03 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 02:29]

2008-10-06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-06-03 13:42]

2008-10-08 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 12:20]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\2vcci3j4.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-08 23:30:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe??@?????????????,?@?????xc??????R?@?????,?@ 

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\HPQ\IAM\Bin\asghost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-08 23:38:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-08 21:37:25

Vor Suchlauf: 17 Verzeichnis(se), 25.820.876.800 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 25,715,904,512 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=AlwaysOff /usepmtimer

247	--- E O F ---	2008-10-06 16:55:03

cosinus · 09.10.2008, 09:45

Nein, alle Punkte müssen nicht nocheinmal abgearbeitet werden. Ich sach Dir schon wann Du was ausführen solltest.

Die Systemwiederherstellung solltest Du erst dann wieder aktivieren, wenn der Prozeß hier abgeschlossen ist - noch sehe ich da einige verdächtige Dateien. Es sei denn Du brauchst die SWH nicht (ich finde sie ziemlich unbrauchbar - wenn man sich auf die im Notfall verlässt hilft sie nicht und verbrät nur Speicher

).

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\WINDOWS\system32\DRIVERS\osltx.sys
C:\WINDOWS\system32\drivers\psd.sys
C:\WINDOWS\system32\IfxWlxEN.dll
C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS

Melissa22 · 09.10.2008, 15:37

Die erste Datei kann ich nicht finden, trotz Ansicht aller Dateien.

C:\WINDOWS\system32\drivers\psd.sys
http://www.virustotal.com/de/analisis/b1e95556f80822431d2abd0c73bf46bb

C:\WINDOWS\system32\IfxWlxEN.dll
http://www.virustotal.com/de/analisis/fb673201f669fe79b55486ab2f3a2333

C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS
http://www.virustotal.com/de/analisis/c056c35e1af2492bdbe8f6714ca43c2c

Melissa22 · 12.10.2008, 16:15

Zitat:

Zitat von root24

noch sehe ich da einige verdächtige Dateien.

Und wie geht's jetzt weiter?

cosinus · 12.10.2008, 20:32

Die Dateien scheinen sauber zu sein. Was ist mit dem ursprünglichen Problem?

Melissa22 · 13.10.2008, 20:22

Laut Kaspersky ist mein Laptop trojanerfrei

Rot unterlegte Einträge kommen nicht mehr vor.
Ich habe die Hilfedatei jetzt nochmal studiert und finde nach wie vor keine Möglichkeit diese zu löschen, wenn sie angezeigt werden. Die einzige Möglichkeit ist diese im jeweiligen Programm manuell zu löschen.

Es wundert mich schon, dass damals Dateien angezeigt wurden, die ich dann nicht finden konnte - war ja bei der dritten Datei, die du genannt hast ebenso und das obwohl ich alle Dateien anzeigen eingestellt habe.

Die Gefahrenquellen von Java, Macromedia, Realplayer und MS Office bestehen weiterhin. Aber damit muss ich wohl leben.

Ich danke dir nochmal ganz herzlich root, dass du mich durch diesen Virendschungel navigiert hast. Du warst mir wirklich eine sehr, sehr große Hilfe.

cosinus · 13.10.2008, 21:12

Zitat:

Die Gefahrenquellen von Java, Macromedia, Realplayer und MS Office bestehen weiterhin. Aber damit muss ich wohl leben.

Äh - das hatte ich doch schon am Anfang erwähnt. Du musst jedes Programm aktualisieren, Patches einspielen, um bekannte Sicherheitslücken zu schließen. Um das Sicherheitsrisiko zu minimieren, am besten nur mit eingeschränkten Rechten surfen.

12.10.2008, 20:32	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Probleme mit Kaspersky Die Dateien scheinen sauber zu sein. Was ist mit dem ursprünglichen Problem? __________________ Logfiles bitte immer in CODE-Tags posten

Probleme mit Kaspersky

Antiviren-, Firewall- und andere Schutzprogramme: Probleme mit Kaspersky