Hallo,
Ich habe mit Antivir Vieren Warnungen bekommen weil u.a. damals auch mit Cheattools Testweise gearbeitet hatte sowie Freeware und diese als Virus einstuften.
Insgesamt kann ich diese Meldungen aufzeigen:

C:\Dokumente und Einstellungen\***\Anwendungsdaten\SecTaskMan\_TeaTimer2F549AA5
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware

C:\System Volume Information\_restore{********-**********-*****-DB3F0F3543DA}\RP194\A0032961.dll
Erkennungsmuster des Windows-Virus W95/Blumblebee.1738

C:\System Volume Information\_restore{*********-**********-****-DB3F0F3543DA}\RP196\A0033415.exe
[0] Archivtyp: OVL
--> Object
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
sowie Erkennungsmuster des Wurmes WORM/SdBot.6802895

und aktuell: Trojan.Downloader-Gen/Suspicious

und ältere von 2005:
Trainer Maker Kit 15
shared.dat
[FUND!] Ist das Trojanische Pferd TR/Interlac.10.B
+ TR/Dldr.Ist.Bar.4608.9

und eine Signatur des Java Skript Virus JS/Dldr.Ist.Bar.U

Ich bin mir bei Antivir Free nicht so sicher ob das wirkliche Gefahr war/ist weil ich die Heuristik hoch eingestellt habe und bei den Schummeltools auch durch den eingriff in den memory Schden festgestellt wurde.
Ich surfe seit Jahren eigentlich sicher und nutze Spybot etc. und gehe mit Eingeschränkten Nutzerrechten ins Netz.
Dennoch wollte ich mal fragen ob mein Highjack *.Log OK aussieht.
Ich habe einige Programme auf den Rechner die ich nicht durch ein neu aufsetzen von Windows löschen wollte.
Waran kann ich denn nun erkenne ob mein System noch vertrauenswürdig ist?
Bitte schaut mal in mein *.Log.

Vielen Dank im Voraus


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:31:39, on 05.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Steganos Safe Home\SteganosHotKeyService.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HP Deskjet Drucker\Digital Imaging\bin\hpqtra08.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\HP Deskjet Drucker\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre6\bin\java.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sicherheit\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\***\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\***\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SAFEHOME HotKeys] "C:\Programme\Steganos Safe Home\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-21-3588590466-2161807218-2885428501-1005\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (User '?')
O4 - HKUS\S-1-5-21-3588590466-2161807218-2885428501-1005\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (User '?')
O4 - Global Startup: Adobe Reader Synchronizer.lnk.disabled
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP Deskjet Drucker\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - h**p://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: ****://download.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211745696300
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130359438702
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB44F8B2-45ED-442A-A214-78D99E338ACD}: NameServer = 192.168.2.1
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slmdmsr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

--
End of file - 7274 bytes

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Temp\ habe ich beim surfen diese Antivir Meldung: TR/Unpacked.Gen
da er im temp war habe ich auf löschen gedrückt ich weiß bis heute nicht was das beste ist bei einem Fund.
Quarantäne, reparieren oder was sagen die profis hier?
Ist der LOG denn wenigsten sauber?

so während ich jetzt mit mit Housecall 6.5 einen kompletten Onlinescan mache kommen Antivir Meldungen als erstes diese C:\DOKUME~1\***\LOKALE~1\Temp\V3UGTNa03592

WORM/SdBot.6802895

und in C:\DOKUME~1\***\LOKALE~1\Temp\VS0FQ3MS.0JQ
auf Antivir vermutung
HEUR/Crypted

C:\DOKUME~1\***\LOKALE~1\Temp\VS0FQ3MS.0R6
TR/Crypt.XPACK.Gen

so und der onlinescan HouseCall sagte bislang den an:
TSPY_HATKEYS.C

Also jetzt frag ich mich warum jetzt wo ich DSL habe wieder diese Meldungen so oft kommen.

weitere Anivir Meldungen während Onlinescan lief:

C:\DOKUME~1\***\LOKALE~1\Temp\VS0FQ3MS.0SD
TR/Dropper.Gen

C:\DOKUME~1\Daniel\LOKALE~1\Temp\VS0FQ3MS.0SR
TR/Unpacked.Gen

C:\DOKUME~1\Daniel\LOKALE~1\Temp\VS0FQ3MS.0T2
TR/Unpacked.Gen

Vermutlich hat es sogar mit dem onlinescan zu tun, was mein Ihr?

so und der onlinescan HouseCall sagt am Ende:

Gefundene Malware:
"TSPY_HATKEYS.C"

Gefundene Gray- und Spyware:
"ADWARE_BRILLIANTDIGITALENTERTAINMENT"

Sicherheitslücken:
"Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution (833987)"
sowie "MS08-067"

falls heute noch ein Fachmann Antwortet meine frage:

Soll ich jetzt alle diese Teile mit Housecall löschen?