Hallo,

seit einigen Tagen habe ich Probleme mit Trojanern, Pop-ups und vorher nicht da gewesenen Prozessen.

Zunächst ist mir aufgefallen, dass es da einen Prozess namens medbbayx.exe gibt, den ich nirgends finden kann (also z.B. auf Seiten im Internet, die die laufenden Prozesse analysieren).

Dann habe ich mithilfe von Antivir auch einen Trojaner aufgespürt (TR/Dropper.Gen). Außerdem habe ich trotz Pop-up-Blocker (der normalerweise sehr gut funktioniert) seit neuestem oft Pop-ups im Hintergrund. Diese Pop-ups werben für Antispyware aber auch für Spiel- oder XXX-Seiten.

Ich hab mir dann alle möglichen Programme zu Hilfe genommen, z.B. Adaware, Spyware Doctor, Malwarebytes, CCleaner, HijackThis, etc.

Spyware Doctor hat auch einige Male Trojan-Dropper.SEH gelöscht und Application.TrackingCookies. Ein Mal war auch ein ganz "böser" Trojaner dabei - ich glaube es war Trojan-Banker oder so was...

Naja, auf jeden Fall habe ich jetzt noch nen anderen Prozess, den ich nicht kenne (eecmw.exe) und das Gefühl, dass da noch so einiges nicht in Ordnung ist...

Vielen Dank im Voraus!

Ach ja - ich habe Windows XP SP3

Hier noch ein HijackThis-Log File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:49:03, on 12.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft LifeCam\MSCamS32.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wbsecsvc.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\dokumente und einstellungen\anne\lokale einstellungen\anwendungsdaten\eecmw.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [eecmw] "c:\dokumente und einstellungen\****\lokale einstellungen\anwendungsdaten\eecmw.exe" eecmw
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {164B406B-0FD6-4E7F-BA7E-64D227D4CA37} (dnlplayer Class) - http://h**p://w**.digitalwebbooks.co...r/dbplugin.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://h**p://gfx2.mail.live.com/mai...s/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://h**p://download.bitdefender.c...an8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://update.microsoft.com/w...?1143122975250
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://h**p://static.ak.studivz.net/...eUploader4.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - h**p://camera1.mairie-brest.fr/activex/AMC.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

--
End of file - 11282 bytes

Fix bitte mal folgende Einträge:

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [eecmw] "c:\dokumente und einstellungen\****\lokale einstellungen\anwendungsdaten\eecmw.exe" eecmw

O16 - DPF: {164B406B-0FD6-4E7F-BA7E-64D227D4CA37} (dnlplayer Class) - http://h**p://w**.digitalwebbooks.co...r/dbplugin.cab
         

Mfg
Syne

Hey Syne,

vielen Dank für Deine Antwort!

Ich hab nun gemacht, was Du gesagt hast und nochmal Vollsuche von Spyware Doctor laufen lassen. Der hat dann wieder diesen Trojan.Banker gefunden.

Jetzt lass ich gerade nochmal Malwarebytes laufen und der hat mittlerweile auch was gefunden (weiß noch nicht, was es ist).

Hab die Systemwiederherstellung ausgeschaltet, weil ich das mal irgendwo gelesen hab... Ob das wohl ok ist?

Hallo

Zitat:

Ich hab nun gemacht, was Du gesagt hast und nochmal Vollsuche von Spyware Doctor laufen lassen. Der hat dann wieder diesen Trojan.Banker gefunden.

Wo wurde welche Datei angemeckert (Pfad/Dateiname)?

Zitat:

Hab die Systemwiederherstellung ausgeschaltet, weil ich das mal irgendwo gelesen hab... Ob das wohl ok ist?

erstmal ja

Überprüfe dein System außerdem mit Navilog

Zitat:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

MFG

Hallo,

also soweit ich noch alles zusammenkriege, wurden folgende Trojaner etc. gefunden:

ANTIVIR

Die Datei 'C:\Dokumente und Einstellungen\****\Eigene Dateien\Downloads\Sam_and_Max_Screensaver.Scr'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

In der Datei 'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\IXP000.TMP\IS1668~2.EXE'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\IXP000.TMP\IS1668~2.EXE'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\24V58HUW\zpu[3].htm'
wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

SPYWARE DOCTOR

hier wurden so viele Trojaner, Cookies etc. gefunden, dass ich nicht weiß, ob es Sinn macht, sie alle einzeln aufzulisten... Ich habe außerdem leider nur noch die Funde von gestern...

Was ich sehr komisch finde, ist das hier:

Name der Bedrohung - Spyware.Found_By_Browser_Defender
Typ - Temporäre Internetdatei
Risiko-Stufe - Mittel
Infektion - C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5HXMS3XG\menu_open[1].gif - h**p://www.trojaner-board.de/images/misc/menu_open.gif

-- davon gab es dann hunderte von Infektionen... Liegt das vielleicht am Namen?

Außerdem noch einige andere Infektionen:

Name der Bedrohung - Trojan-Downloader.Zlob.GEN
Typ - Datei
Risiko-Stufe - Hoch
Infektion - C:\Programme\Apple Software Update\ScriptingObjectModel.dll

Name der Bedrohung - Spyware.Found_By_Browser_Defender
Typ - Datei
Risiko-Stufe - Mittel
Infektion - C:\Dokumente und Einstellungen\Administrator\Favoriten\Tipps fürs Surfen\Computerthemen\Software\WinFiles.com! The best 32-bit Shareware.url

Name der Bedrohung - Spyware.Found_By_Browser_Defender
Typ - Datei
Risiko-Stufe - Mittel
Infektion - C:\WINDOWS\system32\config\systemprofile\Favoriten\Tipps fürs Surfen\Computerthemen\Software\WinFiles.com! The best 32-bit Shareware.url

Name der Bedrohung - Spyware.Known_Bad_Sites
Typ - Cookie
Risiko-Stufe - Hoch
Infektion - adserver.easyad.info/ adserver.easyad.info

Name der Bedrohung - Spyware.Known_Bad_Sites
Typ - Temporäre Internetdatei
Risiko-Stufe - Hoch
Infektion - C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3WHLG30E\addyn%7C3[1].0%7C525%7C1480931%7C0%7C168%7CADTECH;cfp=1;rndc=122660645;loc=100;target=_blank;misc=[1226606455];rdclick= - http://adserver.easyad.info/addyn%7C3.0%7C525%7C1480931%7C0%7C168%7CADTECH;cfp=1;rndc=122660645;loc=100;target=_blank;misc=[1226606455];rdclick=

Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - zedo.com/ zedo.com

Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - bs.serving-sys.com/ bs.serving-sys.com

Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - doubleclick.net/ doubleclick.net

Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - msnportal.112.2o7.net/ msnportal.112.2o7.net

Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - bs.serving-sys.com/ bs.serving-sys.com

Name der Bedrohung - Adware.Advertising
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - atdmt.com/ atdmt.com


Und so weiter, und so fort...

Leider weiß ich nicht mehr, wo dieser Banker war, da ich SpyWare Doctor zwischendurch mal neu installiert habe...



Hier nun die Ergebnisse von Navilog:

Search Navipromo version 3.6.9 began on 14.11.2008 at 11:02:08,65

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "****"

Updated on 05.11.2008 at 21h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\****\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\****\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\****\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\****\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\****\lokale~1\anwend~1" :

eecmw.exe found !
eecmw.dat found !
eecmw_nav.dat found !
eecmw_navps.dat found !

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 14.11.2008 at 11:08:19,68 ***




Vielen Dank für die Hilfe!

Ach ja, und hier noch was von Malwarebytes:


Infizierte Dateien:

C:\Programme\WordToPDF\PrInst.exe (Backdoor.Bot) -> Quarantined and deleted successfully.



Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully

Hallo

Zitat:

SPYWARE DOCTOR

hier wurden so viele Trojaner, Cookies etc. gefunden, dass ich nicht weiß, ob es Sinn macht, sie alle einzeln aufzulisten...

Nee ja hätte ich sonst danach gefragt, was meinst du?

Wenn es dir nur um die Werbeeinblendungen geht, wende Navilog mit der Option 2 an und gut isses...

Ich würde mich aber schon auf eine Neuinstallation des Betriebssystems einstellen Zlob, Vundo und der Banker in Kombination sind Grund genug, dazu kommen ein Downloader (Virustotal. MD5: 38fd99ec1c1d5fe4ae45b5cccf0ceaf4 TR/Dropper.Gen Win32:Trojan-gen {Other} Win32.Trojan-Spy.VB.lh.3) sowie Adware Navipromo welche Rootkittechniken nutzt um sich zu verstecken.

Edit : Hauptgewinn würde ich sagen

Zitat:

C:\Programme\WordToPDF\PrInst.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Nun darfst du beruhigt dem Link zur Neuinstallation folgen

MFG

Hi nochdigger,

Systemneuinstallation ist also unumgänglich?? Ohje... Das wird ein Spaß!

Vielen Dank für Deine Hilfe und Rat!

Hallo

Zitat:

Systemneuinstallation ist also unumgänglich?

Unter dem Aspekt der Systemsicherheit, Ja.
Entfernen lässt sich fast alles, ob das System dann noch läuft, steht auf einem anderem Blatt

Ändere nach der Neuinstallation oder von einem sauberen System aus alle deine Pass- und Kennwörter.
Wenn du eine Sicherung deiner Daten durchführen möchtest,
lass die Finger von ausführbare Dateien
und Dateien aus unsicheren Quellen wie P2P.
Musik, Videos, Bilder und Officedateien können i.d.R. problemlos gesichert werden,
sollten aber vor dem wiederverwenden mit einem aktuellem Antivirenprogramm überprüft werden (keine 100% Sicherheit).

MFG