Hallo,

ich wollte mir gestern auf einer Chat Seite eine Videokonferenz machen und dann ist mir Opera abgestürzt, das passiert ab und an und scheint an Silverlight zu liegen. Das kuriose war, daß Opera dann direkt beim Neustart abgestürzt ist. Ich habe dann versucht die gesamten Daten inkluse Verlauf zu löschen und Opera hat angefangen Sachen in die Adresszeile zu tippen, u.a. die einer IT Firma in den arabischen Emiraten oder meinen Nachnamen in das Google-Suchfeld. Für mich sah das sehr nach Remotezugriff aus, wie ich ihn aus meiner Arbeit als IT Admin kenne. Ich habe darauf hin sofort die Internetverbindung gekappt und HijackThis benutzt. Ohne Ergebnis.

Eigentlich läuft mein System über einen Router und die Windows-Firewall ist an, ich habe auch Avira AntivirPremium am Laufen, die einzige Schwachstelle am System mag meine Internetkamera sein, die über ein ActiveX-Applet läuft und deren URL via DynDNS upgedated wird sowie LogMeIn-Free - dessen Logfiles zeigen aber keinen Remotezugriff.

Zitat:

Computer Description Subscription Type Start Date Renewal Date Status Last online Last Remote Session Last known IP address Install date Software version
FRANKENSTEIN2 LogMeIn Free Sep 18 2008 Mar 15 2020 Active Jan 13 2009 23:37 Dec 23 2008 14:15 89.125.167.93 Sep 29 2008 784

Kennt jemand dieses Verhalten oder ist bekannt daß Opera manchmal so verrückt spielt und wenn ja, wie käme dann mein Familenname ins Google-Suchfeld?! Eigentlich unmöglich!

Wollte gestern abend noch vor dem Schlafengehen eine Runde Fallout 3 spielen. Mein Char steht auf einer Brücke, Gewehr auf dem Rücken. Ich habe diesen Spielstand geladen und den Char dann stehen gelassen um auf der Karte offline nachzusehen wohin ich muss. Plötzlich nimmt der das Gewehr vom Rücken und fängt an zu schiessen. Einfach wahrlos geradeaus geschossen.

Ich dachte es liegt vielleicht was auf der Tastatur, bin raus aus Fallout, mein Keyboard gecheckt, ein Gamepad ausgesteckt - die spinnen ja manchmal. Und wieder rein in Fallout, gleiches Spiel.

Dann habe ich Notepad 2 geöffnet und gewartet, nach ein paar Sekunden erschien in der ersten Zeile "excel" und in der zweiten Zeile "igiweb" - so als ob jemand tippen würde. Es gibt einen irischen Provider der Digiweb heisst - bei dem bin ich aber nicht.

Daraufhin habe ich (wieder) die Internetverbindung gekappt. Ich denke also ich habe einen Trojaner...Mist

Ich habe mich nun in den Router eingeloggt (ihn vorher vom Modem getrennt) und dort die Firewall angeschaltet, war leider aus und das Port Forwarding und Port Triggering ausgemacht. Die Internetkamera habe ich total abgeschaltet, über sie lief DynDNS und ein ActiveX Applet sowie das Port Forwarding.

Ausserdem habe ich Avira Pro und Kaspersky IS 2009 (beta) nach den Anleitungen im Board konfiguriert und laufen lassen, die haben bei rund 45% gescannt schon einiges gefunden, z.B. eine alte (inaktive) VNC Version. Davon lief wohl allerdings der Server, so daß ich darauf tippen würde. Ich habe alles was von VNC war nun deinstalliert und die Verzeichnisse gelöscht. Wie kommt jemand aber direkt eine Minute nach dem Systemstart in mein System. Das muss doch ein Bot sein oder sitzten die Hacker vor dem PC und warten bis jemand online geht?!

Das Log von HiJack this (anbei) sieht soweit ok aus.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:25:56, on 13.01.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Eazy-Ware\ezSched.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Notepad++\notepad++.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.kicker.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [DPAgnt] C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DU Meter] C:\Program Files\Windows Sidebar\DUMeter.exe
O4 - HKCU\..\Run: [EazyScheduler] C:\Program Files\Eazy-Ware\ezSched.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {254AA86E-5655-4518-AA87-185D7CC41801} (LogMeIn Rescue Technician Console) - h**ps://secure.logmeinrescue.com/TechConsole/x86/RescueControl.cab
O16 - DPF: {299385F1-1977-426F-8CE3-07A2407E4498} (IPCamPluginDPT Control) - h**p://192.168.0.17/IPCamPluginMJPEG.cab
O16 - DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} (ContactExtractor Class) - h**p://www.facebook.com/controls/contactx.dll
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - h**ps://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CA881F2-7477-46D3-84B3-5DB96DE229B4}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Users\Hody\AppData\Local\Microsoft\Windows Sidebar\Gadgets\SkypeGadget1.2.gadget\wrapper\Skype4COM.dll
O20 - Winlogon Notify: DPWLN - C:\Windows\system32\DPWLEvHd.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHost.exe
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - C:\Program Files\DU Meter\DUMeterSvc.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Program Files\Ralink\Common\RalinkRegistryWriter.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8339 bytes

Die Hardwarefirewall vom Router sollte nun schon etwas Ruhe bringen und alle offenen Ports sind dort geschlossen. Ich habe keine Ahnung was ich noch tun kann um diesen Trojaner zu finden`?! Hiren Boot CD? Avert-Stinger? Windows Tool für bösartige Software?! Wie kann ich ausser einer Neuinstallation sicher stellen kann, daß das System ok ist. Bitte gebt mir Tipps wie ich dem Übel Herr werden kann.

Bitte mal den Kaspersky Log posten.

Folgende Dateien bitte bei Virustotal überprüfen lassen:

Code: Alles auswählenAufklappen

ATTFilter

 C:\Program Files\Eazy-Ware\ezSched.exe
         

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.


Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.


Malwarebytes' Anti-Malware:

 Downloade dir Malwarebytes herunter
 Installiere es
 Befolge die Anleitung (führe einen kompletten Scan aus!)



 Poste den entstandenen Log

C:\Program Files\Eazy-Ware\ezSched.exe ist der Scheduler von Outback Plus einem Programm zum Backup von MS Outlook, das kann ich deaktiveren. Ich backe immer "von Hand" ab.

Kannst Du mir bitte einen Link zu Blacklight geben, lt. Herstellerseite gibts das nicht mehr?!

Lade es bitte trotzdem hoch bei Virustotal!

Hier der Link:F-Secure BlackLight 2.2.1092 Download - PC-WELT

Dann meine Anleitung befolgen.

Danke, werde ich beides machen, ist es aber nicht sinnvoller F-Secure Internet Security / Virenscanner 2009 zu nehmen, da soll doch Blacklight mit drin sein?!

Nein, als erstes will ich nur nach Rootkits scannen, das hat schon alles seine Richtigkeit

Okay, dann mache ich das mal so...hoffentlich treffen wir direkt ins Schwarze, ich hatte aber eigentlich auch die Rootkiteinstellungen bei Avira und Kaspersky gemacht...ich lass Dich wissen was Blacklight findet

Log bitte posten dann mit dem weitermachen was ich noch gesagt habe

Hallo Aggro-Berlin,

hier ist das Protocol von Blacklight. Es scheint als hätte es nichts gefunden.

Zitat:

01/14/09 19:57:58 [Info]: BlackLight Engine 2.2.1092 initialized
01/14/09 19:57:58 [Info]: OS: 6.0 build 6001 (Service Pack 1)
01/14/09 19:57:58 [Note]: 7019 4
01/14/09 19:57:58 [Note]: 7005 0
01/14/09 19:58:08 [Note]: 7006 0
01/14/09 19:58:08 [Note]: 7027 0
01/14/09 19:58:08 [Note]: 7035 0
01/14/09 19:58:08 [Note]: 7026 0
01/14/09 19:58:08 [Note]: 7026 0
01/14/09 19:58:10 [Note]: FSRAW library version 1.7.1024
01/14/09 19:58:12 [Note]: 4015 151124
01/14/09 19:58:12 [Note]: 4027 151124 8716288
01/14/09 19:58:12 [Note]: 4020 140570 4784128
01/14/09 19:58:12 [Note]: 4022 140570
01/14/09 19:58:36 [Note]: 4015 114109
01/14/09 19:58:36 [Note]: 4027 114109 2883584
01/14/09 19:58:36 [Note]: 4020 114106 3211264
01/14/09 19:58:36 [Note]: 4022 114106
01/14/09 19:59:12 [Note]: 4015 11105
01/14/09 19:59:12 [Note]: 4027 11105 131072
01/14/09 19:59:12 [Note]: 4020 11103 131072
01/14/09 19:59:12 [Note]: 4018 11103 131072
01/14/09 19:59:17 [Note]: 4015 562
01/14/09 19:59:17 [Note]: 4027 562 65536
01/14/09 19:59:17 [Note]: 4020 5 327680
01/14/09 19:59:17 [Note]: 4018 5 327680
01/14/09 19:59:26 [Note]: 4015 1610
01/14/09 19:59:26 [Note]: 4027 1610 65536
01/14/09 19:59:26 [Note]: 4020 562 65536
01/14/09 19:59:26 [Note]: 4018 562 65536
01/14/09 19:59:40 [Note]: 4015 1690
01/14/09 19:59:40 [Note]: 4027 1690 65536
01/14/09 19:59:40 [Note]: 4020 1610 65536
01/14/09 19:59:40 [Note]: 4018 1610 65536
01/14/09 19:59:43 [Note]: 4015 2331
01/14/09 19:59:43 [Note]: 4027 2331 65536
01/14/09 19:59:43 [Note]: 4020 1610 65536
01/14/09 19:59:43 [Note]: 4018 1610 65536
01/14/09 20:02:26 [Note]: 2000 1012
01/14/09 21:53:20 [Note]: 7007 0

Habe auch noch den McAfee Stinger ausprobiert - ohne Befund. Ad-Aware hat nur Tracking Cookies gefunden.

Malware läuft noch, so wie es aussieht aber auch ohne Befund.

Ich werde das Gefühl nicht los, daß es echt nur am VNC Dienst lag. Würde zu gern im Logfile davon nachsehen, habe aber den ganzen VNC Folder gelöscht. Jetzt ist der Dienst aber aus:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:11:04, on 14.01.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Lavalys\EVEREST Ultimate Edition\everest.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\SpeedProject\SpeedCommander 12\SpeedCommander.exe
C:\Windows\system32\DllHost.exe
C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe
C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.kicker.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [DPAgnt] C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DU Meter] C:\Program Files\Windows Sidebar\DUMeter.exe
O4 - HKCU\..\RunOnce: [EVEREST AutoStart] C:\Program Files\Lavalys\EVEREST Ultimate Edition\everest.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {254AA86E-5655-4518-AA87-185D7CC41801} (LogMeIn Rescue Technician Console) - h**ps://secure.logmeinrescue.com/TechConsole/x86/RescueControl.cab
O16 - DPF: {299385F1-1977-426F-8CE3-07A2407E4498} (IPCamPluginDPT Control) - h**p://192.168.0.17/IPCamPluginMJPEG.cab
O16 - DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} (ContactExtractor Class) - h**p://www.facebook.com/controls/contactx.dll
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - h**ps://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CA881F2-7477-46D3-84B3-5DB96DE229B4}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Users\Hody\AppData\Local\Microsoft\Windows Sidebar\Gadgets\SkypeGadget1.2.gadget\wrapper\Skype4COM.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O20 - Winlogon Notify: DPWLN - C:\Windows\system32\DPWLEvHd.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHost.exe
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - C:\Program Files\DU Meter\DUMeterSvc.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Program Files\Ralink\Common\RalinkRegistryWriter.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 9438 bytes

Hallo,

ich war offensichtlich mit einem TR/Agent.bqpu infiziert und habe das System plattgemacht und jetzt neu-installiert. Der Virus stammte von einem Download aus dem Netz - selbst dran schuld wie es scheint. In jedem Fall läuft jetzt alles wieder und ich habe Avira Pro mit den Settings aus dem Forum hier und AdAware installiert - prima.

Ich habe eine Frage, Ad Aware hat eine Änderung protokolliert und ich wüsste gerne ob das was schädliches ist oder nicht

Zitat:

MSG [3032] 2009/02/19 21:58:58: c:\windows\system32\svchost.exe => system\controlset001\services\vss\diag\bits writer [Allow]
MSG [3044] 2009/02/19 22:04:30: c:\windows\system32\svchost.exe => system\controlset001\services\vss\diag\vssapipublisher [Allow]
MSG [3036] 2009/02/19 22:04:30: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\registry writer [Allow]
MSG [3044] 2009/02/19 22:04:30: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\lovelace [Allow]
MSG [3032] 2009/02/19 22:04:30: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\vssvcpublisher [Allow]
MSG [3036] 2009/02/19 22:04:30: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\com+ regdb writer [Allow]
MSG [3028] 2009/02/19 22:04:30: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\asr writer [Allow]
MSG [3044] 2009/02/19 22:04:30: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\shadow copy optimization writer [Allow]
MSG [3044] 2009/02/19 22:04:35: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\swprovider_{b5946137-7b9f-4925-af80-51abd60b20d5} [Allow]
MSG [3040] 2009/02/19 22:04:36: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\lovelace(__?_volume{b22d9c24-f3ce-11dd-8f8e-806e6f6e6963}_) [Allow]
MSG [3032] 2009/02/19 23:18:38: C:\windows\system32\msiexec.exe => system\controlset001\services\eventlog\application\xlive [Allow]
MSG [2916] 2009/02/19 23:22:00: C:\program files\windows sidebar\sidebar.exe =>
\software\microsoft\windows\currentversion\run\du meter [Allow]
MSG [2924] 2009/02/19 23:23:44: c:\windows\system32\svchost.exe => system\controlset001\services\vss\diag\bits writer [Allow]
MSG [2916] 2009/02/19 23:46:02: C:\users\hody\appdata\local\temp\dxredist\dxsetup.exe => system\controlset001\services\vss\diag\vssapipublisher [Allow]
MSG [2920] 2009/02/19 23:46:02: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\registry writer [Allow]
MSG [2916] 2009/02/19 23:46:02: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\lovelace [Allow]
MSG [2912] 2009/02/19 23:46:02: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\com+ regdb writer [Allow]
MSG [2920] 2009/02/19 23:46:02: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\vssvcpublisher [Allow]
MSG [2916] 2009/02/19 23:46:02: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\asr writer [Allow]
MSG [2924] 2009/02/19 23:46:02: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\shadow copy optimization writer [Allow]
MSG [2912] 2009/02/19 23:46:03: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\swprovider_{b5946137-7b9f-4925-af80-51abd60b20d5} [Allow]
MSG [2916] 2009/02/19 23:46:14: C:\windows\system32\vssvc.exe => system\controlset001\services\vss\diag\lovelace(__?_volume{b22d9c24-f3ce-11dd-8f8e-806e6f6e6963}_) [Allow]