Hallo,

heute habe ich Spybot Search&Destroy aktualisiert und beim Scan die Meldung erhalten, dass ich den "Win32.Ciadoor.cj" habe.

Das Logfile von Spybot sieht so aus:

Win32.Ciadoor.cj: [SBI $F8F7B198] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XPROTECTOR

Win32.Ciadoor.cj: [SBI $CD1A07CB] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\XPROTECTOR

Nun habe ich GData Antivirus 2009 und Jotti (Onlinescanner mit mehreren Modulen) über die Datei Windows/system32/drivers/xprotector

laufen lassen, keines der Virenprogramme erkennt den Trojaner. Im Internet finde ich nun gegenläufige Meinungen.

HIER liest man, dass dieses File ein Trojaner sei, an anderer Stelle, eine notwendige Systemdatei.

Was ist nun richtig.

Anbei noch ein Hijackthis-Log. Bitte um Hilfe.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:20:02, on 07.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DeskTask\DeskTask.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Bugnosis - {3A6514CD-A457-11D4-8AF3-000102686B79} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: HP-Ansicht - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: (no name) - {930E4DE1-973D-42D6-BF6E-6788E06BD003} - (no file)
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG DWL-G122] C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: DeskTask.lnk = C:\Programme\DeskTask\DeskTask.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125419105453
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c98bd7196be260) (gupdate1c98bd7196be260) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Soweit ich das Logfile selbst auswerten kann, sehe ich dort keinen Trojaner. Vielleicht kann aber ein Versierterer noch mal bitte drüberschauen.

Danke euch

Hi,

ich ziehe es nochmal hoch. Bitte um kurze Antwort.

Hallöle.

Editiere bitte zukünftig alle aktiven Links aus deinen logfiles! Ansonsten wird dein Beitrag ignoriert und gelöscht.


Wie lautet der vollständige Dateipfad bzw. wie die Endung der Datei?

Zitat:

Windows/system32/drivers/xprotector

Halli hallo

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
  Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter.
  .
• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Installation des aktuellen ServicePacks:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  • Vista_ TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume mit cCleaner auf; Punkte 1&2.
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

ISeeYouXP - XP

• Lade dir das Tool IseeYouXp by ShadowPuterDude
  
• Deaktiviere alle Wächter deiner AntiViren Programme und schließe diese vollständig!
  
• Schließe auch alle anderen Anwendungen!
  
• Doppelklicke die ISeeYouXP.exe -> Die Datei wird entpackt nach C:\ISeeYouXP
  
• Das Programm startet danach automatisch. Sollte das nicht der Fall sein, doppelklicke die ISeeYouXP Verknüpfung auf deinem Desktop.
  
• Warte den Scan ab. Nach dem Scan findest du das ISeeYouXP.txt log auf deinem Desktop. Hänge es bitte an deinen nächsten Post an. (Nicht direkt in den Thread posten da es sehr lang sein kann!)

Zitat:

Zitat von undoreal

Hallöle.

Editiere bitte zukünftig alle aktiven Links aus deinen logfiles! Ansonsten wird dein Beitrag ignoriert und gelöscht.


Wie lautet der vollständige Dateipfad bzw. wie die Endung der Datei?

Hallo,

c:/windows/system32/drivers/xprotector.sys

Poste bitte nachdem du die Grundsätzlichen Konfigurationen vorgenommen hast zusätzlich zum ISeeYou log noch den kompletten VT Bericht inkl. Hash Wert.

Das ISY log bitte erst erstellen nachdem du alles unnötige deisntalliert hast und den Rechner sauber konfiguriert hast.

Zitat:

Zitat von undoreal

Poste bitte nachdem du die Grundsätzlichen Konfigurationen vorgenommen hast zusätzlich zum ISeeYou log noch den kompletten VT Bericht inkl. Hash Wert.

Das ISY log bitte erst erstellen nachdem du alles unnötige deisntalliert hast und den Rechner sauber konfiguriert hast.

Hi,

ich bin Laie, und weiß nicht, was ein ISeeYou log oder ein VT-Bereich sowie Hash-Wert ist. Wo finde ich diese?

Hi,

würde mich freuen, wenn sich jemand meiner Frage annehmen könnte. Ich habe alles so genau, wie möglich beschrieben.

Da es sich um meinen Büro-Rechner handelt, wäre es sehr unschön, wenn hier ein Trojaner sein Unwesen treiben würde. Bisher bin ich leider noch keinen Schritt weiter.

Ich habe dir weiter unten alles gepostet was du brauchst. Lies dir meine Anleitung bitte nocheinmal genau durch.

Zitat:

Zitat von undoreal

Ich habe dir weiter unten alles gepostet was du brauchst. Lies dir meine Anleitung bitte nocheinmal genau durch.

Hallo,

so, nun das Log von Anti-Malware und angehängt den Log von ISeeYou XP.

Anti-Maleware hat bis auf einen Hijacker nichts gefunden. ISeeYouXP eigentlich auch nichts, wenn ich das richtig überblicke. Heißt das, SpyBot hatte einen Fehlalarm?

Kannst du mir bitte ein FeedBack geben.

EDIT: Den ISeeYouXP-Log kann ich nicht anhängen. Es dürfen nur 19 KB angehängt werden, der Log hat aber 140Kb.

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1848
Windows 5.1.2600 Service Pack 3

14.03.2009 20:19:28
mbam-log-2009-03-14 (20-19-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|)
Durchsuchte Objekte: 238746
Laufzeit: 1 hour(s), 58 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Lade das ISeeYouXP log bei rapidshare hoch und poste den download Link.

Lade die Datei "c:/windows/system32/drivers/xprotector.sys" auf virustotal.com hoch und poste das Ergebniss.

Zitat:

Zitat von undoreal

Lade das ISeeYouXP log bei rapidshare hoch und poste den download Link.

Lade die Datei "c:/windows/system32/drivers/xprotector.sys" auf virustotal.com hoch und poste das Ergebniss.

Jotti und Virustotal finden beide keinen Virus in der Datei, habe ich schon mal getestet und noch mal eben:

Datei Xprotector.sys empfangen 2009.03.15 00:48:10 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)


Hier noch der Link zu Rapidshare: http://rapidshare.de/files/46098212/ISeeYouXP.txt.html

Treffer.

Bei dir laufen vermutlich 2 versteckte Prozesse...


Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)
Zu Erst:

Zitat:

Registry Search
Dann:

Zitat:

Danach:

Zitat:

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)
Zu Erst: Danach:



Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

Nach den gleichen Phrasen durchsuche bitte deinen PC.

[/QUOTE]


Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

Nach den gleichen Phrasen durchsuche bitte deinen PC.[/QUOTE]


Gucke bitte im Taskmanager nach ob du die Proezesse mit den PIDs 1320 und 3952 finden kannst.

Auch wenn ich Lust hätte das Ding zu bereinigen muss ich drigned ans Herz legen deinen Rechner neuaufzusetzen... Ich glaube da läuft zusätzlich zu dem vermeindlichen CIADoor noch ein anderes Schadprogramm und wer weiss was noch alles.

Hallo,

der Scan mit dem Reg-Scanner war negativ:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 15.03.2009 13:46:44 for strings:
; 'aeb6717e-7e19-11d0-97ee-00c04fd91972 '
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...



Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 15.03.2009 13:48:20 for strings:
; '56f9679e-7826-4c84-81f3-532071a8bcc5 '
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


Einen Prozess mit der Nummer (Namen?) 1320 und 3952 lässt sich auch nicht finden.

Wo hast du denn die Information in dem Log gefunden, dass ich eventuell zwei versteckte Prozesse am Laufen habe?

Ist das der Grund deines Verdachts? Ist ein Auszug aus der ISeeYouXP - ich habe ihn so interpretiert, dass es nicht zwingend ein Virus sein muss, sondern mit dem WINLanMiniport-Treiber zusammenhängen kann.



**** PPTP Haxdoor FOUND by this tool! ****
CAREFULL HERE THIS WILL ALSO FIND WinLanMiniport
Description REG_SZ Point to Point Tunneling-Protokoll (PPTP)
Description REG_SZ Point to Point Tunneling-Protokoll (PPTP)
Description REG_SZ Point to Point Tunneling-Protokoll (PPTP)



Wenn die Reg-Einträge nicht gefunden werden können, ist dann ein CIADoor-Befall unwahrscheinlich. Ich habe GDATA immer über meinem System laufen und schicke auch die gekaufte Vollversion meines U3-Sticks Avast-Virus immer wieder über den Rechner. Kein Programm findet z.B. einen CIADoor oder Ähnliches.


Ich habe noch diesen Hinweis im Internet gefunden:


XProtector.sys
(oreans32.sys, movitel.sys, Oreans.sys) Programme (C:\Windows(WINNT)\system32\drivers) Treiber der Kopierschutzsoftware (Anti-Cracking-Produkt) »Themida« (Nachfolger von XProtector), damit werden Anwendungen/Spiele verschlüsselt und verhindern so, daß man sie in einer virtuellen Maschine laufen läßt. Es ist kein Rootkit, zeigt nur ein ähnliches Verhalten, deshalb kommen oft Fehlalarme von Virenscannern. Einige Games (zum Beispiel das Game PREY) installiert den Treiber , Info


Games habe ich auf dem Rechner keine - aber einiges an teurer Originalsoftware (Bildbearbeitung etc. PP) - eventuell hat dies die XProtector.sys installiert. Auf meinen Notebook ist diese Datei nämlich auch vorhanden. Kann es sein, dass sie Teil von Photoshop Elements 7 ist - das läuft bei mir auf Desktop und Notebook. Mein Notebook hängt so gut wie nie am Internet und wird nur dienstlich eingesetzt, daher müsste hier ein Virus/Trojaner eher unwahrscheinlich sein. Da ich auf beiden Rechner Notebook/Desktop dieselbe Software installiert habe, muss die XProtector.sys durch ein Softwareprogramm auf den Rechner gelangt sein, das ich irgendwann mal gekauft habe.

Zitat:

Ist das der Grund deines Verdachts?

Nein.

Zitat:

Einen Prozess mit der Nummer (Namen?) 1320 und 3952 lässt sich auch nicht finden.

Wenn du im Teskmanager im Reiter "Dienste" nach der PID Adresse sortieren lässt müsstest du festellen können ob die Einträge dort sichtbar sind oder nicht.

Das MS Tool zur Entfernung bösartiger Software hat versucht diese beiden Adressen zu erreichen hat aber eine STOP-Fehlermeldung provoziert.

Das die Registry Einträge über RegSearch nicht gefunden werden ist sehr merkwürdig da sie im ISeeYouXP log def. gelistet werden.

Guck mal nach ob du sie über regedit sehen kannst.

Zitat:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks
{AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ
{56F9679E-7826-4C84-81F3-532071A8BCC5} REG_SZ

Alledings könnte es auch gut sein, dass da etwas verhindert das diese Schlüssel sichtbar sind..