Seit 2 Tagen läuft das Internet ziemlich schleppend, so dass ich mir Sorgen mache, etwas eingefangen zu haben. Ich bemerkte dann auch, dass mein Sohn seit 9Tagen kein Antivir- Update mehr gemacht hat, bzw. dies immer abgebrochen hatte, sobald Antivir sich die Updates holen wollte. Habe ihm noch mal erklärt, warum das so wichtig ist.
Wir hängen beide in einem Netzwerk.
Bis jetzt habe ich mit Antivir und Spybot im abgesicherten Modus geskannt. Bei meinem Sohn wurden ausser verfolgender Cookies nichts gefunden. Bei mir fand sich gar nichts.
Habe ein Log angehangen, wo mir die O10- Einträge nicht richtig erscheinen.
Wäre nett, wenn sich das jemand anschauen könnte.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:59:03, on 16.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
c:\Program Files\Bioscrypt\VeriSoft\Bin\AsGHost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
P:\WinPatrol\WinPatrol.exe
P:\spamihilator\spamihilator.exe
P:\Spybot - Search & Destroy\TeaTimer.exe
P:\RocketDock\RocketDock.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
P:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\RtHDVCpl.exe
P:\thunderbird\thunderbird.exe
P:\firefox\firefox.exe
P:\Nokia PC Phone\bin\NokiaPcPhoneService.exe
c:\Users\ashna\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=73&bd=Pavilion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=73&bd=Pavilion&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - P:\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: VeriSoft Access Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - c:\Program Files\Bioscrypt\VeriSoft\Bin\ItIEAddIn.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [WinPatrol] P:\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [Spamihilator] "P:\spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] P:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RocketDock] "P:\RocketDock\RocketDock.exe"
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - P:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - P:\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A6F2FA8-B100-429A-BB40-10CF16EDDFE1}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: APSHook.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - P:\sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\System32\ZoneLabs\vsmon.exe

--
End of file - 6628 bytes

Ich gehe über DSL ins Netz.
Der Router nennt sich ZyXEL ZyAIR G-220. W-Lan ist aktiviert, ich gehe über Lan ins Internet.


Hier noch die Daten von msinfo32:

Betriebssystemname Microsoft® Windows Vista™ Home Premium
Version 6.0.6001 Service Pack 1 Build 6001
Zusätzliche Betriebssystembeschreibung Nicht verfügbar
Betriebssystemhersteller Microsoft Corporation
Systemname XXXXXXXXXXXXXXXXXXX
Systemhersteller Hewlett-Packard
Systemmodell HP Pavilion dv9500 Notebook PC
Systemtyp X86-basierter PC
Prozessor Intel(R) Core(TM)2 Duo CPU T7100 @ 1.80GHz, 1801 MHz, 2 Kern(e), 2 logische(r) Prozessor(en)
BIOS-Version/-Datum Hewlett-Packard F.33, 12.11.2007
SMBIOS-Version 2.4
Windows-Verzeichnis C:\Windows
Systemverzeichnis C:\Windows\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "6.0.6001.18000"
Benutzername XXXXXXXXXXXXXXXXXXX
Zeitzone Mitteleuropäische Zeit
Installierter physikalischer Speicher (RAM) 2,00 GB
Gesamter realer Speicher 2,00 GB
Verfügbarer realer Speicher 1,22 GB
Gesamter virtueller Speicher 3,89 GB
Verfügbarer virtueller Speicher 2,88 GB
Größe der Auslagerungsdatei 1,95 GB
Auslagerungsdatei D:\pagefile.sys

*** Blödsinn entfernt ***

Clown gefrühstückt?

Jemand hier, der kompetent helfen kann?


Habe noch den Malwarebyte- Scsan gemacht:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 6.0.6001 Service Pack 1

16.03.2009 10:57:38
mbam-log-2009-03-16 (10-57-38).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|P:\|)
Durchsuchte Objekte: 195811
Laufzeit: 1 hour(s), 28 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hallo Ashna und ja Erosol hat offenbar ein Clown zuviel zum Frühstück gehabt.

Lade dir den CCleaner runter und führe ihn nach Anleitung aus.

Der Scan mit Malwarebytes reicht so nicht aus, denn die Datenbankversion ist zu alt (1749), versuch bitte vorher ein Update, wenn es denn funktioniert.

Der O10 Eintrag könnte von Windows Vista - Windows Parental Control sein, wenn du es hast.

Ich habe dein HJT Log nur überflogen, hab nichts auffälliges gesehen, ausser ein paar Sachen, die ich persönlich ändern würde, aber erstmal die wichtigen Dinge.

@Erosol

Zitat:

versuch doch mal norton 360 v1 mit 11 jahre schluessel einfach googeln

Davon mal abgesehen das es illegal ist, gibt es bessere Möglichkeiten und die sind auch noch kostenlos und legal.

Hallo Kaos,

den CCCleaner habe ich noch gestern abend drüber laufen lassen.

Das Malwarebytes konnte ich leider nicht updaten, sig ist vom 11.2., schon zu alt. Wie kann ich den updaten? Der bringt immer folgende Meldung:

Aktualisierung fehlgeschlagen,...

Lade dir Gmer. Bevor du es startest:

Deaktiviere alle Virenscanner (Antivir, Spybot und co.) und trenne dich vom Internet.

Dann starte GMER und drücke auf Scan, wenn er fertig ist, speichere eine Logfile und lade sie bei http://www.file-upload.net/ oder http://www.materialordner.de/ hoch. Den Link kannst du anschließend hier posten.

Ehe ich vergesse hier erst mal der Link zum Log:
http://www.file-upload.net/download-1529180/log2.log.html

Habe GMER ausgeführt, nachdem ich alles abgestellt habe, was nach Wächter aussieht. Ab "\Device\HarddiscVolumeShadowCopy1" bricht GMER mit einem Problem zusammen und muss beendet werden.
Habe es nun im abgesicherten Modus gemacht. Leider werden hier nur Service, Registry undFiles gescannt, ging aber nicht anders. Das Programm stürtzt immer ab.

Während du noch deine Antwort schriebst habe ich den Defender mon Microsoft laufen lassen. Kam nicht bis zum Schluss, weil ich deinen Rat befolgen wollte. Also habe ich BitDefender abgebrochen.
Aber, während des Scans mit BitDefender meldete sich Avira 2x und machte folgende Meldung:

Enthält Erkennungsmuster des Wurmes WORM Mabezat.B.91

Einmal enthalten in:

C:\SwSetup\MSWorks\GR\PFiles\MSWorks\WKDStore.exe

und einmal in:

C:\ProgrammFiles\MicrosoftWorks\WKDStore.exe


Nun bin ich vollkommen durcheinander, da ich Avira gestern Abend schon laufen lassen habe. Ich habe den Eindruck, dass es nur deshalb ansprang, weil BitDefender lief.

Wie kann ich jetzt weiter vorgehen?

Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

Falls du nicht weisst, wie es geht: http://www.windowspower.de/Systemwiederherstellung-deaktivieren-unter-Vista_967.html.

Falls du andere Backupprogramme hast, deaktiviere sie erstmal.
Wenn GMER nach der Deaktivierung der Systemwiederherstellung immernoch meckert, dann lade dir erstmal eine etwas aktuellere Malwarebytesdatenbank von hier http://www.gt500.org/malwarebytes/database.jsp

Lade dir schonmal SUPERAntiSpyware runter und stelle es so ein wie in der Anleitung beschrieben. Updaten wenn es geht.

Wenn Malwarebytes dann auf 1826 ist, lass es im abgesicherten Modus laufen und lass die gefundenen Sachen in Quarantäne verschieben. (Sollte er machen, wenn man die gefundenen Sachen entfernt).

Anschließend lass SUPERAntiSpyware laufen.

Poste dann beide Logs.

Log von Gmer:

http://www.file-upload.net/download-1529265/LogC.log.html

SuperAntiSpyware kann nicht installiert werden. Es kommt folgende Fehlermeldung:

Ungültiges Laufwerk E.

Ich hoffe, du kannst mit dem 1. Log was anfangen.

Danke dir für deine Geduld.

Okay, sieht insgesamt nicht so gut aus, obwohl mich die Datei, die infiziert sein soll wundert.

Code: Alles auswählenAufklappen

ATTFilter

C:\SwSetup\MSWorks\GR\PFiles\MSWorks\WKDStore.exe
C:\ProgrammFiles\MicrosoftWorks\WKDStore.exe
         

Wenn du sie noch hast, lade sie mal bei Virustotal.com/de hoch

Hol dir die Malwaredatenbank von http://www.gt500.org/malwarebytes/database.jsp und installiere sie.

Stelle Antivir auf agressive Einstellungen (http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html)

Gehe nun in den abgesicherten Modus und lass Malware laufen und dann Antivir mit besagten Einstellungen. Überprüfe dabei alle Laufwerke.

Bei VirusTotal meckern Antivir und McAfee- GW- Edition an der Datei rum, ansonsten niemand.
Bei Antivir etwas aus der Quaratäne rauszuholen ist echt ein Krampf. Da kann man xmal auf ignorieren klicken, der gesamte PC friert dann ein. Wenn man was machen will, macht es nur piep piep.

Werde das andere auch noch machen, so weit ich komme. Melde mich dann wieder. Muss erst mal weg.

MS Works hast du installiert oder und wenn ja, ist es denn bei dir unter den Pfaden installiert?

Um die Datei aus der Quarantäne zu holen, solltest du den Wächter von Antivir deaktivieren, bis die Datei hochgeladen ist.

Poste dann bitte mal das komplette Ergebnis (wirklich alles) beider Dateien von Virustotal.

Alles klar, ich werde heute abend auch noch mal reinschauen.

MS Works ist wohl installiert und befindet sich auch in den angegebenen Pfaden.

Die Auswertung von Virustotal verlinke ich mal.

Virustotal. MD5: 66f2803bb90335d1977cf3a5342a37fe Worm.Mabezat.B.91 Worm/Mabezat.B.91

Virustotal. MD5: 66f2803bb90335d1977cf3a5342a37fe Worm.Mabezat.B.91 Worm/Mabezat.B.91


hier noch das Log von Antivir:



Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Montag, 16. März 2009 16:43

Es wird nach 1299841 Virenstämmen gesucht.

Lizenznehmer: xxx
Seriennummer: xxx
Plattform: Windows Vista
Windowsversion: (Service Pack 1) [6.0.6001]
Boot Modus: Abgesicherter Modus
Benutzername: xxx
Computername: xxx

Versionsinformationen:
BUILD.DAT : 8.2.0.374 20012 Bytes 21.11.2008 10:11:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 17:21:13
AVSCAN.DLL : 8.1.4.0 48897 Bytes 05.10.2008 06:04:09
LUKE.DLL : 8.1.4.5 164097 Bytes 05.10.2008 06:04:09
LUKERES.DLL : 8.1.4.0 12545 Bytes 05.10.2008 06:04:09
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:29:38
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 09:59:49
ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.03.2009 08:21:14
ANTIVIR3.VDF : 7.1.2.176 98304 Bytes 16.03.2009 12:23:08
Engineversion : 8.2.0.114
AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 17:14:00
AESCRIPT.DLL : 8.1.1.63 364923 Bytes 13.03.2009 07:16:22
AESCN.DLL : 8.1.1.8 127346 Bytes 05.03.2009 19:01:46
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 07:43:26
AEPACK.DLL : 8.1.3.10 397686 Bytes 04.03.2009 17:57:08
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 07:19:00
AEHEUR.DLL : 8.1.0.104 1634679 Bytes 05.03.2009 19:01:41
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 07:19:00
AEGEN.DLL : 8.1.1.28 336244 Bytes 13.03.2009 07:16:21
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 10:49:36
AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 18:05:15
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 10:49:34
AVWINLL.DLL : 1.0.0.12 15105 Bytes 05.10.2008 06:04:09
AVPREF.DLL : 8.0.2.0 38657 Bytes 05.10.2008 06:04:09
AVREP.DLL : 8.0.0.2 98344 Bytes 05.10.2008 06:04:10
AVREG.DLL : 8.0.0.1 33537 Bytes 05.10.2008 06:04:09
AVARKT.DLL : 1.0.0.23 307457 Bytes 31.05.2008 15:29:41
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 05.10.2008 06:04:09
SQLITE3.DLL : 3.3.17.1 339968 Bytes 31.05.2008 15:29:44
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 05.10.2008 06:04:09
NETNT.DLL : 8.0.0.1 7937 Bytes 31.05.2008 15:29:44
RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 05.10.2008 06:04:05
RCTEXT.DLL : 8.0.51.0 90369 Bytes 05.10.2008 06:04:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition premium\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, P:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 16. März 2009 16:43

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '18' Prozesse mit '18' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'P:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '62' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\HP\BIN\EndProcess.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/KillApp.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a227438.qua' verschoben!
C:\HP\HPQWare\EasySetup\SetACL.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ACLSet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a327437.qua' verschoben!
Beginne mit der Suche in 'D:\' <platte 2>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Win-SeO_sandbox3.1.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> SetACL.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ACLSet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2c7bfe.qua' verschoben!
Beginne mit der Suche in 'P:\' <Volume>


Ende des Suchlaufs: Montag, 16. März 2009 17:21
Benötigte Zeit: 38:08 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

20519 Verzeichnisse wurden überprüft
452721 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
452717 Dateien ohne Befall
14209 Archive wurden durchsucht
1 Warnungen
3 Hinweise



Zum Schluss noch das Log von Gmer:

File-Upload.net - LogC.log


Ich hoffe du findest eine Lösung.

Wenn ich ungedultig erscheine seht es mir bitte nach.
Aber ich habe so das Gefühl, dass mir niemand mehr helfen kann?

Kaos ist offline gegangen.

Muss ich neu aufsetzen?

Code: Alles auswählenAufklappen

ATTFilter

C:\HP\BIN\EndProcess.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/KillApp.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a227438.qua' verschoben!

C:\HP\HPQWare\EasySetup\SetACL.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ACLSet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a327437.qua' verschoben!

D:\Win-SeO_sandbox3.1.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> SetACL.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ACLSet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2c7bfe.qua' verschoben!
         

Also die ersten beiden sollten keine Probleme darstellen, die kannst du wiederherstellen (HP Dateien).

Diese Win-SeO_sandbox3.1.exe sagt mir nichts, aber ich denke mal, das auch diese kein Problem ist, lade sie aber auf jeden Fall mal bei Virustotal hoch. Die SetACL.exe ist an sich auch nicht schädlich.

Wenn du dir sicher sein willst, kannst du die beiden Files aus dem HP Ordner auch noch hochladen, aber wenn du dort deine Druckersoftware installiert hast, sollte es auch diese sein.

Hinweis: APPL bedeutet lediglich, das dieses Programm schaden anrichten KANN, aber nicht MUSS, wenn das Programm z.B. Ein anderes Programm beenden kann (APPL/KillApp) oder im Falle von APP/ACLSet, ein Programm welches die Berechtigungen für Objekte ändern kann (Dateien, Registrierung, Ordner usw.)

Soweit schon mal ganz gut, allerdings fehlt der Malwarebytes Log. Oder hat der nichts gefunden?

Nun hab ich noch ein paar Fragen an dich:

1. Hattest du bei dieser Installation von Windows schon mal Probleme mit Malware irgendeiner Art?

2. Geht dein Sohn mit einem eigenen Rechner ins Netz (Also über den selben Router?)

3. Habt ihr ein Microsoft Netzwerk mit Netzwerkfreigaben eingerichtet?

4. Ist euer Router mit einem Passwort geschützt?

5. Gehen die Antivirupdates bei dir?

Was mich gerade wundert, ist das SUPERAntiSpyware sich auf Laufwerk E installieren wollte. Was ist denn "E:"? Versuch es nochmal und überprüfe den Pfad, in dem er es installieren will.

*edit

Die Dateien, die du bei Virus Total hochgeladen hast sollten false positive sein. Um sicher zu gehen kannst du sie mal Antivir zuschicken. (http://analysis.avira.com/samples/index.php) Dort bei Typ* auf "Verdacht auf Fehlalarm" umstellen. Falls du die Datei anders benannt hast, ändere den Name wieder in den Alten. (War doch C:\SwSetup\MSWorks\GR\PFiles\MSWorks\WKDStore.exe)