Verdacht auf Neubefall nach Neuinstallation!

25.03.2009, 13:42

Hallo an alle,

nach diesem Vorfall hier habe ich trotzdem mein System Neu Aufgesetzt, und als ich den Rechner heute hochfuhr habe ich eine mir unbekannte Aktivität festgestellt. Zum Vorfall:
Ich habe den Treiber meiner TV-Karte gestartet, und musste feststellen das der Ton aus den Boxen dumpf und verrauscht klang. Habe daraufhin über den Systray die Konfiguration meiner Soundkarte gestartet. Als ich die erste Einstellung am Equalizer anklickte, öffnete sich das Soundkonfigurationsprogramm 5x nacheinander Selbstständig, und ungefähr 15x
die kleineren Fenster für die Feineinstellungen wie Auswahl der Anschlüsse für die Boxen und Soundumgebungseinstellungen. Habe danach das AV-Programm und Malewarebytes (ebenfalls im abgesicherten Modus) durchlaufen lassen, kein Fund. Als aber Kaspersky im Normalmodus lief, meldete sich der Rechner nach ungefähr 60% Scanfortschritt ab, und ich musste mich neu Anmelden.
Kaspersky Lief aber trotzdem paralel weiter.
Nun zu meiner Vorgehensweise beim Neuaufsetzen:
Habe mich Strikt an die Anleitung gehalten.
Nachdem zum ersten mal der Desktop zu sehen war, habe ich folgende Schritte nacheinander abgearbeitet:

1. Installation von Mainboard,- Soundkarten,- und TV-Kartentreiber
2. Installation von Kaspersky
3. Modeminstallation

Danach wurden sofort automatisch Updates für AV-Programm und Windows gezogen.

Danach habe ich die Windowsupdate Webseite (über Startmenü-alle Programme-Windowsupdate) solange aufgerufen bis alle Patches für XP durchwaren, weil ja der Rechner immer wieder Neugestartet werden musste,
nachdem ich einen teil der Uodates gedownloadet habe.

Die darauffolgenden Maßnahmen waren:
Erstellung eines eingeschränkten Benutzerkontos, sowie Passwortvergabe für Admin,- und Eingeschränktes Benutzerkonto.
Danach Windows Onlineaktivierung über Startmenü.
Abschalten der überflüssigen Windowsdienste durch das entsprechende Tool,
wie in der Anleitung zum Neuaufsetzen beschrieben.
Malewarebytes ab sofort dauerhaft Installiert
Letzte Maßnahme: Radikale Änderung der Surfgewohnheiten

Paralel habe ich noch die Autorunfunktion deaktiviert, weil ich noch Daten auf einem USB-Stick hatte, die ich mit Kaspersky überprüfen wollte, befor Windows oder ich darauf zugreife, war aber alles Sauber. Auf dem Stick befinden sich Phase5, 2 von mir erstellte Homepages, Bilder im .jpg und .png Format, und meine Bewrebungsunterlagen im .doc Format mehr nicht.

Hier nun meine Logfiles von Hijack und Malewarebytes

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:28:33, on 25.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\GIGABYTE\GEST\gest.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\UpdateStar\UpdateStar.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\GIGABYTE\GEST\GSvr.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [GEST] C:\Programme\GIGABYTE\GEST\RUN.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [UpdateStar] C:\Dokumente und Einstellungen\***\Anwendungsdaten\UpdateStar\UpdateStar.exe -A
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1237799221328
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5149 bytes

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1894
Windows 5.1.2600 Service Pack 3

25.03.2009 11:39:39
mbam-log-2009-03-25 (11-39-39).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 92442
Laufzeit: 10 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Habe ich vielleicht irgendetwas Übersehen, oder Versteckt sich da doch noch irgendetwas im Autostartspeicher?

Desweiteren wollte ich wissen, warum das AV-Programm nicht auf Passwortgeschützte Archive beim Scan zugreift. Ich weiß das man das Umstellen kann, aber wäre das klug?

Desweiteren macht mir diese Meldung hier Sorgen.

24.03.2009 16:40:27 UDP von 218.23.37.51 auf lokalen Port 1434 Nicht vorhanden Gefunden: Intrusion.Win.MSSQL.worm.Helkern

Ich habe mich hier im Board und über Google schon darüber Informiert und herausgefunden das, wenn XP aktuell gehalten wird, bräuchte man sich da keine Sorgen zu machen, weil dies ein älterer Wurmcode sei der nur ungepatchte Windowssysteme angreift. Aber ich finde keinen Eintrag im Bericht von Kaspersky das dagegen vorgegangen wird.
Letzte Frage: Ist man gezwungen die Optionalen Updates von Windows zu ziehen? Weil ja zb. Windows Search 4.0 auch vom Explorer aus auf das WEB zugreift, und das gefällt mir garnicht.
Ich hoffe das waren ertmal genug Infos für euch, und ich hoffe das meine Bedenken

unbegründet sind.

Verdacht auf Neubefall nach Neuinstallation!

Log-Analyse und Auswertung: Verdacht auf Neubefall nach Neuinstallation!

Verdacht auf Neubefall nach Neuinstallation!

Ähnliche Themen: Verdacht auf Neubefall nach Neuinstallation!