Online-Viren-Scan: Kann ich dieser Meldung glauben???

ikarus60 · 08.04.2009, 12:12

Ich benutze auf meinem PC, (AMD Athlon X2, Windows XP MCE SP3), Kaspersky Internet Security 2009 Vers. 8.0.0.506. Das Programm arbeitete für meine Begriffe bisher recht zuverlässig und sicher. Nun habe ich meinen PC einmal Online mehreren Sicherheitstest unterzogen. Bei einem Onlinescan von der Seite Symantec kamen plötzlich unter anderem folgende Meldungen:

1. F:\Program Files\Alcohol Soft\Alcohol 120\star_syn_client.dll ist infiziert mit Hacktool.Rootkit
2.H:\SiSoftware Sandra.exe ist infiziert mit Trojan Horse
3.C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\oiaauv.exe ist infiziert mit Adware.Lop
4.C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\oiaauv.exe ist infiziert mit Suspicious.MH690

F:/ und H:/ sind dabei zwei externe FP. Nun stellt sich für mich die Frage, warum KIS 2009 diese Schädlinge bisher nicht erkannt haben soll??? Eine vollständige Suche mit KIS und auch eine seperate Überprüfung der angeblich betroffenen Dateien brachten keinerlei Meldung.

Ich weiß nun wirklich nicht, wie ich mich verhalten soll und ob ich den Meldungen des Onlinescan bedenkenlos vertrauen kann. Deshalb bitte ich um Hilfe. Wie ich beim durchsehen des Forums festgestellt habe, ist ein HijackThis LogFile immer sehr hilfreich. Deshalb hier ein solches, in der Hoffnung, das ich es richtig gemacht habe. Wenn nicht, bitte ich um Nachsicht, denn mit meinen 49 Jahren habe ich diesbezüglich noch einiges zu lernen ;-) Sollten noch Angaben erforderlich sein, dann werde ich diese sofort nachreichen. Vielen Dank!

Logfile of HijackThis v1.99.1
Scan saved at 12:21:32, on 08.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\PROGRA~1\WinTV\MCEStandby.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Power Translator 11\LogoMedia TranslateDotNet Server.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
F:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Fujitsu\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
F:\Programme\zoneLINK\HDDlife\HDDlifePro.exe
F:\Programme\Launcher\Launcher.exe
F:\PROGRA~2\MICROS~1\rapimgr.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.maxdome.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator 11\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [UpdatePPShortCut] "F:\Programme\HomeCinema\PowerProducer\MUITransfer\MUIStartMenu.exe" "F:\Programme\HomeCinema\PowerProducer" update "Software\CyberLink\PowerProducer\4.0"
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - Startup: HDDlife.lnk = F:\Programme\zoneLINK\HDDlife\HDDlifePro.exe
O4 - Startup: Launcher.lnk = F:\Programme\Launcher\Launcher.exe
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\PROGRA~2\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\PROGRA~2\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\PROGRA~2\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: Hauppauge MCE/Standby service (HCWMCECleanup) - Hauppauge Computer Works! - C:\PROGRA~1\WinTV\MCEStandby.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator 11\LogoMedia TranslateDotNet Server.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - F:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Fujitsu Diagnostic Testhandler (TestHandler) - Fujitsu Technology Solutions - C:\Programme\Fujitsu\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

john.doe · 08.04.2009, 16:58

Hallo und

Zitat:

Das Programm arbeitete für meine Begriffe bisher recht zuverlässig und sicher.

Äh, ja, noch einer der an "Sicherheitsprogramme" glaubt. Klicke auf den vorletzten Link in meiner Signatur. Das dort steht, bekomme ich hier täglich bestätigt.

Das wichtigste:

Zitat:

Was kann man aus dieser Geschichte lernen?

Virenscannern kann man nicht trauen, denn sie kennen nie alle Schädlinge.
Virenscannern kann man nicht trauen, denn sie können befallene Systeme nicht sicher säubern.

Außerdem gilt:

Virenscannern kann man nicht trauen, denn sie melden manchmal Schädlinge, die gar nicht da sind.

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

F:\Program Files\Alcohol Soft\Alcohol 120\star_syn_client.dll
H:\SiSoftware Sandra.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\oiaauv.exe

Markiere jeweils eine Zeile, kopiere sie und füge sie bei Virustotal ein. Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren.

Die letzte halte ich für Navipromo und nicht für Lop, wie das AVP meldet.

2.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Doppelklicke auf navilog1.exe
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

3.) Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

4.) Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die Liste unter Punkt 2 ab. Besorge dir die aktuelle Version von HJT.

ciao, andreas

ikarus60 · 08.04.2009, 18:36

Zitat:

Zitat von john.doe

Hallo und

Äh, ja, noch einer der an "Sicherheitsprogramme" glaubt. Klicke auf den vorletzten Link in meiner Signatur. Das dort steht, bekomme ich hier täglich bestätigt.

Das wichtigste:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

F:\Program Files\Alcohol Soft\Alcohol 120\star_syn_client.dll
H:\SiSoftware Sandra.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\oiaauv.exe

Markiere jeweils eine Zeile, kopiere sie und füge sie bei Virustotal ein. Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren.

Die letzte halte ich für Navipromo und nicht für Lop, wie das AVP meldet.

2.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Doppelklicke auf navilog1.exe
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

3.) Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

4.) Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die Liste unter Punkt 2 ab. Besorge dir die aktuelle Version von HJT.

ciao, andreas

Vielen Dank für die weiterführende Hilfe. Ich werde alles Punkt für Punkt abarbeiten und die Ergebnisse mitteilen. Leider habe ich mit Punkt 1 und 2 ein Problem. Punkt 1 kann ich nicht mehr durchführen, weil ich leider zu voreilig war und alle Dateien, die infiziert sind oder sein sollen gelöscht. Tut mir Leid, aber man lernt eben nie aus. Bei Punkt 2 bin ich nach der Anleitung verfahren. Aber nach Eingabe des E für die englische Sprache mus ich ja auf Enter drücken (?) und dann ist das Fenster weg. Kann also nicht mit dem nächsten Schritt: Auswahl Suche "1" fortfahren. Was mache ich falsch???

john.doe · 08.04.2009, 18:44

Zitat:

Punkt 1 kann ich nicht mehr durchführen,

Egal, traue nie der Aussage eines Antivirenprogrammes.

Zitat:

Was mache ich falsch???

Nichts. Manchmal will es nicht. Ist nicht tragisch.
Starte den Windowsexplorer und navigiere bis zu:

Code:

ATTFilter

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\

Dort sollten 3-4 Dateien sein, deren Dateiname mit oiaa beginnt. Alle Löschen. Dann weiter mit Schritt 3.

ciao, andreas

ikarus60 · 09.04.2009, 11:22

Also ich bin wirklich sehr dankbar, das mir hier solche Geduld und Hilfe entgegen gebracht wird. Die Dateien ("oiaa") sind erst einmal gelöscht. Ein Scan-Bericht von Malwarebytes liegt auch vor (siehe unten). Als nächstes folgt ein Logfile mit der aktuellen Version von HijackThis. Ich habe nun wieder Hoffnung das ich Dank der Hilfe das Problem lösen kann. DANKE!!!

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1952
Windows 5.1.2600 Service Pack 3

08.04.2009 21:20:47
mbam-log-2009-04-08 (21-20-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 384278
Laufzeit: 2 hour(s), 5 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
H:\Downloads\Ahead.Nero.v8.3.2.1.Incl.(Trojan.Agent) -> Quarantined and deleted successfully.
H:\Downloads\Ahead.Nero.v8.3.2.1.Incl.Keymaker-EMBRACE\(Trojan.Agent) -> Quarantined and deleted successfully.

MfG ikarus60

ikarus60 · 09.04.2009, 11:30

Aktuelles Logfile, nächster Schritt Lop S&D:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:25:54, on 09.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\PROGRA~1\WinTV\MCEStandby.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Power Translator 11\LogoMedia TranslateDotNet Server.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
F:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Fujitsu\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
F:\Programme\zoneLINK\HDDlife\HDDlifePro.exe
F:\Programme\Launcher\Launcher.exe
F:\PROGRA~2\MICROS~1\rapimgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = maxdome - Deutschlands größte Online-Videothek
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator 11\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [UpdatePPShortCut] "F:\Programme\HomeCinema\PowerProducer\MUITransfer\MUIStartMenu.exe" "F:\Programme\HomeCinema\PowerProducer" update "Software\CyberLink\PowerProducer\4.0"
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: HDDlife.lnk = F:\Programme\zoneLINK\HDDlife\HDDlifePro.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Launcher.lnk = F:\Programme\Launcher\Launcher.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: HDDlife.lnk = F:\Programme\zoneLINK\HDDlife\HDDlifePro.exe (User 'Default user')
O4 - .DEFAULT Startup: Launcher.lnk = F:\Programme\Launcher\Launcher.exe (User 'Default user')

ikarus60 · 09.04.2009, 11:51

Leider habe ich bei Punkt 3 mit Lop S&D auch ein Problem. Habe die LopSD.exe ausgeführt. Es erscheint für einen Bruchteil von Sekunden ein balues Fenster und verschwindet sofort wieder. Da ich natürlich auch Initiative zeigen will, habe ich weiter probiert. Im Ordner
C:/LopSD fand ich dann eine Datei catchme.exe die als einzige eine brauchbare Reaktion zeigte. Hier konnte ich dann auf Scan klicklen und in der Hoffnung das es richtig war, kam folgenses Ergebnis heraus:

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-09 12:36:58
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="F:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:bd,23,4c,00,84,08,14,39,2c,19,8d,ad,a9,80,09,b9,fd,39,d5,cc,13,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="F:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:bd,23,4c,00,84,08,14,39,2c,19,8d,ad,a9,80,09,b9,fd,39,d5,cc,13,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="F:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:bd,23,4c,00,84,08,14,39,2c,19,8d,ad,a9,80,09,b9,fd,39,d5,cc,13,..

scanning hidden registry entries ...

scanning hidden files ...

Danach passierte nichts mehr. War das jetzt richtig und ausreichend???

MfG ikarus60

ikarus60 · 09.04.2009, 12:03

Nun noch die geforderte uninstall_list.txt:

10 Tage unter dem Meer
1000 Handysounds
5 Realms – Das Reich der Karten
7 Artifacts
7 Wonders II
Acoustica 4.0
Acoustica 4.1
Acronis*PartitionExpert
Acronis*True*Image*Home
ADAC RoutenPlaner 2007/2008
ADC Sound Recorder 3.4
Adobe Acrobat 5.0
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Deutsch
Adobe SVG Viewer 3.0
Ahnenblatt 2.59
Akademie der Magie
Alice Greenfingers 2
AllDup 2.0.7
Amazonia
AM-DeadLink 3.1
Ancient Wonderland
Animal Agents
Annabel
Aquitania
Aranjas
ArcSoft MediaConverter 2.5
ArcSoft ShowBiz DVD 2
Ashley Jones – Reise Ins Alte Ägypten
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
Atlantica – Wunder der Tiefe
AVIcodec (remove only)
AVM FRITZ!DSL
Beetle Ju 3
Beetle Ju Gold
Bengal
Best of Amiga Classix 1.0
Biet-O-Matic v2.8.3
Big City Adventure - San Francisco Deluxe
Big City Adventure - Sydney Deluxe
Big Kahuna Reef 2
Billy Bob
Blobby Volley 2.0 Alpha 6
Blumenparadies
Blütenzauber
Bonampak
Bricks of Egypt 2
Brother BRAdmin Light 1.09
Brother MFC-465CN
Brother MFL-Pro Suite
Bus Simulator 2008
CalendarPainter
Camera RAW Plug-In for EPSON Creativity Suite
Caribbean Riddle
Catalyst Control Center - Branding
Choice Guard
Christmasville
Compatibility Pack for the 2007 Office system
CrazyTalk v4.6 Messenger
CT Manager V1.0.0 Build: 20030725.1
CX4300_5500_DX4400 Handbuch
CyberLink Power2Go
Dancing Santa 3D
Das Geheimnis des Bermudadreiecks
Das geheimnisvolle Tagebuch
Das große Da Vinci Geheimnis
Das Regenbogenland
Das Smaragd-Riff
Das Vermächtnis des Einhorns
Der Fluch von Montezuma
Der verlorene Schatz von Eldorado
Detective Stories: Hollywood
DEUTSCHLAND SPIELT GAME CENTER
Deutschland Spukt
Diamantene Perlen
Diamond Drop 2
Die 4 Elemente
Die Abenteuer-Reise
Die Erbin
Die Fisch-Oase
Die Journalistin – Miss Teri Tale
Die Journalistin 2
Die Piratenbucht
Die Runen Von Avalon 2
Die Tuttles
Die Wiege Babylons
Die Wiege Roms
Die Zauberhöhle
DivX Codec
DivX Converter
DivX Player
DivX Web Player
Dracula Twins
DRM Copy
Dupehunter Professional
DVD Shrink 3.2 deutsch
EasyRecovery DataRecovery
ElsterFormular 2008/2009
FABELWELTEN
Farm Frenzy
Fashion Craze
Favorit
Flower Quest
Froggy’s Adventures
G.H.O.S.T. Hunters: Der Spuk auf Majesty Manor
Garmin Communicator Plugin
Garmin POI Loader
Garmin WebUpdater
Gigaflat
Google Earth Pro
HARDiNFO 2005 Professional TRIAL
Harry der Höhlenmensch
Hauppauge MCE CI Plugin
Hauppauge MCE Standby Service
Hauppauge MCE XP/Vista Software Encoder (2.0.26057)
Hauppauge WinTV
Hauppauge WinTV Diversity Tool
Hauppauge WinTV Radio
Hauppauge WinTV Scheduler
Hauppauge WinTV Soft PVR
Hauppauge WinTV TV Services
HDDlife
Herodes’ verschollenes Grab
Hide and Secret Deluxe
HijackThis 2.0.2
Holly
Holly Deluxe
Hotfix für Windows Internet Explorer 7 (KB947864)
Hühner-Attacke Special
Hühner-Rache
Hühner-Rache Special
ICQ6.5
In 80 Tagen um die Welt
Indira
Interpol
IrfanView (remove only)
IsoBuster 2.4
J2SE Runtime Environment 5.0 Update 6
Java(TM) 6 Update 11
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
JetDrive
Jewel Match
Jewel Match 2
Jewel Match Winteredition
Jewelleria
Jumping Jeff
Karthago 2
Kaspersky Internet Security 2009
Kaspersky Internet Security 2009
klickTel OEM 2008
KlingeltonStudio PRO
KOBIL Chipkartenterminal Treiber V2.1.11s Build: 20080723.1
Launcher 3.0 Final
LEC Translate
Little Piranha
Luxor 2
Magic Ball 3
Magic Encyclopedia
Magic Tale
Magus
MailStore Home 3.0.2.2448
Malwarebytes' Anti-Malware
Media & Office Keyboard
MediaShow
Medion GoPal Assistant 3.00.0525
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft ActiveSync 4.0
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office XP Professional mit FrontPage
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
Mirador
Mozilla Firefox (3.0.7)
Mozilla Sunbird (0.9)
MP3 Repair Tool v1.5.2
MSN
MSVCRT
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Multimedia-Enzyklopädie
MusicPlayer
Mysteriöse Fälle: Die gestohlene Venus
Mystery Stories
Mythic Pearls
Navilog1 3.7.6
Nero 8 Essentials
neroxml
Ocean Express
Paclands
Paparazzi
PaperPort Image Printer
PC SECURITY TEST 2008
PdfGrabber 5.0
PerfectDisk
PhotoNow!
Pinnacle Instant DVD Recorder
PowerDirector
PowerDVD
PowerProducer
proDAD Heroglyph 2.5
proDAD Vitascene 1.0
Puzzle Park
Pyramid Runner
QuickPar 0.9
RealPlayer
Rhonda
Ricochet Recharged
Roboball
Romopolis
SAMSUNG Mobile Modem Driver Set
Samsung Mobile phone USB driver Software
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Samsung PC Studio 3
Samsung PC Studio 3 USB Driver Installer
Saqqarah
save2pc Light 3.45
ScanSoft PaperPort 11
Schatzinsel
Season Match 2
Segoe UI
Shell Routenplaner 2008/2009
Sherlock Holmes
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
SiSoftware Sandra Lite XII.SP1
Skarabäus
Skype™ 3.8
Snow3 1.4.1
Snowy
Sprill
StarMoney 6.0 S-Edition
Studio 11
Studio 11 Bonus DVD
Superkuh
SystemDiagnostics
The Hidden Object Show 2
Traumschafe
TuneUp Utilities 2009
TVsweeper
Ulead COOL 360 1.0
Ulead Photo Express 3.0 SE
Ulead PhotoImpact 12
Update für Windows XP (KB967715)
USB Video/Audio Driver
USB2.0 WEB CAMERA
Val´Gor
VCRedistSetup
VLC media player 0.9.8a
Vogel-Piraten
VTPlus32 für WinTV (German)
WashAndGo
WEB.DE SmartDrive Manager
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Messenger
Windows Live-Uploadtool
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
WinRAR
World Mosaics
Wunderbox-Valentinstag
Wuschel Wahnsinn
X10 Hardware(TM)
Yahoo! Desktop Login
Zamaja

john.doe · 09.04.2009, 15:34

Zitat:

H:\Downloads\Ahead.Nero.v8.3.2.1.Incl.Keymaker-EMBRACE\(Trojan.Agent)

Es spielt keine Rolle, ob es Patch, Serial, Keygen oder Keymaker heißt. Bei den Kiddies kann ich das ja noch verstehen, aber bei 49 Jahren? Ich hätte nicht übel Lust dich wegen Diebstahls anzuzeigen. Klick auf die letzten beiden Links in meiner Signatur. Welchen Fehler hast du denn gemacht?

Nun trage auch die Konsequenzen: http://www.trojaner-board.de/51262-a...sicherung.html

Ich bin raus,
Andreas

ikarus60 · 09.04.2009, 19:02

Zitat:

Zitat von john.doe

Jetzt muss ich aber was klarstellen. Und das soll keine faule Ausrede sein. Auf meinen PC ist eine mitgelieferte Version von Nero 8 Essentials. Diese und keine andere nutze ich auch. Aber ich glaube, ich muss hier meinen Sohn, welcher die externe FP H:/ nutzt kräftig auf die Finger hauen. Also wenn ich das richtig sehe dürfte sich dann der Schädling nur auf H:/ befinden, da ich ja die dort genannte Version nie bei mir auf C:/ installiert habe??????????
Wenn mein Sohn am Wochenende nach Hauise kommt, kann ich erst klären, ob er diese Nero Version auf seinem Notebook nutzt und gleich viel Spass beim Neuaufsetzen des BS wünschen. Tut mir wirklich Leid und vielen Dank für die bisherige Hilfe!!!

MfG ikarus60

john.doe · 09.04.2009, 19:27

Zitat:

Aber ich glaube, ich muss hier meinen Sohn, welcher die externe FP H:/ nutzt kräftig auf die Finger hauen.

OK. Ich glaube dir. War ja bei diesem Fall nicht anders:
http://www.trojaner-board.de/67943-i...ter-virus.html

Wir vermuten, dass Kaspersky sowohl Navilog als auch LopSD zerschossen hat. Deaktiviere oder deinstalliere Kaspersky, lade beide nocheinmal runter und lasse sie laufen.

Allerdings, wenn ich mir die installierte Software so angucke, dann ist Neuinstallation nicht das Falscheste. Das ist jetzt deinen Entscheidung.

ciao, andreas

ikarus60 · 10.04.2009, 08:54

Also das mit der installierten Software sieht schlimmer aus als es ist, da sich auf C:/ und D:/ nur das Wesentliche befindet. Alles andere wie Spiele, Media usw. ist auf 2 externen FP E,F,G und FP H:/.

Ich habe KIS Deaktiviert. Es brachte keinen Erfolg. Bei LopS&D öffnet sich nur ganz kurz ein blaues Fenster. Das habe ich nach mehreren Versuchen mit der Pause/UNterbr-Taste anschauhen können und hier ist folgendes für einen Bruchteil von Sekunden zu sehen:

"Der Befehl "mode" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

Please Wait ...
Der Befehl "chcp" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.
Der Befehl "CHCP" ist entweder falsch geschrieben oder
konnte nicht gefunden werden."

Bei Navilog kann ich immer nur das E für die Sprache eingeben und dann nach "Enter" ist alles weg.

Ich wünsche dann schon mal einschönes Wochenende und schöne Feiertage!

Gruß, tilo

john.doe · 10.04.2009, 11:39

Zitat:

Also das mit der installierten Software sieht schlimmer aus als es ist

Nein, tut es nicht. Das Problem sind nicht die installierten Dateien auf den anderen Partitionen, sondern was einige Programme so in den Windows/Systemordnern hinterlassen/anrichten. Da wird entweder zugemüllt oder noch schlimmer Systemdateien ersetzt. Ähnliches gilt für die Registry.

Zitat:

"Der Befehl "mode" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

mode.com gehört zum Betriebssystem. Suche die Datei und teile mit, ob/wo du sie gefunden hast. Die sollte sich eigentlich im Ordner c:\windows\system32 befinden.

Deinem Post kann ich nicht entnehmen, ob du Neuaufsetzen möchtest oder nicht.

1.) CureIT Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

ikarus60 · 10.04.2009, 17:32

mode.com befindet sich mit einer Grösse von 19KB im Ordner C:\Windows\system 32 !
Das Neuaufsetzen wollte ich ehrlich gesagt, als allerletztes Mittel einsetzen!!!
Jetzt werde ich erst einmal noch die beiden anderen Vorschläge Pkt. 1+2 durchführen und die Ergebnisse mitteilen. Was hältst du von dem Programm Spyware Doctor??? Mein lieber Sohn hat sich nämlich einiges eingefangen auf seinem Laptop. Und den Grund brauche ich nicht zu verraten, oder. Angeblich hat ihm das Programm sehr geholfen. Aber ich verlasse mich hier lieber auf den Rat von erfahrenen Experten.

MfG Tilo

john.doe · 10.04.2009, 17:55

Zitat:

Das Neuaufsetzen wollte ich ehrlich gesagt, als allerletztes Mittel einsetzen!!!

Sei sicher, eine Bereinigung ist immer zeitintensiver als Neuaufsetzen. Wir werden den Rechner auch nicht wirklich schnell bekommen, aber von den Plagegeistern kann ich dich befreien. Die nächsten drei Tage solltest du dir nichts vornehmen.

Deinstalliere vorab alles, das du nicht kennst oder brauchst.

Zitat:

Was hältst du von dem Programm Spyware Doctor???

Wenig. Mit der Combo aus Malwarebytes und SUPERAntiSpyware kurieren wir hier ca. 70% der Fälle.

Zitat:

Und den Grund brauche ich nicht zu verraten, oder.

Äh, nein.

ciao, andreas

Online-Viren-Scan: Kann ich dieser Meldung glauben???

Antiviren-, Firewall- und andere Schutzprogramme: Online-Viren-Scan: Kann ich dieser Meldung glauben???