hallo zusammen,

ich sitze grad am rechner meiner freundin und glaube, dass sie einen virus auf dem rechner hat.

ich habe durch zufall gemerkt, dass das anti-virenprogramm auf dem rechner (avira personal) nicht funktioniert, und bei einer (neu-)installation wurde immer mit folgender meldung abgebrochen:

C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\basic\setup.exe wurde verändert! (Fehlermeldung bei der Installation von Avira Personal Antivirus)


Ich habe dann versucht Avanger zu installieren, aber das funktioniert auch nicht.

Jetzt bin ich hier gelandet und habe mir HijackThis downgeloadet und ausgeführt. Hier also mein Logfile. Ich hoffe sehr, dass ihr mir helfen könnt.
Ich kenne mich leider nicht so gut aus, was die PC-Rettung betrifft. Ich merke nur, das hier was nicht stimmt. und mene freundin hat keine rettungs-cd oder sonst was...also vorab vielen Dank für eure hilfe!

Daniel


Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:33:47, on 26.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\vVX1000.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\TEMP\tor3.tmp
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Dokumente und Einstellungen\***\Anwendungsdaten\cft\cft.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Windows\eexskb.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\digifast\digifast.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://join.123cashformula.com/track/NTI4MzEuNy42LjEyLjAuMC4wLjA
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CPV - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Programme\WWShow\WWShow.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: MJCore - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Programme\Jcore\Jcore2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Macromedia\Common\2a91201419.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [pridl] "C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\pridl\pridl.exe" 61A847B5BBF72811329B385672FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [cft] C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\cft\cft.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DigiFast] C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\digifast\digifast.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SfKg6wIPuSpdc] C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Microsoft\Windows\eexskb.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 8125 bytes
         

Hallo... und

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: CPV - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Programme\WWShow\WWShow.dll
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Macromedia\Common\2a91201419.exe
O4 - HKUS\S-1-5-18\..\Run: [pridl] "C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\pridl\pridl.exe" 61A847B5BBF72811329B385672FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SfKg6wIPuSpdc] C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Microsoft\Windows\eexskb.exe (User 'SYSTEM')
         

Sieht garnicht gut aus...
Darum:

Technische Kompromittierung
(Definition und entsprechendes Handeln)

Definition:

• Wikipedia => Technische Kompromittierung
• Oschad => System kompromittiert - Was tun?

Wie kommt es dazu?

Wenn du durch Bots, Backdoorserver, Infostealer, etc. infiziert wurdest, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer auf Dein System zugegriffen hat. Aus diesem Grund ist es nicht möglich, die Integrität eines Systems zu garantieren, auf dem eine solche Infektion stattgefunden hat.

Was ein Remote-Admin/Botmaster dadurch alles kann:

• Auslesen oder Ändern von Kennwörtern oder Zugangs- bzw. Logindaten.
• Installieren von weiterer Malware und Rootkits.
• Konfigurieren von Firewall- und AVP-Einstellungen, sowie die DNS-Addressen.
• Diebstahl von Kreditkartennummern, Bankdaten, persönlichen Daten usw.
• Löschen und Bearbeiten von Dateien
• Verwendung als Zombie:
  • Ausführen von DDoS-Attacken (Distributed Denial of Service)
  • Missbrauchen als Server für die Verbreitung von Spam, pornographische Daten, Warez und Malware.
• Ändern von Zugriffsrechten auf Benutzerkonten oder Dateien.
• Löschen von Protokolldateien, um solche Aktivitäten zu verbergen.

So solltest du dagegen vorgehen:

1. Den infizierten Rechner physikalisch vom Netz trennen.
2. Alle Passwörter und Zugangsdaten von einem sauberen System aus ändern.
3. Bei Nutzung von Onlinebanking, PayPal, etc. unbedingt die Bank informieren!
4. Wichtige Daten sichern via Live CD, bsp. Knoppix, Ubuntu, Knoppicillin, usw.
5. Diese Anleitung genau abarbeiten: Anleitung -> Neuaufsetzen des Systems/Absicherung

Nach der Neuinstallation:

• Service Pack 2 (Windows XP)/Service Pack 1 (Windows Vista) offline aufspielen! (via externen Datenträger)
• Falls dies zu umständlich für Dich ist, spiele direkt das SP3-ISO ein.

Diese Punkte abarbeiten:

1.)
Windows-Update:

=> Besuche die Windows-Update Seite und lasse über den Button benutzerdefinierte Suche nach fehlenden Updates suchen und installiere die wichtigen Updates. (Wichtig: Geht nur mit Windows XP)
Wie man bei Vista nach Updates suchen kann, steht auf der Seite erklärt oder kannst du hier nachlesen.

2.)
Treiber und nötige Programme installieren:

Hilfreiche Anleitung zur Treiberinstallation => Klick

============

Für die Zukunft:

• Mit Verstand surfen => Sicher ins Netz
• Generell dubiose und illegale Software meiden, dazu gehören:
  • Warez (Cracks, KeyGens, Patches, Keymaker, etc.)
  • P2P-Programme wie eMule, Bearshare, usw.
  • Programme von unbekannten bzw. unsicheren Quellen
• Sicheren Browser nutzen, wie Firefox oder Opera.
• Jede Art von Software sollte stets aktuell sein! Auf dieser Seite kannst du überprüfen, ob fehlende Softwareupdates und Patches fehlen: Secunia

---

Knoppix Live-CD - Erstellen und Handhabung

Live CD erstellen/brennen:

• Lade Dir als allererstes Knoppix als .iso-Datei herunter => Klick
• Nun brennst Du diese Datei auf eine leere CD-R (Wichtig: Die Datei muss als Image gebrannt werden => Imagebrennfunktion nutzen!).

Von der Live CD aus booten:

• Lege die CD in dein Laufwerk ein und starte den Rechner neu (vergesse nicht, davor deine externe Datenträger anzuschließen um deine Daten dann später zu sichern!)
• Wenn Dein Rechner neubootet, startet Knoppix normalerweise von alleine. Wenn dies nicht der Fall ist, ändere die Bootreihenfolge im BIOS (Wie mache ich das?)
• Du wirst von Knoppix aufgefordert, Enter zu drücken. Tue dies, um es zu starten.

Bedienung:

Nun siehst Du den Knoppix Desktop.
Deine Festplatten und zuvor angeschlossene Datenträger werden dort übrigens auch angezeigt.
Dies sieht folgendermaßen aus:


Dateien sichern:

Durch einen Doppelklick auf die Icons kannst Du auf das entsprechende Medium zugreifen und deren beinhaltende Dateien verwalten.
Per Drag&Drop verschiebst Du nun einfach die gewünschten Dateien von der Festplatte auf den gewünschten Datenträger:


Wenn Du deine Sicherung beendet hast, kannst du Knoppix verlassen, indem du auf das Knoppix-Symbol (Links in der Startleiste) gehst und auf "Abmelden" klickst.

Hinweis:
Sichere Dir alle persönlich wichtigen Daten! Nicht gesicherte Daten gehen beim Formatieren der Festplatten verloren. Daten können nicht auf der CD gesichert werden.

~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~

Andere Anleitung wurde um diese Punkte editiert:

Für die Zukunft:

• Mit Verstand surfen => Sicher ins Netz
• Generell dubiose und illegale Software meiden, dazu gehören:
  • Warez (Cracks, KeyGens, etc.)
  • P2P-Programme wie eMule, Bearshare, usw.
  • Programme von unbekannten bzw. unsicheren Quellen
• Den Browser richtig konfigurieren => Klick.
• Jede Art von Software sollte stets aktuell sein! Auf dieser Seite kannst du überprüfen, ob fehlende Softwareupdates und Patches fehlen: Secunia

---

Anleitung SuperAntiSpyware

-Downloade SuperAntiSpyware:

• Melde dich mit Administrator-Rechten an und installiere das Programm für alle Benutzer.

• Nach der Installation wirst du gefragt ob du die Schädlings-Definitionen sofort auf den neuesten Stand bringen möchtest. => Klicke auf Ja => Das Update wird daraufhin ausgeführt.

• Im Hauptfenster des Programmes finden sich verschiedene Funktionen:

1. Solltest du überprüfen ob auch wirklich die aktuellen Signaturen vorliegen. Klicke dazu auf den Button Check for Updates... => Der Download wird durchgeführt und du wirst anschließend informiert, dass die Definitionen aktuell sind. Mit Klick auf OK gelangst du wieder in das Hauptfenster.

2. Musst du einige Einstellungen ändern. Öffne hierzu die Einstellungen mit einem Klick auf den Preferences...Button.
Wähle den Reiter Scanning Control aus und setzte die grünen Haken wie im Bild gezeigt wird.
Mit einem Klick auf Close gelangst du wieder in das Hauptfenster.



3. Durch einen Klick auf den Button Scan your Computer gelangst du in die Scanner-Bereich.
Als erstes wählst du bitte unter Scan Location alle deine Festplatten aus und markierst sie mit einem grünen Haken.
Danach setzte den grünen Punkt bei Perform Complete Scan.



Mit einem Klick auf Weiter startest du den Scan.
Warte nun bis Scan beendet ist. Während dieser Zeit sollten keine anderen Arbeiten am Computer ausgeführt werden!



Nachdem der Scan beendet ist wirst du über evtl. Funde informiert. Du hast außerdem die Möglichkeit weitere Informationen über die markierten Objekte auf der Website des Herstellers ab zu fragen.

Wechsel wieder in das Hauptfenster und öffne die Preferences. Dort wähle den Reiter Statistics/Logs und markiere das letzte logFile.
Durch drücken des Buttons View Log... öffnet sich ein Text-Dokument. Den Inhalt dieses Dokuments markierst (Strg.+A) und kopierst (Strg.+C) du.
Anschließend kannst du es hier im Forum einfügen (Strg.+V).



Den nächsten Schritt nur dann ausführen, wenn du ausdrücklich vom Helfer dazu aufgefordert wirst.

4. Nach dem dein Helfer das log ausgewertet hat kannst du die Objekte in der Quarantäne Löschen bzw. wiederherstellen.
Wechsel dazu vom Hauptfenster aus in die Quarantäne und führe die gewünschte Aktion für die markierten Objekte aus.
Der Restore...Button stellt die markierten Objekte wieder her während der Remove...Button die Objekte löscht!

Als abschließende Überprüfung sollte ein Scan im abgesicherten Modus erfolgen.
Vorher muss sicher gestellt werden, dass der SafeBootKey in Ordnung ist.
Wechsel dafür aus dem SUPERAntiSpyware Hauptfenster in die Preferences - > Repairs, wähle Repair broken Safe-Boot Key => Perform Repair !
Die anderen Reparaturen kannst du bei Bedarf ebenfalls durchführen.
Öffne danach die Safe-Boot-Option von SUPERAntiSpyware indem du "Start->Programme->SUPERAntiSpyware->BootSafe" öffnest.
Es wird sich ein Installer öffnen der ein Desktop-Symbol und mehrere Registrierungsschlüssel erstellt.
Wähle im darauf folgenden Fenster Safe Mode - Minimal aus und starte den Rechner durch drücken des Reboot Buttons neu.



Wenn auch dieser Scan beendet ist kannst du den Rechner im normalen Modus neustarten.

zuerst mal herzlichen dank 4RobSen8.

werde mal mit meiner freundin schimpfen müssen was sie da wieder angestellt hat. :]


jetzt habe ich aber doch noch die ein oder andere frage.
- (wieso) muss ich die zu rettenden dateien per knoppix auf die externe festplatte verschieben? kann ich dies nicht mehr über den explorer tun?

- wenn ich den links für die iso folge, gelange ich zu verzeichnissen mit vielen einzelnen dateien. muss ich diese einzeln downloaden und zu einer iso umwandeln, oder mache ich was falsch?
hane jetzt mittlerweile folgende datei gedownloaded: KNOPPIX_V6.0.1CD-2009-02-08-DE.iso hoffentlich ist das die richtige. benötige ich die restlichen dateien auch, oder sind die für mich unwichtig/in der iso enthalten?

entschuldige die fragen, aber meine unswissenheit und das ganze zu dieser späten stunde...

Das sollte die richtige Datei sein.
Diese Cd solltest du dann, als bootbare CD brennen.

Knoppix hat mit dem Explorer nichts zu tun.
Knoppix ist eine Livesystem mit dem du noch Daten retten könntest.

Hallo 4RobSen8,

hat alles wunderbar geklappt. der rechner meiner freundin läuft wieder einwandfrei. deshalb auch ein großes DANKE von ihr!

jetzt ist der nächste rechner evtl. infiziert. zumindest sagt das anti-virusprogramm, dass er 2 trojaner (TR/Pasta.aep) gefunden hat.
meiner meinung nach handelt es sich aber um "normale" Dateien, welche von anfang an vom hersteller sind. es handelt sich hierbei um einen kleinen nettop der mutter meiner freundin, und die surft nicht auf dubiosen seiten rum. btw. meine freundin hat auch keine ahnung wo sie sich die sache auf ihrem rechner eingefangen haben könnte.

ich habe vorsichtshalber auch hier HijackThis laufen lassen. hier das logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:12:45, on 26.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\HP_Administrator\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hp.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://welcome.hp.com/country/de/de/welcome.html
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Programme\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Programme\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Norton Internet Security - Unknown owner - C:\Programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe (file missing)

--
End of file - 3867 bytes
         

ist er infiziert?
vielen dank für die erneute hilfe.

daniel

Wo wurden die Funde gefunden? -> bitte den genauen Pfad angeben.
Passiert etwas "unnormales" an dem Rechner?
Ist die neuste Version der Vierendefinition vorhanden?

• 1.) Deinstaliere:
  - Norten -> wenn noch vorhanden seien sollte
  
• 2.) Antivir
  - http://www.trojaner-board.de/54192-a...tellungen.html
  
  
• 3.) Führe folgende Programme aus:
  - Ccleaner
  - Malewarebytes
  - Superantispyware
  
• 4.) Erstelle mit HijackThis eine Liste der installierten Programme