Hallo,
ich bin neu hier im Forum und muss gleich vorausschicken, dass ich nicht der versierteste User im Zusammenhang mit Viren etc. bin. Deshalb hoffe ich, dass mir hier jemand bei folgendem Problem u.U. helfen kann:
Vor einigen Tagen habe ich mit Hilfe verschiedener Virenscanner (AntiVir, Avast und Spybot, die bei mir parallel laufen) komplette Systemüber-prüfungen durchgeführt, da mein Rechner (HP Notebook mit Windows XP SP3) durch einen längeren Auslandsaufenthalt schon länger nicht mehr geprüft wurde. Folgende Viren wurden durch AntiVir entdeckt:
TR/CRYPT.XPACK.GEN und TR/CRYPT.PEPM.GEN in zwei temporären Dateien (unp121736543.tmp und unp108977713.tmp) sowie ersterer auch in der Datei Sharp_furious.zip, einem Programm, das ich vor einiger Zeit herntergeladen habe. Die Dateien wurden zunächst in den Quarantänebereich verschoben und mittlerweile gelöscht.
Der Scan mit Avast brachte zwar keine konkreten Funde, jedoch folgende Warnungen:
Zitat:
12.07.2009 23:57:35 SYSTEM 1276 An error has occured while attempting to update. Please check the logs.
12.07.2009 23:57:20 SYSTEM 1276 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
12.07.2009 13:31:01 AS 1024 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\AS\Eigene Dateien\Software\streamripper-windows-installer-1.63.1.exe" file.
18.07.2009 23:52:29 AS 288 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\AS\Lokale Einstellungen\Temp\0711205600000bbczmi85zm9p2\PhotoLibrary.msi\Product.cab\WLXPhotoAcquireWizard.exe" file.
18.07.2009 23:53:12 AS 288 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\AS\Lokale Einstellungen\Temp\0711205600000bbczmi85zm9p2\PhotoLibrary.msi\Product.cab\WLXQuickTimeControlHost.exe" file.
19.07.2009 01:52:09 AS 288 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\_restore{5BD806D7-AC30-402C-B730-6EC24D2D07A2}\RP164\A0163428.rbf" file.
19.07.2009 01:53:31 AS 288 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\_restore{5BD806D7-AC30-402C-B730-6EC24D2D07A2}\RP164\A0163455.rbf" file.
19.07.2009 01:53:58 AS 288 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\_restore{5BD806D7-AC30-402C-B730-6EC24D2D07A2}\RP164\A0163467.msi\Product.cab\WLXPhotoAcquireWizard.exe" file.
19.07.2009 01:54:13 AS 288 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\_restore{5BD806D7-AC30-402C-B730-6EC24D2D07A2}\RP164\A0163467.msi\Product.cab\WLXQuickTimeControlHost.exe" file.
|
Danach habe ich einen erneuten Scan mit Malware Bytes durchgeführt und weitere Bedrohungen entdeckt:
Zitat:
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2505
Windows 5.1.2600 Service Pack 3
26.07.2009 19:48:11
prüfung2.txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 146195
Laufzeit: 1 hour(s), 11 minute(s), 42 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\dokumente und einstellungen\AS\eigene dateien\elecard mpeg2 player\minidivx.ax (Backdoor.Bot) -> No action taken.
c:\dokumente und einstellungen\AS\eigene dateien\elecard mpeg2 player\mlcom.ax (Backdoor.Bot) -> No action taken.
c:\dokumente und einstellungen\AS\eigene dateien\elecard mpeg2 player\Mpeg2Mux.ax (Backdoor.Bot) -> No action taken.
c:\dokumente und einstellungen\AS\eigene dateien\elecard mpeg2 player\mpgdec.ax (Backdoor.Bot) -> No action taken.
|
Auch diese neuen Bedrohungen habe ich löschen lassen. Nachdem ich einige der Beiträge in diesem und anderen Foren bzgl. Hijacker-Viren gelesen habe, habe ich abschließend mit Hilfe von
HijackThis eine Analyse gestartet und folgende Ergebnisse erhalten:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:30, on 26.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Alwil Software\Avast4\setup\avast.setup
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209754128137
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://sdlc-esd.sun.com/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?AuthParam=1230307375_1f49ee7486f6500db087aa37cc8d8d3b&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab&File=jinstall-6u11-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6978D328-FFCE-44DF-A113-7000FD887DB6}: NameServer = 217.237.149.142,217.237.150.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{E057D827-59F5-4B1D-8D50-98BF20A0661D}: NameServer = 217.237.149.142,217.237.150.205
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
--
End of file - 7079 bytes
|
Meine Fragen lauten daher:
1. Kann nun davon ausgegangen werden, dass nun keine Mal- oder Spyware mehr in meinem System herumgeistert?
2. Welche möglichen Schäden könnten durch die genannte Schadsoftware entstanden sein (zwei der oben genannten Dateien, Sharp_furious.zip und streamripper-windows-installer-1.63.1.exe, befanden sich seit mehr als 15 Monaten auf dem Rechner, die MPEG2-Player-Dateien erst seit einigen Wochen)?
3. Wäre es unter den hier geschilderten Umständen sicherer, das System komplett neu aufzulegen?
Ich wäre sehr dankbar für Tipps und Ratschläge.
Freundlichen Gruß
NX9005