Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.04.2010, 22:47   #46
PyLi
 
gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll - Standard

gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll



Hallo Franz,

ob es jetzt auch noch gut aussieht, musst du beurteilen:
Bereits vorab schon mal
1) Log des Scans mit Superantispyware:
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 04/24/2010 bei 05:53 PM

Version der Applikation : 4.35.1002

Version der Kern-Datenbank : 4846
Version der Spur-Datenbank : 2658

Scan Art : kompletter Scann
Totale Scann-Zeit : 01:13:01

Gescannte Speicherelemente : 607
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 6830
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 93675
Erfasste Datei-Elemente : 0

2) Log des Scans mit SUPERAntiSpyware im abgesicherten Modus:
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 04/24/2010 bei 08:18 PM

Version der Applikation : 4.35.1002

Version der Kern-Datenbank : 4846
Version der Spur-Datenbank : 2658

Scan Art : kompletter Scann
Totale Scann-Zeit : 02:11:28

Gescannte Speicherelemente : 241
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 6865
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 93716
Erfasste Datei-Elemente : 0

3) Log des Scans mit Panda Activescan:
;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2010-04-24 23:29:56
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 10.0.1.44 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No c:\qoobox\quarantine\d\autorun.inf.vir
00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No c:\qoobox\quarantine\f\autorun.inf.vir
00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No c:\qoobox.zip[qoobox/quarantine/d/autorun.inf.vir]
00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No c:\qoobox.zip[qoobox/quarantine/f/autorun.inf.vir]
00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No f:\system volume information\_restore{cb7f9f3c-bd33-4b76-a02a-e36882fa8ee8}\rp122\a0029777.inf
00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No d:\system volume information\_restore{cb7f9f3c-bd33-4b76-a02a-e36882fa8ee8}\rp122\a0029776.inf
00970650 W32/Harakit.D.worm Virus/Worm No 0 Yes No d:\kopie von autorun.txt
06162619 Trj/Banbra.GQU Virus/Trojan No 1 Yes No d:\avenger_dl\avenger\avenger.exe
06162619 Trj/Banbra.GQU Virus/Trojan No 1 Yes No d:\avenger_dl\avenger.zip[avenger.exe]
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
No c:\pvr150-cd27\smd\hcwsmd05.exe
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Das file "c:\pvr150-cd27\smd\hcwsmd05.exe" gehört zu einem Tool meiner TV-Karte; ich habe es aber trotzdem bei virustotal auswerten lassen:

h**p://w*w.virustotal.com/de/analisis/e7a73d8e399caffd6175aaedfb002d9f4dba7bfd611358a7168f6af6b94c561f-1272145260

Der "Harakit" könnte in Zusammenhang mit dem ominösen "khq"-File(s) stehen; siehe hier (fast ganz unten):
h**p://w*w.uninstall-spyware.com/uninstallW32Harakit.html




Nochmals vielen Dank.

Bis bald,
Frank

Geändert von PyLi (24.04.2010 um 22:56 Uhr)

Alt 25.04.2010, 13:19   #47
Franz1968
/// Helfer-Team
 
gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll - Standard

gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll



Das kann man so lassen. Die beiden letzten Scans haben nichts neues mehr zutage gefördert, außer Spuren in der Systemwiederherstellung und den Backups von Avenger und Combofix.

1. Deinstalliere Combofix (Start -> Ausführen -> combofix /u eingeben und mit <Enter> bestätigen)
2. Deaktiviere die Systemwiederherstellung, um die dort mitgespeicherten Schädlinge zu löschen. Alle Systemwiederherstellungspunkte gehen verloren! Bei Bedarf kannst du die SWH danach wieder aktivieren.
3. c:\qoobox und die Ordner, in denen sich Avenger-Dateien befinden, würde ich löschen.
__________________

__________________

Alt 29.04.2010, 13:47   #48
PyLi
 
gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll - Standard

gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll



Hallo Franz,

leider hat es wieder einige Zeit gedauert, bis ich die Zeit gefunden habe um deine Anweisungen umzusetzen. VIELEN DANK nochmals für deine Unterstützung!

Die aufgefundenen, schädlichen Files (auch in den Ordnern) habe ich unter Linux vorsichtshalber auf einen USB-Stick verschoben und diesen dann "gut weggepackt".

Es hatte ja den Anschein, als ob nun wieder alles in bester Ordnung wäre.
Aber ich befürchte, dass wir uns da getäuscht haben!

Neben deinen Anweisungen habe ich auch noch den PC aufgeräumt (z.B. gmer, OTL und mbr deinstalliert) und die Treiber auf den neuesten Stand gebracht. Während des Downloads eines Treibers hat dann wieder Antivir Alarm geschlagen. Gemeldet wurde ein Trojaner in "yjmirb.exe".

Hier der Report von Antivir:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 29. April 2010 13:59

Es wird nach 2055714 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LUCY

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 15:41:56
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 15:41:56
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:25:38
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:25:38
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:25:38
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:25:38
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:25:38
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:23:12
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 07:23:12
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 07:23:12
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 07:23:12
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 07:23:12
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 07:23:12
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 07:23:13
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 07:23:13
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 07:23:13
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 15:41:56
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 14:47:14
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 10:54:05
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 11:01:52
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 11:01:52
VBASE019.VDF : 7.10.6.233 2048 Bytes 28.04.2010 11:01:53
VBASE020.VDF : 7.10.6.234 2048 Bytes 28.04.2010 11:01:53
VBASE021.VDF : 7.10.6.235 2048 Bytes 28.04.2010 11:01:53
VBASE022.VDF : 7.10.6.236 2048 Bytes 28.04.2010 11:01:53
VBASE023.VDF : 7.10.6.237 2048 Bytes 28.04.2010 11:01:53
VBASE024.VDF : 7.10.6.238 2048 Bytes 28.04.2010 11:01:53
VBASE025.VDF : 7.10.6.239 2048 Bytes 28.04.2010 11:01:53
VBASE026.VDF : 7.10.6.240 2048 Bytes 28.04.2010 11:01:53
VBASE027.VDF : 7.10.6.241 2048 Bytes 28.04.2010 11:01:53
VBASE028.VDF : 7.10.6.242 2048 Bytes 28.04.2010 11:01:53
VBASE029.VDF : 7.10.6.243 2048 Bytes 28.04.2010 11:01:53
VBASE030.VDF : 7.10.6.244 2048 Bytes 28.04.2010 11:01:53
VBASE031.VDF : 7.10.6.251 102400 Bytes 29.04.2010 11:48:25
Engineversion : 8.2.1.224
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 18:12:29
AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 23.04.2010 18:12:29
AESCN.DLL : 8.1.5.0 127347 Bytes 01.04.2010 14:25:36
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 18:12:30
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 07:23:29
AEPACK.DLL : 8.2.1.1 426358 Bytes 01.04.2010 14:25:36
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 01.04.2010 14:25:36
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16.04.2010 07:23:26
AEHELP.DLL : 8.1.11.3 242039 Bytes 07.04.2010 11:48:39
AEGEN.DLL : 8.1.3.7 373106 Bytes 16.04.2010 07:23:19
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 18:12:27
AECORE.DLL : 8.1.13.1 188790 Bytes 07.04.2010 11:48:38
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 18:12:27
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 07.04.2010 11:48:39
AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 15:41:56
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 15:41:56
AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 15:41:56
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 15:41:56

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_e0dc36e1\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 29. April 2010 13:59

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\ntvdm.exe
c:\WINDOWS\system32\ntvdm.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ir.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HookManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWEMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fwupdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'floater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTHtml.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb09.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpcmpmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTSRVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\All Users\Dokumente\yjmirb.exe'
C:\Dokumente und Einstellungen\All Users\Dokumente\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\All Users\Dokumente\yjmirb.exe
[FUND] Ist das Trojanische Pferd TR/Agent.695907
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d9ad14b.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 29. April 2010 14:02
Benötigte Zeit: 03:03 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
58 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
57 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
48115 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden


Die Suchergebnisse werden an den Guard übermittelt.


Diese Meldung kommt mir doch sehr bekannt vor (siehe dazu frühere posts in diesem Thema)!
Anders als beim ersten Angriff durch dieses file konnte ich die exe-Datei diesmal in Quarantäne packen.

Interessant ist, dass es beim letztenmal während des Downloads von "Google Earth" und diesmal beim Download eines Treibes passiert ist. Zwischen diesen beiden Ereignissen habe ich jedoch auch schon Downloads (z.B. Panda) durchgeführt, ohne dass es zu einer Meldung gekommen ist.
Langsam habe ich den Verdacht, dass sich auf meinem PC noch irgendetwas verbergen muss, das immer wieder versucht, mir beim Runterladen von erwünschten files zusätzlich malware zu installieren. Wäre dies möglich?

Die Datei aus der Quarantäne habe ich bei virustotal auswerten lassen:

h**p://w*w.virustotal.com/de/analisis/182b1552d582cdde5619f2b07817941a36d5eb56c5f531cc816cd3ff725a8aa8-1272544845

Ich würde mich freuen, wenn du dich (wieder bzw. weiter) "meiner annehmen würdest", und mir entsprechende Anweisungen geben kannst.

LG,
Frank
__________________

Alt 29.04.2010, 16:17   #49
PyLi
 
gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll - Standard

gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll



Erst mal sorry für den Doppel-Post.

Hallo Franz,

hier noch ein Nachtrag (der eigentliche post ließ sich nicht mehr editieren).
Ich habe noch mal einen Vollscan mit Antivir gemacht und es gab weitere Funde.

Irgendwie wird es immer mehr.

Hier der Report:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 29. April 2010 15:38

Es wird nach 2056463 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LUCY

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 15:41:56
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 15:41:56
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:25:38
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:25:38
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:25:38
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:25:38
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:25:38
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:23:12
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 07:23:12
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 07:23:12
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 07:23:12
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 07:23:12
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 07:23:12
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 07:23:13
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 07:23:13
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 07:23:13
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 15:41:56
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 14:47:14
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 10:54:05
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 11:01:52
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 11:01:52
VBASE019.VDF : 7.10.6.233 2048 Bytes 28.04.2010 11:01:53
VBASE020.VDF : 7.10.6.234 2048 Bytes 28.04.2010 11:01:53
VBASE021.VDF : 7.10.6.235 2048 Bytes 28.04.2010 11:01:53
VBASE022.VDF : 7.10.6.236 2048 Bytes 28.04.2010 11:01:53
VBASE023.VDF : 7.10.6.237 2048 Bytes 28.04.2010 11:01:53
VBASE024.VDF : 7.10.6.238 2048 Bytes 28.04.2010 11:01:53
VBASE025.VDF : 7.10.6.239 2048 Bytes 28.04.2010 11:01:53
VBASE026.VDF : 7.10.6.240 2048 Bytes 28.04.2010 11:01:53
VBASE027.VDF : 7.10.6.241 2048 Bytes 28.04.2010 11:01:53
VBASE028.VDF : 7.10.6.242 2048 Bytes 28.04.2010 11:01:53
VBASE029.VDF : 7.10.6.243 2048 Bytes 28.04.2010 11:01:53
VBASE030.VDF : 7.10.6.244 2048 Bytes 28.04.2010 11:01:53
VBASE031.VDF : 7.10.6.252 111616 Bytes 29.04.2010 13:36:49
Engineversion : 8.2.1.224
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 18:12:29
AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 23.04.2010 18:12:29
AESCN.DLL : 8.1.5.0 127347 Bytes 01.04.2010 14:25:36
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 18:12:30
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 07:23:29
AEPACK.DLL : 8.2.1.1 426358 Bytes 01.04.2010 14:25:36
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 01.04.2010 14:25:36
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16.04.2010 07:23:26
AEHELP.DLL : 8.1.11.3 242039 Bytes 07.04.2010 11:48:39
AEGEN.DLL : 8.1.3.7 373106 Bytes 16.04.2010 07:23:19
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 18:12:27
AECORE.DLL : 8.1.13.1 188790 Bytes 07.04.2010 11:48:38
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 18:12:27
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 07.04.2010 11:48:39
AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 15:41:56
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 15:41:56
AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 15:41:56
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 15:41:56

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 29. April 2010 15:38

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-2052111302-1682526488-839522115-1003\Software\SecuROM\License information\datasecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-2052111302-1682526488-839522115-1003\Software\SecuROM\License information\rkeysecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
c:\windows\system32\ntvdm.exe
c:\WINDOWS\system32\ntvdm.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '159' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ir.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'HookManager.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWEMon.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'floater.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'fwupdate.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTHtml.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpctrl.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBPanel.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb09.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpcmpmgr.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrotray.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '134' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '6' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTSRVC.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '163' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '547' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <XP SOFTWARE>
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cevakrnl.rv0
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.cvd
[FUND] Enthält Erkennungsmuster des Trivial-28 (A)-Virus
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.ivd
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cevakrnl.rv0
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.cvd
[FUND] Enthält Erkennungsmuster des Trivial-28 (A)-Virus
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.ivd
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
Beginne mit der Suche in 'D:\' <XP DATEN>
Beginne mit der Suche in 'E:\' <SPIELE>
Beginne mit der Suche in 'F:\' <BACKUP>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.ivd
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4edb0503.qua' verschoben!
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.cvd
[FUND] Enthält Erkennungsmuster des Trivial-28 (A)-Virus
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '564c2aa5.qua' verschoben!
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cevakrnl.rv0
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '04667050.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 29. April 2010 17:09
Benötigte Zeit: 1:27:03 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

12908 Verzeichnisse wurden überprüft
552429 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
552423 Dateien ohne Befall
3043 Archive wurden durchsucht
0 Warnungen
3 Hinweise
391171 Objekte wurden beim Rootkitscan durchsucht
4 Versteckte Objekte wurden gefunden

LG,
Frank

Alt 30.04.2010, 10:51   #50
Franz1968
/// Helfer-Team
 
gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll - Standard

gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll



Hallo Frank,
Zitat:
Zitat von PyLi Beitrag anzeigen
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cevakrnl.rv0
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.cvd
[FUND] Enthält Erkennungsmuster des Trivial-28 (A)-Virus
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.ivd
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cevakrnl.rv0
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.cvd
[FUND] Enthält Erkennungsmuster des Trivial-28 (A)-Virus
C:\Dokumente und Einstellungen\ADMIN\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.ivd
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
diese Funde sehen so aus, als hättest du zusätzlich noch einen Online-Scan mit F-Secure gemacht. Hast du?
Wenn ja: Es kommt vor, dass dein Hintergrund-Wächter (AntiVir) Alarm schlägt, wenn ein anderer Scanner auf deinem Rechner aktiv wird und, wie in diesem Fall, eigene temporäre Dateien ablegt. (Dies ist auch der Grund dafür, dass man niemals zwei Hintergrund-Wächter gleichzeitig aktivieren sollte.)
Falls nötig, deinstalliere den F-Secure-Scanner über die Systemsteuerung und lösche mit dem CCleaner alle temporären Dateien in allen Pfaden, dann sollte der Spuk eigentlich vorbei sein.

Zu dem anderen Spuk, der yjmirb.exe:
Zitat:
Zitat von PyLi Beitrag anzeigen
Langsam habe ich den Verdacht, dass sich auf meinem PC noch irgendetwas verbergen muss, das immer wieder versucht, mir beim Runterladen von erwünschten files zusätzlich malware zu installieren. Wäre dies möglich?
Möglich ja, aber eigentlich hatten wir das ausgeschlossen...
Hast du Google Earth und den Treiber direkt von den Hersteller-Seiten heruntergeladen? Hast du inzwischen den Rechner wieder an dein Heimnetzwerk angeschlossen oder Wechselmedien angesteckt? Es ist ja auch möglich, dass die Infektion von einem deiner anderen Rechner kommt.

__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 30.04.2010, 22:22   #51
PyLi
 
gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll - Standard

gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll



Hallo Franz,

zunächst erst mal vielen Dank, dass du weiter "dran bleibst".

Zu deinen Fragen:

F-Secure:
Ja, ich habe neben dem Scan mit Panda auch einen mit F-Secure gemacht (ebenfalls ohne Funde). Die Files können daher Reste von F-Secure sein (ehrlich gesagt dachte ich, dass es nur ein Onlinescanner ist und keine Reste bleiben würden).
Ich kann auch keine Installation von F-Secure mehr finden (weder unter "alle Programme" noch in der Systemsteuerung).
Ich habe daher C-Cleaner laufen lassen und den Bereich nochmals mit Antivir gescannt. Ist jetzt ohne Befund/Beanstandung.

Google earth:
Habe es nicht von der Herstellerseite, sondern bei CHIP runtergeladen. Kann man CHIP als Quelle nicht (mehr) vertrauen?

Treiber:
Auf diesen Download hatte ich selbst keinen direkten Einfluß. Mit dem Board (das Orginalboard habe ich mal ersetzt, um eine andere CPU nutzen zu können) des PCs wurde eine Software (Fox LiveUpdate) mitgeliefert, mit deren Hilfe man nach Updates für die Boardkomponeten suchen und diese ggf. auch updaten kann.
Dieses Prozedere habe ich durchgeführt (Treiber für Onboard-LAN sollte erneuert werden) und dabei wurde dann "yjmirb.exe" gefunden und diesmal von Antivir das File in Quarantäne genommen.

Heimnetzwerk:
Der Rechner hatte schon länger (auch vor der Infektion) keinen Kontakt mehr mit anderen PCs.
Es bestand keine Netzwerkverbindung und es wurden keine Daten (über Sticks, CDs usw.) ausgetauscht.
Der betroffene PC wird fast ausschließlich als reines "Arbeitstier" (für chemische Berechnungen mittels "Gaussian") genutzt.
Wenn man dann dabei mal auf das nahe Ende einer Berechnung warten musste bzw. eine Berechnung überwachte, dann wurde auch das Internet benutzt und ggf. Emails abgerufen
(sowohl direkt auf der gmx-Homepage als auch via Outlook).
Zur näheren Erklärung der aktuellen Situation: Ich habe Internet über Kabel-Deutschland. Dieser PC geht seit Bekanntwerden der Infektion direkt per LAN-Kabel an den Router/Splitter ins Internet.
Alle anderen PCs nutzen W-LAN. Der W-LAN-Router kann nur alternativ zum direkten LAN-Kabel genutzt/angeschlossen werden. Es ist daher nicht möglich mit irgendeinem anderen PC ins Internet zu gehen, wenn der betroffene PC das Internet nutzt. Eine Übertragung von Daten zwischen den anderen PCs und dem betroffenen Rechner ist daher auszuschließen.

Wechselmedien:
Wie ich dir geschrieben hatte, wurde mit dem PC immer nur ein bestimmter USB-Stick benutzt. Dieser war während der gesamten bisherigen Bereinigung angeschlossen. Dieser hat auch eine "autorun.inf" drauf.
Diese haben wir aber analysiert und festgestellt, daß sie nur zur Anzeige des Symbols dient.
Um die ganzen "verdächtigen" Dateien und Ordner sicherheitshalber aufzubewahren, habe ich einen anderen USB-Stick benutzt. Dieser war "nagelneu" aus der verschweißten Packung entnommen und wurde nur während der Verwendung der Linux-Live-CD angesteckt. Bei der Verwendung unter Linux habe ich den USB-Stick zunächst geöffnet; er war völlig leer. Noch unter Linux hab ich den Stick dann abgemeldet und dann sofort sicher weggepackt.


Der erste Fund hinsichtlich "yjmirb.exe" geschah, als ich Google Earth heruntergeladen/installiert habe. Damals hat Antivir Alarm geschlagen und den Schädling sofort gelöscht.
Der jetzige, zweite Fund hinsichtlich "yjmirb.exe" erfolgte, als ich die Treiber für meine Onbord-LAN-Karte heruntergeladen/installiert habe (s.o.).


Um gleich alle Bedenken zu zerschlagen; von diesem PC wurde (mit Ausnahme vom TB) nichts mehr genutzt, das irgendwie sensibel wäre (also keine Passwörter, gmx, Paypal usw.).


Um das Problem näher zu untersuchen, habe ich mal einiges versucht:
- Google Earth (mit Google Updater), Adobe Reader 9.x, Java und Secunia PSI deinstalliert.
- PC neugestartet und dann mit C-Cleaner bereinigt.
- Antivir-Update (war schon auf neuestem Stand).
- TB geöffnet (in Firefox; nicht am TB angemeldet)
- Deinem Link zu Java-Updates (im Firefox) gefolgt und Java als Onlinevariante installiert und Installation mit Hilfe der Java-Homepage überprüft. Alles i.O. keine Meldungen.
- Deinem Link zu Adobe Raeder (im Firefox) gefolgt und Reader 9.3 installiert. Reader geöffnet und geupdatet. PC neugestartet.
- Nochmal Reader gestartet und nochmals nach Updates gesucht. Keine weiteren Updates vorhanden. Alles i.O. keine Meldungen.
- Wie damals nach "Google Earth Chip" (diesmal im Firefox; bin nicht mehr sicher, ob es damals nicht im IE war) gegoogelt und dem ersten Link auf w*w.chip.de/downloads/Google-Earth_13015193.html
gefolgt und dann installiert. Google Earth gestartet. Alles i.O. keine Meldungen.

Also hat es diesmal keine Antivir-Meldungen gegeben.
Da ich leider nicht mehr sicher bin, ob ich damals "Google Earth" nicht unter IE gesucht und installiert habe, habe ich es wieder deinstalliert. Mit C-Cleaner bereinigt. Den letzten Schritt der obigen Liste unter IE wiederholt. Alles i.O. keine Meldungen.

Fazit: Die Sache mit der "yjmirb.exe" ist bisher zweimal aufgetreten. Sie ist jedoch nicht so einfach reproduzierbar. D.h. sie kommt nicht bei jedem Download automatisch mit.
Aus meiner Sicht ergibt das irgendwie keinen richtigen Sinn, wenn man annimmt, daß es auf dem PC irgendeinen Schädling gibt, der dieses "Zusatzdownload" veranlasst.
Aus meiner Laien-Sicht könnte ich mir aber folgendes Szenario vorstellen: Jemand hat sich "von außen" einen Zugang zu meinem PC gelegt und kann diesen nutzen wann immer der PC im Internet ist.
Je nach Gusto wird dann versucht, mir bei einem beliebigen Download auch noch irgendeine Schadsoftware mitzuschicken.
Ist sowas denkbar?

Hat es ggf. mit irgendwelchen offenen Ports zu tun, die ich einfach wieder schließen kann? Ich denke da an Ports die von "Pando" benutzt werden. Habe "Pando" bisher benutzt, um mit ehemaligen Kollegen an verschiedenen Unis größere Outputs von Berechnungen und Varianten für unsere Rechensoftware auszutauschen.

Kannst du mir sagen, was die "yjmirb.exe" kann bzw. bezwecken sollte?

Was kann ich weiter tun?
Ist es unumgänglich, den PC neu aufzusetzen und dabei auch gleich alle Partitionen zu formatieren?

Entschuldige bitte, wenn dieser post so lang/ausführlich war, aber ich wollte einfach mal alles zusammenfassen, um vieleicht den entscheidenden Hinweis für eine
Bereinigung zu liefern.

Vielen Dank, daß du bereits so viel DEINER Zeit in MEIN Problem investiert hast.

LG,
Frank

Alt 04.05.2010, 20:51   #52
Franz1968
/// Helfer-Team
 
gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll - Standard

gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll



Zitat:
Zitat von PyLi Beitrag anzeigen
Habe es nicht von der Herstellerseite, sondern bei CHIP runtergeladen. Kann man CHIP als Quelle nicht (mehr) vertrauen?
Doch, sollte man können. Man soll zwar immer grundsätzlich direkt beim Hersteller laden, aber dass Anbieter wie CHIP Schädlinge unter's Volk bringen, kann man ausschließen.
Zitat:
Ich habe Internet über Kabel-Deutschland. Dieser PC geht seit Bekanntwerden der Infektion direkt per LAN-Kabel an den Router/Splitter ins Internet.
Ist dieser Router NAT-fähig ("Hardware-Firewall")? Schau mal bitte ins Handbuch. War/ist die "Hardware-Firewall" eingeschaltet? Wenn nein: War/ist die Windows-Firewall aktiv?
Zitat:
Jemand hat sich "von außen" einen Zugang zu meinem PC gelegt und kann diesen nutzen wann immer der PC im Internet ist.
Je nach Gusto wird dann versucht, mir bei einem beliebigen Download auch noch irgendeine Schadsoftware mitzuschicken.
Ist sowas denkbar?
Das Prinzip (Backdoor auf dem Rechner, die als Einfallstor für weiteren Schädlings-Download dient) ist denkbar.
Zitat:
Hat es ggf. mit irgendwelchen offenen Ports zu tun, die ich einfach wieder schließen kann? Ich denke da an Ports die von "Pando" benutzt werden.
Ein Schädling, der auf deinem Rechner sitzt und nach Hause telefonieren will, der öffnet sich schon seine Ports. Auf deine Mithilfe ist er dabei nicht angewiesen.
Zitat:
Was kann ich weiter tun?
Ist es unumgänglich, den PC neu aufzusetzen und dabei auch gleich alle Partitionen zu formatieren?
Das ist immer die sicherste Variante. Wenn wir den Grund der Neuinfektion nicht finden können, werde ich dir das auch empfehlen. Aber zunächst beantworte bitte meine Fragen bzgl. des Routers.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 06.05.2010, 16:31   #53
PyLi
 
gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll - Standard

gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll



Hallo Franz,

hier die Antworten auf deine Fragen:

Hardware-Firewall:
Ob das Bauteil tatsächlich eine Funktionalität als Router hat, kann ich nicht beurteilen. Es sorgt für die Trennung des Anschlusses in Telefonleitungen und Internetzugang via LAN-Port (der Hersteller "Thomson" bezeichnet es als "Residential VOIP Modem"). Im Handbuch ist zum Thema Firewall nichts zu finden. Das Bauteil hat eine IP und man kann dort eine Art Administration aufrufen. In dieser ist aber auch nichts hinsichtlich Firewall zu finden.

Windows-Firewall:
Die Firewall ist an und war mit einer Ausnahme auch immer an. Ausnahme: Während des Scans mit ComboFix war sie entsprechend der Anleitung aus.
Es sind jedoch einige Ausnahmen eingetragen.

Bereits vorab
Vielen Dank!

LG,
Frank

Antwort

Themen zu gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll
.com, ad-aware, antivir, antivir guard, askbar, avgntflt.sys, bho, browser, components, desktop, device driver, excel, fehler, flash player, fontcache, gainward, gupdate, hkus\s-1-5-18, installation, internet, kompatibilität, logfile, malwarebytes' anti-malware, msiexec, msiexec.exe, object, pdf-datei, problem, prozessor, registry, rückgängig, scan, server, software, starten, system, timeout, uleadburninghelper, updates, windows, windows internet, windows internet explorer, windows xp, windows-sicherheitscenterdienst, wsearch




Ähnliche Themen: gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll


  1. Windows 10: Fake-Paypal-Mail erhalten und versehentlich Anhang geöffnet …
    Plagegeister aller Art und deren Bekämpfung - 22.08.2015 (8)
  2. Phishing: Informationen zu Ihrem PayPal-Konto (Ihr PayPal-Konto weist derzeit einen negativen Kontostand auf.)
    Diskussionsforum - 11.10.2014 (0)
  3. Windows 7: Eventueller Trojaner, Paypal-Passwort wurde offenbar entwendet
    Log-Analyse und Auswertung - 15.09.2014 (17)
  4. Windows 7, PayPal Phishing Mail.
    Log-Analyse und Auswertung - 26.07.2014 (21)
  5. Phishing E-Mail von PayPal mit dem Betreff: "Das Problem: Ihr Paypal Sperrung"
    Diskussionsforum - 21.07.2014 (0)
  6. Windows 7: gefälschte Paypal Rechnung geöffnet.
    Log-Analyse und Auswertung - 07.07.2014 (9)
  7. Windows 7 (64bit): Paypal Phishingmail -Link angeklickt - Rechner verseucht?
    Log-Analyse und Auswertung - 08.12.2013 (9)
  8. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  9. Malware-gen in C:\Windows\System32\services.exe Windows 7 Service Pack 1 x86 NTFS
    Log-Analyse und Auswertung - 11.11.2012 (13)
  10. incredibar eingefangen/ DLL C:\Windows\system32\MSCTF.dll ist keine gültige windows datei
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (22)
  11. Trojaner C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt: FQ10 Fehler in C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt:
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (19)
  12. TR/ATRAPS.Gen2, TR/Sirefef.16896 (in C:\Windows\Installer\...) und W32/Patched.UA (C:\Windows\System32\services.exe)
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (5)
  13. 50 euro paypal zahlen - windows 7
    Plagegeister aller Art und deren Bekämpfung - 22.12.2011 (3)
  14. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  15. An alle Paypal Verkäufer! Neue Paypal Bertugs Methode mit Phishing Mails
    Plagegeister aller Art und deren Bekämpfung - 09.11.2010 (3)
  16. /Windows/system32/config/system - Fehler mit Windows und beim Starten des PCs.
    Alles rund um Windows - 25.04.2010 (4)
  17. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\n
    Log-Analyse und Auswertung - 05.10.2007 (10)

Zum Thema gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll - Hallo Franz, ob es jetzt auch noch gut aussieht, musst du beurteilen: Bereits vorab schon mal 1) Log des Scans mit Superantispyware: SUPERAntiSpyware Scann-Protokoll hxxp://www.superantispyware.com Generiert 04/24/2010 bei 05:53 PM - gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll...
Archiv
Du betrachtest: gmx und paypal aufgehackt, C:\windows\system32\CVHW.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.