Ist mein System clean? (2 Viren gefixt)
 

Hallo Community,

ich habe folgendes Problem mit meinen Rechner. Zuvor weg ich habe noch SP1 drauf.. Hat seine gewissen Gründe, da mit SP2 einige meiner Geräte nicht mehr richtig funktionieren (nein es gibt kein Update :))

Ich habe mein System mit mehreren Antiviren Programme gescannt (Norton Internet Security Online Edition 2007, Antivir 7 Personal Edition, Spybot, Ad Aware....

Norton findet gar keinen Virus, Spybot findet überhaupt nichts, AdAware 2007 hat 10 Trackercookies gefunden und Antivir 7.0 hat 2 Viren gefunden....

Nachfolgend der Antivir Bericht: Habe Antivir leider deinstallieren müssen, da er mein System total lahm gelegt hat... Kein starten von Programmen mehr möglich ....

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 9. Juli 2007 16:20

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'symlcsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RVSCC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RVSINST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'javaw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'napster.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StatusClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppSvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSvcHst.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '35' Prozesse mit '35' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '14' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Program Files\Windows SyncroAd\SyncroAd.exe
[FUND] Ist das Trojanische Pferd TR/Spy.KStaff.4
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47004b0d.qua' verschoben!
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB824141$\user32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB824141$\win32k.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\itss.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\magnify.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\narrator.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\newdev.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\osk.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\shdocvw.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\shell32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\urlmon.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\TFTP2964
[FUND] Enthält Signatur des Wurmes WORM/Rbot.JC
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46e65ea4.qua' verschoben!
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Montag, 9. Juli 2007 18:15
Benötigte Zeit: 1:54:44 min

Der Suchlauf wurde vollständig durchgeführt.

10068 Verzeichnisse wurden überprüft
406327 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
21 Dateien konnten nicht durchsucht werden
406325 Dateien ohne Befall
7861 Archive wurden durchsucht
21 Warnungen
1 Hinweise
0 Versteckte Objekte wurden gefunden



Dann nachfolgend der Hijack Log file

Logfile of HijackThis v1.99.1
Scan saved at 16:59:00, on 09.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Napster\napster.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.ex e
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\...........\LOKALE~1\Temp\HijackThis.e xe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.muster.de
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00000000-0000-0000-0000-000020030000} -
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int3.exe
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/partner/futuretrance/MY-PLAYLIST-WEBINSTALLER_loader.exe
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe


Dann wollte ich noch Escan durchführen, aber das funktioniert bei mir überhaupt nicht..... Weiß nicht warum ... aber er legt bei mir schon keine Ordner an :(

Meine Frage ist jetzt, ob ich virenfrei bin und ob man es anhand der Daten sagen kann? Ich bin leider kein Profi und hoffe ihr könnt mir tipps und Hilfestellung bezüglich diesen Themas machen...

Ich danke im vorraus

Gruß Snowi

Bitte bleibe in deinem Beitrag, Crosspostings sind so eher verwirrend.

Hier geht es weiter -> http://www.trojaner-board.de/40768-t...erpruefen.html

Sunny

ich seh schon ich mach alles falsch :(

Guten Morgen!

Dann musst Du es anders lösen - mit einem SP1-System geht man jedenfalls nicht mehr ins Internet - auch in Verantwortung anderen Internetnutzern gegenüber! Weshalb? Weil Du mit Deinem löcherigen System a) eine potentielle und b) wie dem Scanlogfile zu entnehmen auch real existente Basis für Schädlinge bietest, es in eine Wurm- und Spamschleuder zu verwandeln.

Mit anderen Worten: Dadurch, dass Du ein potentiell sehr unsicheres System betreibst und mit dem Internet verbindest, trägst Du, ob nun ungewollt oder nicht, mit dazu bei, dass Malware- und Spamverbreiter ein leichtes "Spiel" haben. Ein Großteil des Spamaufkommenes beispielsweise stammt heutzutage aus Bot-Netzen, also einem Zwangszusammenschluss von gekaperten PCs wie u.a. auch dem Deinigen.

Du darfst also nicht den Fehler begehen, den Betrieb eines Systems nur von Faktoren abhängig zu machen, wie sie bei Dir vorliegen ("da mit SP2 einige meiner Geräte nicht mehr richtig funktionieren") - es gibt nämlich auch immer andere Gesichtspunkte, die gewichtiger sein können als Deine individuellen Problemstellungen.

Wichtig: Ich versuche Dir auf diese Weise nur deutlich zu machen, dass Du offentsichtlich einige Gesichtspunkte nicht berücksichtig hast, wie wichtig es jedoch ist, sie nicht aus den Augen zu verlieren.

Masse ist ungleich Klasse! Zudem machst es wenig Sinn, ein bereits in der Basis, im Fundament instabiles System mit weiteren unsicheren Methoden auf Sauberkeit hin zu prüfen. Lies bitte diese Information:

Homepage von Malte J. Wetz

Siehe dazu: Computersicherheit - Virenscanner

Dein System ist kompromittiert. Insofern erübrigt sich da jegliche weitere Ursachenforschung. Allerdings liegt die Grund auf der Hand: Du hast zu viele "Schutzprogramme" parallel installiert. Siehe oben meine Anmerkung zu Masse und Klasse.

Du hast Netzwerkwürmer zu Gast - eben weil Dir das SP2 und die Patches fehlen.

Kein Service-Pack 2 drauf, und dann auch noch mit dem Internet Explorer surfen - Risiko hoch drei!
Auch der Adobe Reader scheint nicht aktuell gehalten worden zu sein - eine weitere Lücke im System.

Malware/Dialer-Einträge über ActiveX-Steuerelemente.

Ob Du das bist, kann ich nicht sagen, obgleich ein Schnupfen im Sommer eher nicht so wahrscheinlich ist ;) - bezogen auf Dein PC-System allerdings: Nein, es ist nicht schädlingsfrei, ganz im Gegenteil!

Ja, das kann man sehr gut. Aufgrund dieser Anhaltspunkte ist ganz klar, es steht eine Systemneuinstallation an:

Anleitung - Neuaufsetzen des Systems / anschliessende Absicherung
Anleitung - Neuaufsetzen des Systems / anschliessende Absicherung

Gerne. Nur musst Du eine Lösung wegen des Service-Packs finden. Du kannst den PC beispielsweise offline mit dem SP1 betreiben - allerdings nicht für das Internet. Dahingehend wäre es z.B. eine Alternative, z.B. Ubuntu Linux zu verwenden. Also Windows für Offline-Arbeiten, Linux für's Internet.

und ein nachträgliches installieren von SP2 ?

Das bringt für den derzeitigen verseuchten Zustand des Systems nichts, denn die Installation des SP2 ist keine malwarebereinigende, sondern lediglich eine infektionsvorbeugende Maßnahme.

also ich hab jetzt SP2 und alle Updates durchgeführt .... Wärt ihr bereit mit mir das System irgendwie zu bereinigen ohne das ich es neu aufsetzen muss :)?

Ähm - gelesen, was ich geschrieben habe, hast Du aber schon, oder?

ja hab ich ... aber ich würd gern versuchen es nicht platt zu machen ....

Das halte ich angesichts des vorliegenden Infektionsbildes (Netzwerkwurm/ Backdoor, Lücken ohne Ende) aber für keine gute Idee.

ich mach am besten nochmal nen log file oder :) und ich hol grad alle updates runter ... sind knappe 200

Das ändert nichts an der Kompromittierungslage.

naja 4 sachen hab ich ja entfernt .... des könnten die ja gewesen sein oder nicht?

Missverständnis - durch das Entfernen einzelner sichtbarer Einträge, und HijackThis liefert da nur eine Grobanalyse - wird das System nicht automatisch wieder in einen vertrauenswürdigen Zustand versetzt!

-> System nach Infektion neu aufsetzen

also kann mans nicht mal probieren ?

so hier wäre mein neues Logfile


Logfile of HijackThis v1.99.1
Scan saved at 20:45:55, on 10.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Napster\napster.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Benutzer\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vanek-martin.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184081286593
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/partner/futuretrance/MY-PLAYLIST-WEBINSTALLER_loader.exe
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

Nabend:juul:

doch, du kannst,
es ist dein Rechner auf dem illegale Inhalte gefunden werden oder Attacken auf Server durchgeführt werden
und es ist deine Wohnungstür die morgens um 3.00Uhr von der Polizei geöffnet wird
und es ist dein Internetzugang der von deinem Anbieter wegen Spamversand gesperrt wird
und und und...
dies sind einige der vielfältigen Möglichkeiten was in Zukunft passieren könnte

MFG

es wird aber sicherlich nicht jeder bei einem gefunden virus sein system platt machen .... denk ich jetzt mal :)

Genau deswegen gibt es auch einen Unterschied zwischen "denken" und "wissen".

kann mir denn trotzdem nicht mal einer was aus meinen logfile rauslesen?

Hab ich doch hier gemacht.

ich habe ja ein neues logfile gepostet ....

Jo
kommt auf den Schädling an...

viel interessanter ist, was nicht zu sehen ist, wenn du weist was ich meine;)
dein Logfile mag jetzt unauffällig aussehen, dass ist aber noch lange kein Hinweis dafür das es dein System auch ist.
Hijackthis zeigt uns immer nur einen kleinen Ausschnitt des gesamten Systems und es wird nirgends ein roter Pfeil aufleuchten der auf die Hintertür zeigt:D .

und man kann das nicht rausfinden, ob das system sauber ist? Die 2 Viren welche ich gehabt habe sind bei dem Logfile von Antivir ....

So

doch, aber dafür müsstest du denke ich einen fünfstelligen Betrag locker machen und ich meine keine türkischen Lira;) , es würde wohl einige Wochen dauern jede einzelne Datei zu checken

und? kein Antivirenprogramm erkennt alle Schädlinge.

dann könnt ihr euch im Endefekt auch nicht sicher sein das ihr komplett virenfrei seit ??!....

Im Gegensatz zu meinem System ist auf Deinem System eine Infektion sicher nachgewiesen - allein schon das ist ein erheblicher Unterschied.

und wie ist das dann wenn man 2 viren gefunden hat und entfernt sind? ist dann hier noch mehr?? oder kann man hier was nachvollziehen?

Es sind ja keine Viren in Deinem Fall - es handelt sich um Netzwerkwürmer mit Backdoor-Funktion. Darauf hatte ich aber bereits hingewiesen. Daher kannst Du nicht nachvollziehen, was während der Aktivität des Backdoors über diesen am System verändert wurde. Zum Beispiel, ob ein Rootkit installiert wurde. Oder welche Passwörter ausgelesen wurden, etc.

Daher wird man aufgrund der Möglichkeiten so einer Malware zum Handeln gezwungen.

und was ist ein Rootkit? bzw kann man das dann nicht mit irgendwas erkennen?

Ein Rootkit in diesem Sinne ist ein Programm, das mit Hilfe verschiedener Tarntechniken auf dem fraglichen PC installiert wird, um auf dieses fernsteuernd zugreifen zu können, ohne dass es der Nutzer bemerkt.

Zur Prüfung auf Rootkits gibt es verschiedene aber leider auch in ihrer Leistung begrenzte Programme (Blacklight, Rootkit-Revealer, usw.), wenn und weil sie auf dem infizierten System ausgeführt werden und somit der Manipulierbarkeit durch Malware ausgesetzt sind. Das heißt, zuwecks Analyse kann man sie einsetzen, nicht aber, um eine sichere Bereinigung eines als infiziert bekannten Systems zu erreichen.

kannst du mir bitte sagen wo ich diese Analyse tools herbekomme.

Moin

hier --> Klick einfach das gewünschte eingeben.

Angenommen er findet nichts? bzw kann überhaupt jemand das Logfile interpretieren :)? das läuft nämlich ganz schön lange ....

also er hat eigentlich nichts bestimmtes gefunden außer an haufen ... hidden bei windows API

Das ist leider zu wenig konkret.

also f-force hat keine Founds gehabt

und bei dem anderen Programm hat es eigentlich auch nichts angezeigt. Müsste es aber nochmal durchlaufen lassen, da es mir beim Abspeichern des Logs abgestürzt ist ....