|
AntiVir Warnung im Masterbootsektor Hallo Ich habe alle golden Regeln des Forums beachtet und hoffe jemand kann mir bei meinem Problem weiterhelfen! Meine AntiVir software hat mir eine Meldung gebracht (diese habe ich mir leider nicht notiert), dass ich mir Trojaner eingefangen habe. Daraufhin habe ich einen Systemckeck durchgeführt. Jedoch konnte sich dieser Trojaner nicht entfernen lassen. Hier wurden 6 Warnungen erteilt. Den Report habe ich ganz unten gepostet. Daraufhin habe ich mir Spy- und Maleware Programme herruntergeladen. Diese konnten es schaffen das die Meldung bei AntiVir nicht mehr angezeigt wird. Durch nachlesen musste ich feststellen, dass es schlecht ist mehrere solcher programme gleichzeitig laufen zu lassen und habe se kurzer hand deinstalliert. Bin mir jetzt nicht sicher ob jetzt alles damit entfernt wurde. Ebenso musste ich feststellen das das Defragmentieren nicht mehr ausfürhbar ist. Es kommt diese Meldung "Die Defragmentirung konnte nicht gestartet werden" Zudem habe ich den Eindruck gewonnen das mein Rechner langsamer ist. Sind evtl. auch unnötige Prozesse am laufen. Meine Ausstattung: Celeron 3,2Ghz mit 512MB Arbeitsspeicher. Als Betriebssystem läuft Window xp Home. Jetzt möchte ich hier mein Hijack posten. Ich habe versucht alle persönlichen dinge herauszunehmen. Ebenso habe ich versucht mich schlau zumachen wo der fehler liegen konnt unter h**p://www.hijackthis.de/de konnte mich hier aber nicht zurechtfinden welche massnahmen ich ergreifen muss. Mein Hijack: Logfile of Trend Micro h**p://HiJackThis v2.0.2 Scan saved at 16:06:09, on 29.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 CE.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\vsnp2uvc.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\Google Update.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\xampp\apache\bin\apache.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\UltimateZip 2.7\uzqkst.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\xampp\apache\bin\apache.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe " O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\Fighters\spywarefighter\Spywarefighte rUser.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\Google Update.exe" /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip 2.7\uzqkst.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/ge...sh/swflash.cab[/url] O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O24 - Desktop Component 1: (no name) - h**p://www.google.de/ -- End of file - 8736 bytes AntiVir Report Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 3. November 2008 12:00 Es wird nach 1001710 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: FLITZEFLINK Versionsinformationen: BUILD.DAT : 8.2.0.334 16933 Bytes 16.10.2008 14:53:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 21.07.2008 13:35:51 AVSCAN.DLL : 8.1.4.0 48897 Bytes 21.07.2008 13:35:51 LUKE.DLL : 8.1.4.5 164097 Bytes 21.07.2008 13:35:51 LUKERES.DLL : 8.1.4.0 12545 Bytes 21.07.2008 13:35:51 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 00:59:46 ANTIVIR1.VDF : 7.1.0.21 130560 Bytes 31.10.2008 00:59:48 ANTIVIR2.VDF : 7.1.0.22 2048 Bytes 31.10.2008 00:59:48 ANTIVIR3.VDF : 7.1.0.26 14848 Bytes 31.10.2008 00:59:49 Engineversion : 8.2.0.10 AEVDF.DLL : 8.1.0.6 102772 Bytes 17.10.2008 22:05:35 AESCRIPT.DLL : 8.1.1.9 319867 Bytes 17.10.2008 22:05:34 AESCN.DLL : 8.1.1.3 123252 Bytes 17.10.2008 22:05:32 AERDL.DLL : 8.1.1.2 438644 Bytes 19.09.2008 21:32:48 AEPACK.DLL : 8.1.2.4 369014 Bytes 17.10.2008 22:05:31 AEOFFICE.DLL : 8.1.0.29 196988 Bytes 01.11.2008 01:00:02 AEHEUR.DLL : 8.1.0.63 1479032 Bytes 01.11.2008 01:00:01 AEHELP.DLL : 8.1.1.2 115062 Bytes 17.10.2008 22:05:28 AEGEN.DLL : 8.1.0.42 319861 Bytes 01.11.2008 00:59:52 AEEMU.DLL : 8.1.0.9 393588 Bytes 17.10.2008 22:05:25 AECORE.DLL : 8.1.2.9 172407 Bytes 01.11.2008 00:59:50 AEBB.DLL : 8.1.0.3 53618 Bytes 17.10.2008 22:05:22 AVWINLL.DLL : 1.0.0.12 15105 Bytes 21.07.2008 13:35:51 AVPREF.DLL : 8.0.2.0 38657 Bytes 21.07.2008 13:35:51 AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 08:02:48 AVREG.DLL : 8.0.0.1 33537 Bytes 21.07.2008 13:35:51 AVARKT.DLL : 1.0.0.23 307457 Bytes 23.04.2008 17:48:23 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 21.07.2008 13:35:51 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.04.2008 17:48:24 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 21.07.2008 13:35:51 NETNT.DLL : 8.0.0.1 7937 Bytes 23.04.2008 17:48:24 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 21.07.2008 13:35:46 RCTEXT.DLL : 8.0.52.0 86273 Bytes 21.07.2008 13:35:46 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Festplatten Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Montag, 3. November 2008 12:00 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EXCEL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'uzqkst.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlmangr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AdskScSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SpywarefighterUser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vsnp2uvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ALCWZRD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '42' Prozesse mit '42' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '71' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <HDD> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Montag, 3. November 2008 13:17 Benötigte Zeit: 1:17:40 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 7475 Verzeichnisse wurden überprüft 391424 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 391422 Dateien ohne Befall 7464 Archive wurden durchsucht 6 Warnungen 0 Hinweise Ich möchte mich somit für Antworten/Hilfestellung vorab bedanken |
Hallo, Hast Du zufällig einen Kartenleser am PC angeschlossen? Das würde die Nichtbereitschaft erklären... Dein Logfile sieht irgendwie merkwürdig matschig aus, Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!! Außerdem: Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten |
Hallo root24 zu deiner Frage ob ich einen Kartenleser angesteckt habe. Nein. Der Computer besitzt einen bereits integrierten. Jedoch stecke ich meinen Ipod, Kamera und Handy ein. Dies sind ebenso als externe Geräte mit speicher zu zählen. Daher kann die Vermutung durch aus stimmen. Ich habe jetzt alle Geräte abgesteckt. Ein neues Hijack log Logfile of Trend Micro h**p://HijackThis v2.0.2 Scan saved at 23:38:50, on 06.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\xampp\apache\bin\apache.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\vsnp2uvc.exe C:\Programme\Fighters\spywarefighter\SpywarefighterUser.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\UltimateZip 2.7\uzqkst.exe C:\xampp\apache\bin\apache.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7CJWKP3M\qlketzd[1].com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\Fighters\spywarefighter\SpywarefighterUser.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip 2.7\uzqkst.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: karna.dat O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O24 - Desktop Component 1: (no name) - h**p://www.google.de/ -- End of file - 8135 bytes mbam log Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1012 Windows 5.1.2600 Service Pack 3 09:55:44 07.11.2008 mbam-log-11-7-2008 (09-55-44).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 117604 Laufzeit: 49 minute(s), 52 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 8 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\antiviruspro2009 (Rogue.Antivirus2008) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\AntivirusPro2009 (Rogue.Antivirus) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Programme\AntivirusPro2009\AntivirusPro2009.exe (Rogue.Antivirus) -> Quarantined and deleted successfully. C:\Programme\AntivirusPro2009\AVEngn.dll (Rogue.Antivirus) -> Quarantined and deleted successfully. C:\Programme\AntivirusPro2009\htmlayout.dll (Rogue.Antivirus) -> Quarantined and deleted successfully. C:\Programme\AntivirusPro2009\pthreadVC2.dll (Rogue.Antivirus) -> Quarantined and deleted successfully. C:\Programme\AntivirusPro2009\Uninstall.exe (Rogue.Antivirus) -> Quarantined and deleted successfully. C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\esysuqur.dll (Trojan.Agent) -> Quarantined and deleted successfully. Blacklight konnte ich keinen Logfile posten. Habs aber über mein system laufen lassen und er hat keinen Rootkid gefunden "Scan complete no hidden items found" Mir kam das ziemlich schnell vor, sonst bei einer Systemdurchsuchung sieht man wie alle Verzeichnisse abgeklappert werden. zusatzliche Anmerkung Zudem geht wie schon erwähnt das Defragmentieren nicht. Danke fürs durchsehen |
Also ich hatte das auch schonmal , aber statt der Defragmentierung wars bei mir die Datenträgerverwaltung. Ich weiß nicht mehr welche Diesnte das waren, aber einige waren nicht gestartet. Du könntest mal anhand dieser Liste überprüfen, ob Deine Dienste auch so konfiguriert sind. Lt. diesem Strang bei chip benötigt Defrag DCOM. Da war ja doch einiges an Malware, lass daher mal Combofix durchlaufen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code] |
Hallo root24 ich habe Combofix so wie du es gesagt hast über meinen PC laufen lassen. Hier das Log: Code: ComboFix 08-11-07.01 - Fritzeflink 2008-11-09 10:37:41.1 - NTFSx86Anmerkungen Hab anschließen das Defragmentiren ausprobiert und es geht auch wieder. Ich hoffe das jetzt wieder alles gut ist und poste gleich noch ein neues Hijack Hijack log: Code: Logfile of Trend Micro Ph**p://HijackThis v2.0.2-Weist du wie man evtl. unnötige Prozesse eindämmt die im Hintergrund laufen? -ich habe jetzt auch ein Viren-schutz-seminar in meiner Firma besucht. Werde jetzt bewusster surfen. Was ganz lustig zur Veranschaulichung war ist das Anti-Phishing Spiel. Bis jetzt schon mal großes DANKE. Informiere mich bitte über weitere Schritte mfg jpenze |
Also ich hab da noch etliche verdächtige Dateien gesehen. Die mal bitte bei Virustotal.com auswerten lassen und sämtliche Ergebnisse posten. Zudem hat GMER (was in Combofix mit drin ist) da einige durch ein Rootkit versteckte Dateien enthüllt, von daher würde ich Dir eher raten das System neu aufzusetzen. Hier die Dateien zum Auswerten: Code: c:\dokumente und einstellungen\Fritzeflink\Anwendungsdaten\jofulu.sysAnleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: files to delete:
|
Hallo root24 Ich habe das befolgt wie du es geschrieben hast. Ist ein neuaufsetzen des Computer nötig? Dafür werde ich mir Zeit nehmen, da ich merkte wie wichtig es ist einen sicheren PC zu haben. Das avenger log: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Code: Logfile of Trend Micro h**p://HijackThis v2.0.2zwar bei folgenden einträgen: Code: -C:\WINDOWS\vsnp2uvc.exeDanke mfg jpenze |
Hallo root24 Ich habe das befolgt wie du es geschrieben hast. Ist ein neuaufsetzen des Computer nötig? Dafür werde ich mir Zeit nehmen, da ich merkte wie wichtig es ist einen sicheren PC zu haben. Das avenger log: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Code: Logfile of Trend Micro h**p://HijackThis v2.0.2zwar bei folgenden einträgen: Code: -C:\WINDOWS\vsnp2uvc.exeDanke mfg jpenze |
Hast Du die Dateien vorher nicht bei Virustotal.com auswerten lassen? :confused: Wenn nicht, dann halt mal bitte Ausschau nach der Backup.zip vom Avenger, die sollte unter C:\Avenger zu finden sein. Mail mir die bitte an root240@arcor.de :rolleyes: |
Hallo root24 ich danke dir für deine guten Tipps. Mein Computer ist wieder OK. Habe viel dazugelernt. Neuaufsetzen werde ich Ihn im Weihnachtsurlaub. Habe von einem Freund Mcafee bekommen und der Hat die restlichen rootkids mit runter. Mein AntiVir zeigt keine Meldungen mehr *puh* Also ganz grosses :aplaus: Bravo!! mfg jpenze |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:29 Uhr. |
Copyright ©2000-2025, Trojaner-Board