Versteckte Dateien-System32 (Antivir)
 

Hallo,...
ich habe habe folgendes Problem:
Mein Antivir findet seit neusten 5 versteckte Dateien!
Ich habe diese Dateien in die Quarantäne verschoben.
Ich wollte sie nicht einfach löschen, weil ich kein Fachman, in diesen Dingen, bin.

Alle Funde befinden sich im folgenden Ordner: c:\windows\system32\c_617039.nls ... 49.nls... 69.nls...19.nls .

Ich habe den PC dann beu gestartet im Abgesicherten Modus.
Eine Komplett Überprüfung gestartet.
-Es wurde nichts beanstandet.
-Neu gestartet.
-Wieder 5 Meldungen.
Das geht jetzt jedes mal so, obwohl ich die Datein in Quarantäne geschoben habe.

Was soll ich machen?

Mein System:
Windows Xp-Media.
dualcore 1,86, 1024mb ram, sericepak 3. alle Scanner (antivir, spybot) auf neustem Stand. Benutze Firefox.
Rechner läuft ohne Probleme.
http://www.hijackthis.de/de#anl ->findet nichts "negatives"

Mein log:
(Antivir log kommt morgen nach...)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:40:04, on 17.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
c:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.BIN
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\dllhost.exe
c:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.5.0_11\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroFilterCheck] c:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programme\OpenOffice.org 2.1\program\quickstart.exe
O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1175093537515
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - c:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - c:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 8179 bytes

Hallo,

seit wann genau tritt das Problem auf?
Hast du kurz zuvor irgendein Programm gedownloaded/ausgeführt oder einen Emailanhang geöffnet?

Das sieht nämlich stark nach Silentbanker aus.
Mach bitte mal folgendes:

Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Danke für die schnelle Antwort!
Was bewirkt das genau?

Seit ich heute ne pdf aufgemacht habe.
Leider ka. welche Seite das war...->Der Rechner rackerte zimlich, da bin ich stuzig geworden.
ca. 8 Stunden her!
Ich bin nicht ganz naiv^^, also keine mail etc., sondern ne Hausarbeit^^

Wenn du Silentbanker meinst: Silent Banker: Online-Bankraub in aller Stille - PC-WELT

Deswegen wäre es wichtig zu wissen, was der Auslöser des Problems war.

Ich meinte was das Program genau macht?

BlackLight ist ein Rootkitscanner, der z.Z. der Einzigste (mir bekannte) ist, der Silentbanker erkennt.

OK, klingt sinnvoll.
Halt mich für dusselich, aber welches genau soll ich runter laden?
Die heissen alle anders.
http://www.f-secure.com/security_center/malware_removal_tools.html

Ah,...verdammt.
Ich hab nicht weit genug runter gescrollt......
Tut mir leid:headbang:

Hier BlackLight: ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

Btw. willst du bis dahin meine Fragen beantworten? ;)

habs schon...
jo...
bis jetzt "5 items found"!!!

Dann einfach auf cleaning und das wars?

Nein, Log bitte posten.

11/17/08 23:32:06 [Info]: BlackLight Engine 2.2.1092 initialized
11/17/08 23:32:06 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/17/08 23:32:06 [Note]: 7019 4
11/17/08 23:32:06 [Note]: 7005 0
11/17/08 23:32:14 [Note]: 7006 0
11/17/08 23:32:14 [Note]: 7011 1816
11/17/08 23:32:14 [Note]: 7035 0
11/17/08 23:32:14 [Note]: 7026 0
11/17/08 23:32:14 [Note]: 7026 0
11/17/08 23:32:15 [Note]: FSRAW library version 1.7.1024
11/17/08 23:34:21 [Info]: Hidden file: c:\WINDOWS\system32\c_617019.nls
11/17/08 23:34:21 [Note]: 10002 2
11/17/08 23:34:21 [Info]: Hidden file: c:\WINDOWS\system32\c_617030.nls
11/17/08 23:34:21 [Note]: 10002 2
11/17/08 23:34:21 [Info]: Hidden file: c:\WINDOWS\system32\c_617039.nls
11/17/08 23:34:21 [Note]: 10002 2
11/17/08 23:34:21 [Info]: Hidden file: c:\WINDOWS\system32\c_617049.nls
11/17/08 23:34:21 [Note]: 10002 2
11/17/08 23:34:21 [Info]: Hidden file: c:\WINDOWS\system32\c_617069.nls
11/17/08 23:34:21 [Note]: 10002 2
11/17/08 23:35:34 [Note]: 2000 1012

Das währe am Besten:
http://www.trojaner-board.de/51262-a...sicherung.html

gibts keine andere lösung??????
das wäre grad das schlimmste,...

Momentan ist es nicht möglich, Silentbanker restlos zu entfernen.
Versuchen kann man es, wird aber Tage dauern um einen Erfolg (wenn überhaupt) zu erstreben.

Rechner ist neu aufgespielt.
Antivir findet nichts, also keine versteckten Dateien.
Nur die obligatorischen 5 Warnungen. (Bei einem neuen System^^)
Bedanke mich, bei dir, ganz herzlich.

:dankeschoen:

Allerdings bleibt ein Problem.
Ich habe keinen Sound!
Ich hab ne Onboard Soundkarte, aber kann diese nicht aktualisieren.
Ferner wird mir gesagt meine Soundkarte sei nicht vorhanden/ausserhalb.

Eh...? (Da steht doch was von midi,"silent".....args)

Hab ein ASUS P5D2-VM/P5V-VM SE DH.
Vllt. Treiber neu instalieren, oder im bios aktivieren?

Scheint sich erledigt zu haben...
Nach etwa 4 Std. und dem letzten Windowsupdate konnte ich plötzlich auch den Soundkartentreiber instalieren.

Nochmal DANKE!!!!!

Freut mich, dass wieder alles funktioniert. ;)
Btw. du solltest noch sämtliche Passwörter und Zugangsdaten ändern.

Alles schon erledigt;)

Und COD5 läuft auch wieder, allerdings sind meine Ränge wech:headbang:

Du hättest die Datei mpdata sichern müssen, dann hättest du deine Ränge. ;)

Vorsicht.....:snyper:
Rang 38.....naja 30min und 7 Ränge^^

Wenn de auch zockst, sah ma deinen Namen an, dann las ich mich aus dank mal erschiessen^^