Trojaner-Board - Ist mein System virenfrei?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Ist mein System virenfrei? (https://www.trojaner-board.de/73674-system-virenfrei.html)

Ist mein System virenfrei?

Hallo,
Ich habe folgendes Problem: Seit Längerem ist mein Computer total langsam, bleibt häufig auch komplett stehen, sodass ich ihn neu starten muss. Dazu kommt, dass in letzter Zeit einfach Dateien aus dem Papierkorb bzw. vom Desktop verschwinden. Antivir hat nichts schädliches gefunden, auch bei Spybot Search and destroy wurden nur die üblichen "verfolgenden Cookies" entdeckt. Könnte jemand mal meine logfile durchschauen? Schon mal im Voraus danke :)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:03:30, on 31.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ixquick.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.ixquick.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 3716 bytes

hmm kann nichts schlimmes erkennen...

lass noch mal malware drüber laufen und unbeding c&c cleaner
und guck obs besser läuft

Danke für die schnelle Antwort, das werde ich jetzt auch sofort machen :P

Also ich hab beides laufen lassen und es konnte keine Infektion gefunden werden und mein System läuft jetzt wesentlich schneller.
Aber woran könnte das mit den verschwindenen Dateien liegen?

Ich habe mir außerdem noch einmal meine Ereignisse bei Antivir angeschaut und dabei kam folgendes heraus:

"In der Datei 'C:\Dokumente und Einstellungen\Rebeccax3\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\q4o819uk.default\Cache\_CACHE_001_'
wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden."

ich hab das vorher überhaupt nicht gewusst :o

Das war am 26.05.09. Es ist im Moment in der Quarantäne. Soll ich es so belassen oder was soll ich machen? o0

lg

Habe mal nachgeschaut was das sein soll. Bin dabei auf folgendes bei avira gestoßen.
Hoffe dass hilft.

Name: HEUR/HTML.Malware
Art: AHeAD Heuristik Spezialerkennung
In freier Wildbahn: Nein
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein

General Alias:

Wurde zuvor wie folgt erkannt:
• HEUR/Exploit.HTML

Spezialerkennung Beschreibung:
HEUR/HTML.Malware

HEUR/Exploit.HTML ist eine heuristische Erkennungsroutine zur Identifizierung gemeinsamer Malware-Eigenschaften in HTML-Dateien. Avira AntiVir identifiziert unbekannte Malware proaktiv mit der AHeAD-Technologie. Hierfür setzt Avira auf eine innovative strukturelle Analyse.

Die Heuristik erkennt mit hoher Wahrscheinlichkeit, ob eine Datei schädlich oder virulent ist. Die Analyse basiert auf der Zusammensetzung der Datei, der Reihenfolge signifikanter Codesequenzen und auf speziellen Verhaltensmustern.

HEUR/Exploit.HTML im Speziellen meldet HTML- oder Script-Dateien, die verschlüsselte Information mit verdächtigen Funktionalitäten aufweisen. Diese Dateien wurden in aller Regel während des Internet-Browsens ins System heruntergeladen. Verdächtige Funktionalitäten sind beispielsweise der Download von Trojanern, die Verlinkung mit anderen infizierten Seiten, das Ausspionieren des Benutzers oder die Fälschung des Inhalts von Internetbanking-Sites.

Sollten Sie einen der sehr seltenen Fehlalarme vermuten, bitten wir Sie, die fragliche Datei zur näheren Analyse an unser Virenlabor zu schicken. Verwenden Sie dazu die Quarantäne-Funktion von AntiVir.

Bei einer heuristischen Erkennung könnte es sich um einen Fehlalarm handeln, wenn ein oder mehrere der folgenden Punkte zutreffen:
– Die Website, von der die erkannte Datei stammt, wird bereits seit langem genutzt und ist dem Benutzer bekannt.
– Die Datei stammt aus einer vertrauenswürdigen Quelle.

Bitte beachten Sie jedoch, dass auch vertrauenswürdige Quellen unerkannt mit Malware-Scripts infiziert oder durch Malware ersetzt worden sein können.

Um die Erkennung weiterhin zu verbessern und Fehlalarme zu reduzieren, empfehlen wir, die Datei zu Analysezwecken an unser Virenlabor zu schicken.

Eine Datei mittels des Quarantäne-Managers innerhalb des Windows-Programms senden Sie unter:
http://www.avira.com/en/support/av7_...e_manager.html

Eine Datei mittels Websiteformular senden Sie unter:
http://www.avira.com/en/support/subm...ous_files.html

Danke, es hilft wirklich. Ich habe die Datei jetzt gesendet und warte nur noch auf Rückantwort. : )