Trojaner-Board - Kann den Trojaner nicht finden

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Kann den Trojaner nicht finden (https://www.trojaner-board.de/45009-trojaner-finden.html)

Kann den Trojaner nicht finden

Hallo,

als ich mich heute bei meiner Bank online für das Online Banking einloggen wollte, teilte man mir mit, dass mein Konto für das Online Banking gesperrt sei. Ich rief bei meiner Bank an und dort teilte mir ein Experte mit, dass man im Internet meine Bankdaten + PIN gefunden hat und deswegen sicherheitshalber mein Konto für das Online Banking gesperrt habe.
Ich soll nun meinen Rechner scannen und dann ein Fax abschicken, dass mein PC wieder clean ist und ich neue Online Banking Zugangsdaten bekomme.

Habe zuerst mit KAV gescannt. Es wurden 3 Trojaner gefunden, aber nur die exe dateien - sonst keine gefährlichen Registry Einträge oder ähnliches laut KAV.
Ich konnte alle 3 Dateien anstandslos durch KAV löschen lassen!
Ich bin mir auch relativ sicher, dass ich die gefundenen Dateien nie ausgeführt habe und die nur auf meinem Rechner lagen...

KAV Logfile + Hijack Log

Danke!

Code:

Virensuche : abgeschlossen

--------------------------

Untersucht:        475888

Gefunden:        3

Nicht bearbeitet:        0

Start:        23.10.2007 12:16:46

Dauer:        01:30:28

Ende:        23.10.2007 13:47:14
 
 

Gefunden

--------

Status        Objekt

------        ------

gelöscht: trojanisches Programm Backdoor.Win32.IRCBot.aaq        Datei: C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\photos.zip/photos album-2007-5-26.scr

gelöscht: trojanisches Programm Trojan-Downloader.Win32.Small.fuk        Datei: C:\Reconnect\Router-Control\printip.exe

gelöscht: trojanisches Programm Trojan-Downloader.Win32.Small.fuk        Datei: C:\Reconnect\Modems\printip.exe
 
 
 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:05:29, on 23.10.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\cFosSpeed\cFosSpeed.exe

C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Programme\Analog Devices\SoundMAX\Smax4.exe

C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE

C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\Programme\cFosSpeed\spd.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Dokumente und Einstellungen\***\Desktop\Scan\HiJackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=194.36.10.154:3128

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll

O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll

O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: &Save Flash In This Page by Flash Saver - C:\PROGRA~1\FLASHS~1\save.htm

O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html

O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1\save.htm

O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1\save.htm

O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIC273~1\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (Snapfish Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191326427906

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191326707593

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
 

--

End of file - 7941 bytes

Hallo.

Code:

Datei: C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\photos.zip/photos album-2007-5-26.scr

Die photos.zip musst du zumindest gewollt abgespeichert haben, sieht nach irgendeinem Messenger-Wurm aus. Ob du ihn auch ausgeführt hast, musst du wissen. Aber wenn ein Virenscanner nichts weiter mehr findet, heißt das leider nicht, dass das System auch sauber ist.

Wenn ich mich recht entsinne müsste Kaspersky eine Funktion haben, eine Notfall-Disk zu erstellen. Versuch das mal und boote von diesem Medium und führe den KAV aus. Hat den Grund, dass noch etwaige aktive Malware auf diesem Fremdsystem nicht gestartet wird und man so bessere Chancen auf eine Erkennung hat.

Dein HJT-Logfile sieht jedenfalls okay aus.

Zitat:

Zitat von cosinus (Beitrag 301539)

Wenn ich mich recht entsinne müsste Kaspersky eine Funktion haben, eine Notfall-Disk zu erstellen. Versuch das mal und boote von diesem Medium und führe den KAV aus. Hat den Grund, dass noch etwaige aktive Malware auf diesem Fremdsystem nicht gestartet wird und man so bessere Chancen auf eine Erkennung hat.

Bezüglich der Notfall-CD sagt KAV folgendes:
http://xs120.xs.to/xs120/07434/not_cd.jpg
http://support.kaspersky.com/de/kav6/rescue

Sieht für mich eher wie eine Reparatur aus? Will mein System aber wegen sowas nicht direkt abschießen... :(

Hab meinen PC bisher gescannt und gereinigt mit:
KAV
HJT
ComboFix
CleanUp
a-squared Free
AVG Anti Spyware
Ad-Aware
Spybot Search & Destroy
Panda Online Scan
Bitdefender Online Scan

Was du tun musst, steht ja da. ;) Den PE-Builder gibt's hier.
Wie gesagt, das ist dafür gedacht, dass du deine Festplatte von einem Fremdsystem aus untersuchst. So stellst du sicher, dass die Scanner nicht von Malware beeinflusst werden. Evtl. Rootkits sollten sich ebenfalls besser aufspüren lassen.

Zitat:

Zitat von cosinus (Beitrag 301545)

Also für mich sagt die Beschreibung der Notfall-CD eher, dass ich diese anwenden soll, sofern mein Rechner sich nicht starten lässt. Aber er läuft ja einwandfrei...

Ich verstehe nur den Ansatz daraus, dass ich meinen Rechner im DOS Modus scannen soll, um somit ggf. noch versteckte Viren/Malware/Würmer/Trojaner zu finden, aber dafür scheint mir diese Notfall-CD nicht ganz das Richtige zu sein, sondern eher etwas wenn das System zerschossen wurde.

Zitat:
"Zu Kaspersky Anti-Virus 7.0\Kaspersky Internet Security 7.0 wird das Service hinzugefügt, das Notfall-CD erstellt, um die Funktionsfähigkeit des Systems wiederherzustellen.

Diese Notfall-CD wird nützlich wenn die System-Dateien nach Viren-Angriff beschädigt werden und Betriebssystem nicht hochgefahren werden kann. In diesem Fall können Sie mit Hilfe der Notfall-CD Ihren Computer hochfahren und das System zur ursprünglichen Funktionsfähigkeit wiederherstellen."
Einstellen von „Viren Suche“

Du kannst diese Notfall-CD für mehrere Zwecke einsetzen, nicht nur um davon zu starten wenn Windows nicht mehr will. Es geht ja auch nicht darum, den Rechner zu reparieren, sondern um von einen anderen System aus die Platte zu scannen, um etwas verlässlichere Ergebnisse zu bekommen.
Wenn du von dieser CD bootest, startet ein Live-Windows (kein DOS!) und nicht das lokal auf der Platte installierte.
Aber wir können auch bleiben lassen wenn du nicht magst, und die Analyse vom lokal installierten Windows fortsetzen.

Zitat:

Zitat von cosinus (Beitrag 301550)

Doch ich habe nix gegen diese Art der Analyse, sofern es nicht zwangsmäßig eine automatische Windows Reparatur ist...

Oder könntest du mir alternative Scanner empfehlen DOS o.Ä. ?

Möchte meiner Bank nämlich bald mal bescheid sagen, dass alls in Ordnung ist. :)

Du musst ja nicht unbedingt die Kaspersky-Notfall-CD dafür nehmen. Es geht auch z.B. die UBCD4WIN, die erstell mal am besten auf einem garantiert sauberen PC und boote deinen davon. In diesem Live-Windows-XP sind schon mehrere AV-Programme mit drin.

Du könntest aber auch erstmal versuchen, im abgesicherten Modus zu scannen. Dort werden nur die allernötigsten Module geladen, die zum Windows-Betrieb nötig sind, etwaige Malware wird sehr wahrscheinlich nicht mitgeladen. Falls das mit Kaspersky im abgesicherten Modus nicht geht, dann mach das mal mit MWAV-eScan (klick den eScan-Link in meiner Signatur an).

Habe mit KAV die Notfall-CD nun erstellt und Live-Windows gestartet.

Habe KAV, Spybot und A-Squared im Live-Windows Modus scannen lassen. Es wurde jeweils keine schädlichen/infizierten Objekte gefunden.

Sollte das nun ausreichen?

Ich habe aber noch im abgesicherten Modus eScan laufen lassen, so wie in deinem Link beschrieben.

Ich war etwas schockiert über das Resultat, wobei die ICQ Folder für mich keine verdächtigen Datei enthalten, bereits selber überprüft (Fehlalarm?):

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.9
Sprache: German
C:\DOKUME~1\MASTER~1.BAS\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "optserve Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\scan\smitrem\process.exe
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\scan\smitrem\pv.exe
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\scan\smitrem\swreg.exe
Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\icq\***\receivedfiles\378667729 popelwicht\lp
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\icq\***\receivedfiles\378667729 popelwicht\lp
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\System\CurrentControlSet\Services\usrpda !!!
Offending Key found: HKLM\System\ControlSet001\Services\usrpda !!!
Offending Key found: HKLM\System\ControlSet002\Services\usrpda !!!
Offending Key found: HKLM\System\ControlSet003\Services\usrpda !!!
Offending Key found: HKLM\System\ControlSet004\Services\usrpda !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\usrpda !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 13:30:20,03
Batchende: 13:30:24,25

Ich habe daher die Dateien "swreg.exe" und "swsc.exe" von Online Virusscan Jotti & VirusTotal scannen lassen.

Als Beweis die Logs:

Code:

Datei swsc.exe empfangen 2007.10.28 11:18:35 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 

Ergebnis: 1/32 (3.13%)
 

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2007.10.27.0 2007.10.26 - 

AntiVir 7.6.0.30 2007.10.26 - 

Authentium 4.93.8 2007.10.26 - 

Avast 4.7.1074.0 2007.10.27 - 

AVG 7.5.0.503 2007.10.27 - 

BitDefender 7.2 2007.10.28 - 

CAT-QuickHeal 9.00 2007.10.26 - 

ClamAV 0.91.2 2007.10.28 - 

DrWeb 4.44.0.09170 2007.10.28 - 

eSafe 7.0.15.0 2007.10.22 - 

eTrust-Vet 31.2.5244 2007.10.26 - 

Ewido 4.0 2007.10.28 - 

FileAdvisor 1 2007.10.28 - 

Fortinet 3.11.0.0 2007.10.19 - 

F-Prot 4.3.2.48 2007.10.26 - 

F-Secure 6.70.13030.0 2007.10.27 - 

Ikarus T3.1.1.12 2007.10.27 - 

Kaspersky 7.0.0.125 2007.10.28 - 

McAfee 5150 2007.10.26 - 

Microsoft 1.2908 2007.10.28 - 

NOD32v2 2621 2007.10.28 - 

Norman 5.80.02 2007.10.26 - 

Panda 9.0.0.4 2007.10.27 - 

Prevx1 V2 2007.10.28 - 

Rising 19.46.60.00 2007.10.28 - 

Sophos 4.23.0 2007.10.28 - 

Sunbelt 2.2.907.0 2007.10.27 - 

Symantec 10 2007.10.28 - 

TheHacker 6.2.9.110 2007.10.27 - 

VBA32 3.12.2.4 2007.10.28 - 

VirusBuster 4.3.26:9 2007.10.27 - 

Webwasher-Gateway 6.6.1 2007.10.28 Virus.Win32.FileInfector.gen!90 (suspicious) 

weitere Informationen 

File size: 370688 bytes 

MD5: af52196cf5593c13f8c2f00a55fe132b 

SHA1: 8b6628f141f4cb889121d7c903c8f97b8a85fbae

Code:

Datei:  swreg.exe   

 

Status:  EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)  

Entdeckte Packprogramme:  UPX 

Bit9 rapportiert:  No threat detected (more info)  

   

A-Squared  Keine Viren gefunden 

AntiVir  Keine Viren gefunden 

ArcaVir  Keine Viren gefunden 

Avast  Keine Viren gefunden 

AVG Antivirus  Keine Viren gefunden 

BitDefender  Keine Viren gefunden 

ClamAV  Keine Viren gefunden 

CPsecure  Keine Viren gefunden 

Dr.Web  Keine Viren gefunden 

F-Prot Antivirus  Keine Viren gefunden 

F-Secure Anti-Virus  Keine Viren gefunden 

Fortinet  Keine Viren gefunden 

Kaspersky Anti-Virus  Keine Viren gefunden 

NOD32  Keine Viren gefunden 

Norman Virus Control  Keine Viren gefunden 

Panda Antivirus  Keine Viren gefunden 

Rising Antivirus  Keine Viren gefunden 

Sophos Antivirus  Keine Viren gefunden 

VirusBuster  Keine Viren gefunden 

VBA32  Keine Viren gefunden

Ich habe mit dem Tool "smitRem" mein System checken lassen. Anscheinend gibt eScan einen Fehlalarm bei Datein von smitRem aus!
SmitRem habe ich hier vom Board und sollte daher ok sein: http://www.trojaner-board.de/21709-a...fakeale-c.html

Ach ja, weitere Scans mit Ad-Aware und Spybot im abgesicherten Modus brachten keine Befunde!

Bleibt jetzt nur die Frage, welche Meldung von eScan ein Fehlalarm ist oder nicht?

Wie soll ich nun weiter vorgehen?

thx

Zitat:

Ich war etwas schockiert über das Resultat, wobei die ICQ Folder für mich keine verdächtigen Datei enthalten, bereits selber überprüft (Fehlalarm?):

Ja, sieht nach einem Fehlalarm aus. MWAV-escan neigt leider dazu, rel. viele Fehlalarme zu erzeugen. Die anderen Einträge sind ebenfalls Fehlalarme (wie du schon richtig vermutet hast), da werden fälschlicherweise die Dateien vom Smitfraudfix angemeckert.

Ingesamt ist somit also keine Infektion festzustellen. Ist mir aber schleierhaft, wie denn dann deine Kontodaten ins Internet gekommen sind. Vllt. durch einen anderen infizierten PC? Oder machst du Online-Banking nur über deinen PC?