Trojaner-Board - Problem mit Braviax exe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Problem mit Braviax exe (https://www.trojaner-board.de/57661-problem-braviax-exe.html)

Problem mit Braviax exe

Hallo Leute, ich habe ein Problem und vielleicht kann mir ja jemand hier weiterhelfen. Am Samstag den 9.8 bin ich auf eine von meinen Vertrauten Online Marktforschungsumfrageseiten gesurft mit Firefox, ich bin Mitglied bei der Seite und die ist sonst auch seriös, da meldetet sich plötzlich mein Bitdefender Antivirus 2008 Wächter das sind ein Trojaner namens Braviax.exe bei mir einnisten will, dies gleich 2 mal, ich habe auf Verbieten geklickt und dann ging mein Rechner aus, also fuhr runter.

Ich habe ihn wieder hochgefahren
Ich habe dann anschliessend eine tiefgehende Systemprüfung mit BD gemacht und
der fand auf meinem Pc: Datei A0002519.sys, Name des Virus: Generic Malware
P!..712B0A53, im Ordner: C:\System Volume information\_restore..... usw
usw....

Diese habe ich dann in Quarantäne geschoben und habe nach Braviax exe gegoogelt und einiges gefunden dazu, zb das der sich im Windos/System/system32 Ordner einnistet, dort war diese exe Datei auch, ich habe sie dann gelöscht u beim nächsten Systemstart war sie auch nicht wieder dort drin.

Auch nach etwaigen anderen Dateien was ich in google zum Thema gefunden hatte, habe ich gesucht, aber nichts bei mir gefunden, ich habe auch die Registry durchsucht, aber auch nichts, auch nichts unter den ganzen Run einträgen.

Dann habe ich im abgesicherten Modus ein scan mit Spybot search and destroy und mit Hijackthis gemacht, auch da wurde nichts gefunden.

Hier das HJT Log:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 12:15:03, on 11.08.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

E:\xxxx\Hijackthis\HijackThis.exe
 

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"

O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O15 - Trusted Zone: h**p://www.bitdefender.com

O15 - Trusted Zone: h**p://survey.otxresearch.com

O15 - Trusted Zone: h**p://medien.pineconeresearch.de

O15 - Trusted Zone: h**p://www.surveywriter.net

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Dann habe ich heute am Montag mit dem Tel Support von BD gesprochen, und ich war nicht wirklich zufrieden mit dem Gespräch, der Mann am Tel empfahl mir ein scan mit dem BD Online Scanner zu machen im abgesicherten Modus. Ich also neu gebootet im abgesicherten Modus mit Netzerwerk usw. aber leider funktionierte da nicht meine Alice Internetverbindungs Verknüpfung u ich konnte nicht online gehen. Also habe ich wieder normal gebootet u habe dann mit dem BD Online scanner noch mal alles gecheckt, der fand nichts.
Ich habe dann noch mal diese Braviax exe manuell geprüft übers Kontextmenue und BD findet in der Datei nichts. Anderseits hatte ich die über Virus total hochgeladen u da wurde so einiges gefunden. Ich benutze Windows XP Prof. mit Sp2 und Firefox v. 2,00,16.

Vielleicht könnte Ihr mir ja weiterhelfen.
Danke
Gruß Lana

Hallo Leute, hat den keiner ein Rat für mich? Ich habe wirklich kein ausreichenden Support von Bitdefender bekommen, das hätte ich auch selber gewußt was die mir gesagt hatten, ich würde mich wirklich über eine Antwort freuen. Ich fühle mich total unsicher mit meinem PC nach dem Vorfall mit dem Trojaner. Vielen Dank
Gruß Lana

Lade dir Malwarebytes ausführen updaten und ein voll scan im abgesicherten modus machen alle funde löschen und report posten.

Hallo, so habe mir Malwarebytes installiert und ein kompletten Scan im abgesicherten Modus damit gemacht, er wurden 2 Einträge gefunden die jedoch nichts mit dem Problem was ich aktuell habe mit Braviax exe zu tun haben, gefunden hatte er einen Eintrag mit winsys2 und einem mit WinSys2.exe, diese Dateien gehören jedoch zu meiner Nvidia Grafikkarte und manche Viren oder Malware Scanner sehen das als Schädling an, ist es jedoch nicht. Wurde hier auch schon diskutiert.

Ansonsten hat MB nichts gefunden.

Code:

Malwarebytes' Anti-Malware 1.24

Datenbank Version: 1043

Windows 5.1.2600 Service Pack 2
 

15:53:23 12.08.2008

mbam-log-8-12-2008 (15-53-16).txt
 

Scan-Methode: Vollständiger Scan (C:\|E:\|)

Durchsuchte Objekte: 80804

Laufzeit: 1 hour(s), 44 minute(s), 59 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winsys2 (Spyware.OnlineGames) -> No action taken.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\WinSys2.exe (Spyware.OnlineGames) -> No action taken.

Ich hatte auch noch mal ein Online scan mit Bitdefender Online scanner gemacht und mit House Call der Online scanner von Trend Micro, der hatte auch nichts gefunden. Leider konnte ich die beiden Online scans nicht im abgesicherten Modus mache weil, als ich Windows im abgesicherten Modus mit Netzwerk gestartet hatte, funktionierte meine Alice Internet Verknüpfung irgendwie nicht, also kam ich nicht online.

Auch ein scan mit Spybot s and d, im abgesicherten Modus, fand auch nichts.

Ich finde es halt merkwürdig das obwohl mein Bitdefender Antivirus 2008 2 mal diesen Braviax.exe gestoppt hatte, das ich die exe Datei trotzdem noch in meinem Windows/system32 Ordner gefunden hatte.

Ich habe das Ding jetzt auch noch im Papierkorb weil ich es an Bitdefender Support per email geschickt hatte und trotzdem meldet mir kein Schutz programm ein Fund. Trotzdem bin ich da sehr ängstlich und will wirklich sicher gehen das mein System Ok ist, ich mache viel Online banking und da will ich nichts riskieren.

Vielleicht hat ja jemand noch den einen oder anderen Tip für mich, was ich noch tun könnte. Das wäre sehr nett.
Danke und gruß Lana

Halli hallo LanaHH

:hallo:

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update der Viren-Signaturen deines Anti-Viren Programmes.
.
Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
Windows Update -> Der Frischmacher.
.
Vernünftige Ordneransicht -> Einstellungen.
.
Abschalten unnötiger Dienste:
XP_ dingens.org
Vista_ TechNET
.
Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
XP_ Firewall
Vista_ Firewall
.
Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

Häufig gestellte Fragen: XP | Vista

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste danach bitte ein frisches Hijackthis log.

Danke werde das alles ab arbeiten, habe aber noch eine frage zu der deaktivierung der Systemwiederherstellung ,ich habe mir die Seite durchgelesen habe das aber nicht ganz verstanden. Also ich gehe erst auf die Systemeigenschaften und deaktiviere die Wiederherstellung auf allen Laufwerken, dann gehe ich zu msconfig (das kenne ich schon) und gehe ich den abgesicherten Modus ok, aber dann habe ich das nicht ganz verstanden, welche schritte muss ich dann im abgesicherten Modus machen? was war da mit bereinigen gemeint?

Gruß Lana

Zitat:

ich habe mir die Seite durchgelesen habe das aber nicht ganz verstanden.

Kein Wunder! Die haben die Seite geändert... :rolleyes:

http://www.systemwiederherstellung-deaktivieren.de

Einfach nur die Systemwiederherstellung deaktivieren und dann wiedermachen..

Guten Abend, bitte entschuldigt, wenn ich mich kurz einmische - aber vielleicht trägt das hier zur Lösung des Problems bei.
Grüße
cacatoa

Hi, die Seite kannte ich schon, hatte ja auch gegoogelt, aber diese ganzen Dateien habe ich nicht auf dem Rechner, bis auf die Braviax exe die hatte ich, ist aber auch weg jetzt. Und die beep sys die hatte ich auf virustotal hochgeladen aber wurde nichts gefunden. Ich werde heute erst mal die Anleitung von undoreal abarbeiten. Danke trotzdem
Gruß Lana

@Undoreal, sag mal in der Beschreibung von combofix wird die windows wiederherstellungskonsole erwähnt, ist damit die Systemwiederherstellung gemeint???

und zweite frage bitte, macht Combofix nur eine log Datei? oder löscht es auch gleich irgendwelche Dateien von meinem Rechner?
:-)

@Undoreal,
Hallo ich habe eine Frage bezüglich des installierens der Wiederherstellungskonsole, auf der Beschreibunsseite steht:

(# Auf dieser Seite navigiere und klicke auf den für Deine Windows XP Version (Home oder Professional) und Service Pack entsprechenden Download. Wenn Du auf den Link klickst, um die Datei herunterzuladen stelle sicher, dass die Datei auf dem Desktop gespeichert wird. Solltest Du Dir unsicher sein, welche Version von Windows Du benutzt und welches Service Pack installiert ist, kannst Du folgenden Anweisungen folgen, um dies herauszufinden.

1. Klicke auf Start
2. Klicke auf Ausführen...
3. In dem Öffnen: Feld, gebe folgendes ein: sysdm.cpl und klicke auf OK.
4. Ein Schirm wird sich öffnen, der Informationen zu dem installierten System anzeigt. Unter der Kategorie System: solltest Du die Windows Version und das installierte Service Pack vorfinden. Wenn Du Dir nun Dein System und das Service Pack notiert hast, fahre mit Schritt 2 fort.

# Sobald die Microsoft-Datei fertig heruntergeladen wurde, solltest Du diese auf das ComboFix-Piktogramm ziehen und Deinen Mausknopf loslassen. Dies wird in der folgenden Grafik illustriert.)

Heisst dass das ich zb, wenn ich das Service pack 2 auf meinem Rechner schon habe als Ausführbare Datei, das ich dann dieses Service Pack 2 (was ich ja auch installierte habe) direkt auf das Icon von Combofix (was auf dem Desktop ist) raufziehen kann?
Würde das so auch gehen?

Hast du keine XP CD zur Hand?

Zitat:

Heisst dass das ich zb, wenn ich das Service pack 2 auf meinem Rechner schon habe als Ausführbare Datei, das ich dann dieses Service Pack 2 (was ich ja auch installierte habe) direkt auf das Icon von Combofix (was auf dem Desktop ist) raufziehen kann?

jap.

doch habe ich, aber keine Originale also so eine recovery und nur mit service pack 1, und das sp2 habe ich als exe datei auf dem rechner abgespeichert. Kann ich damit was anfangen in Punkto Wiederherstellungskonsole mit Combofix?

Ach so heute ganz plötzlich meldete Bitdefender wächter das ein trojaner names Trojan.Agend.AJOQ gefunden wurde, er wurde aber geblockt. Scheinbar hat er die Virensignatur erst heute beim updaten bekommt. Ich update aber auch jeden Tag. Er hat den Troj. auch entfernt, der war wieder im c/system volume informations ordner, obwohl ich alle wiederherstellungspunkte davor die Tage gelöscht hatte, schon komisch.
gruß Lana

Zitat:

Kann ich damit was anfangen in Punkto Wiederherstellungskonsole mit Combofix?

Ja. Hab' ich doch unten schon geschrieben.. ;)
Einfach nach der Anleitung vorgehen. Die hast du richtig verstanden.

Also einfach die Install-Datei des SP" auf das Combofix logo ziehen..

Ok dann mache ich das, ich ziehe dann einfach die sp2.exe datei auf das CF icon rauf und dann müsste die WK ja installiert werden, hoffe ich :)
Sorry falls ich viel nachfrage, für mich ist das alles etwas viel weil ich nicht so die erfahrene PC Frau bin, und ängstlich bin ich auch immer etwas.

Bis später und danke für die viele Mühe

@Undoreal, so habe jetzt alles so gemacht, CCcleaner ausgeführt und alles damit bereinigt, dann alle Programme im Hintergrund ausgemacht u Combofix durchlaufen lassen. Hier die Log Datei von CF:

Code:

ComboFix 08-08-15.04 - Isa 2008-08-16 13:17:40.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.677 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Isa\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

(((((((((((((((((((((((   Dateien erstellt von 2008-07-16 bis 2008-08-16  ))))))))))))))))))))))))))))))

.
 

2008-08-15 20:16 . 2008-08-15 20:16        <DIR>        d--------        C:\Programme\CCleaner

2008-08-15 12:36 . 2008-08-15 12:36        <DIR>        dr-------        C:\Dokumente und Einstellungen\NetworkService\Favoriten

2008-08-13 17:40 . 2008-08-13 17:40        250        --a------        C:\WINDOWS\gmer.ini

2008-08-12 14:01 . 2008-08-12 14:01        <DIR>        d--------        C:\Dokumente und Einstellungen\Isa\Anwendungsdaten\Malwarebytes

2008-08-12 14:01 . 2008-08-12 14:01        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-08-11 12:26 . 2008-08-11 12:58        <DIR>        d--------        C:\WINDOWS\BDOSCAN8

2008-08-11 12:24 . 2008-08-11 12:24        <DIR>        d---s----        C:\Dokumente und Einstellungen\Isa\UserData

2008-08-10 18:29 . 2008-08-10 18:29        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BitDefender

2008-08-09 16:30 . 2008-08-09 16:30        <DIR>        d--------        C:\Programme\Spybot - Search & Destroy

2008-08-09 16:30 . 2008-08-16 13:05        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-07-26 11:36 . 2008-07-26 11:36        0        --ah-----        C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf

2008-07-26 11:36 . 2008-07-26 11:36        0        --ah-----        C:\WINDOWS\system32\drivers\Msft_Kernel_ggsemc_01005.Wdf

2008-07-26 11:31 . 2008-07-26 11:31        1,419,232        --a------        C:\WINDOWS\system32\wdfcoinstaller01005.dll

2008-07-26 11:31 . 2008-07-26 11:31        21,672        --a------        C:\WINDOWS\system32\drivers\ggsemc.sys

2008-07-26 11:31 . 2008-07-26 11:31        13,352        --a------        C:\WINDOWS\system32\drivers\ggflt.sys

2008-07-18 15:10 . 2008-08-16 13:36        121        --a------        C:\WINDOWS\bdagent.INI

2008-07-18 15:07 . 2008-07-18 15:07        <DIR>        d--------        C:\Dokumente und Einstellungen\Isa\Anwendungsdaten\Bitdefender

2008-07-18 15:07 . 2008-08-16 13:39        81,984        --a------        C:\WINDOWS\system32\bdod.bin

2008-07-18 15:06 . 2008-07-18 15:06        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\BitDefender

2008-07-18 15:06 . 2008-07-18 15:06        <DIR>        d--------        C:\Programme\BitDefender

2008-07-18 15:06 . 2008-07-18 15:07        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-16 10:35        0        ----a-w        C:\WINDOWS\system32\drivers\lvuvc.hs

2008-08-16 10:35        0        ----a-w        C:\WINDOWS\system32\drivers\logiflt.iad

2008-08-14 12:34        ---------        d-----w        C:\Programme\eMule

2008-07-26 09:30        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson

2008-07-26 09:29        ---------        d-----w        C:\Programme\Sony Ericsson

2008-07-19 12:58        ---------        d-----w        C:\Dokumente und Einstellungen\Isa\Anwendungsdaten\uTorrent

2008-07-18 13:24        77,824        ----a-w        C:\WINDOWS\system32\xcomm.dll

2008-07-15 14:03        ---------        d-----w        C:\Programme\SiSoftware

2008-07-09 11:12        ---------        d-----w        C:\Programme\Logitech

2008-07-09 11:12        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Logitech

2008-07-09 10:41        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-07-04 16:20        ---------        d-----w        C:\Programme\Gemeinsame Dateien\LogiShrd

2008-07-04 16:20        ---------        d-----w        C:\Dokumente und Einstellungen\Isa\Anwendungsdaten\Leadertech

2008-07-04 16:14        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogiShrd

2008-07-01 10:39        ---------        d-----w        C:\Programme\Google

2008-06-25 11:42        ---------        d-----w        C:\Programme\TrekStor

2008-06-19 14:59        ---------        d-----w        C:\Programme\IrfanView

2007-05-03 11:39        88,576        ---ha-w        C:\Dokumente und Einstellungen\Isa\Anwendungsdaten\rbap550.dll

2007-05-03 11:39        74,240        ---ha-w        C:\Dokumente und Einstellungen\Isa\Anwendungsdaten\rbqt550.DLL

2007-05-03 11:39        29,184        ---ha-w        C:\Dokumente und Einstellungen\Isa\Anwendungsdaten\RBInternetEncodings550.dll

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WinSys2"="C:\WINDOWS\system32\winsys2.exe" [2006-10-03 08:37 217088]

"SW24"="C:\WINDOWS\system32\sw24.exe" [2006-09-07 12:14 69632]

"SW20"="C:\WINDOWS\system32\sw20.exe" [2006-09-07 12:13 208896]

"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 20:40 2577632]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-11 15:43 86016]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 15:43 7630848]

"BitDefender Antiphishing Helper"="C:\Programme\BitDefender\BitDefender 2008\IEShow.exe" [2008-07-18 15:14 61440]

"BDAgent"="C:\Programme\BitDefender\BitDefender 2008\bdagent.exe" [2008-07-18 15:14 368640]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk

backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk

backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk

backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^E_SPSU01.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\E_SPSU01.lnk

backup=C:\WINDOWS\pss\E_SPSU01.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Isa^Startmenü^Programme^Autostart^Logitech . Produktregistrierung.lnk]

path=C:\Dokumente und Einstellungen\Isa\Startmenü\Programme\Autostart\Logitech . Produktregistrierung.lnk

backup=C:\WINDOWS\pss\Logitech . Produktregistrierung.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

C:\WINDOWS\system32\dumprep 0 -k [X]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

--a------ 2004-08-04 01:57 15360 C:\WINDOWS\system32\ctfmon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]

--a------ 2008-02-13 13:02 564496 C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]

--a------ 2008-02-13 13:06 2196240 C:\Programme\Logitech\QuickCam\Quickcam.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMS]

--a------ 2002-12-10 17:54 127022 C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVComS.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2006-01-12 17:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]

--a------ 2007-11-20 16:29 360448 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2007-07-12 04:00 132496 C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]

--a------ 2006-09-07 19:19 15872 C:\Programme\Unlocker\UnlockerAssistant.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

--a------ 2003-04-17 08:54 12288 C:\Programme\Winamp\winampa.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]

--a------ 2007-06-11 18:16 4670968 C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

-r------- 2005-05-03 12:43 69632 C:\WINDOWS\Alcmtr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

--a------ 2006-08-11 15:43 1519616 C:\WINDOWS\system32\nwiz.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

-r------- 2006-09-06 05:44 16262656 C:\WINDOWS\RTHDCPL.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

-r------- 2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"usnjsvc"=3 (0x3)

"UPnPService"=3 (0x3)

"SandraTheSrv"=3 (0x3)

"SandraDataSrv"=3 (0x3)

"NBService"=3 (0x3)

"LightScribeService"=2 (0x2)

"FirebirdServerMAGIXInstance"=3 (0x3)

"btwdins"=2 (0x2)

"Adobe LM Service"=3 (0x3)
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\eMule\\emule.exe"=

"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=

"C:\\Programme\\uTorrent\\utorrent.exe"=

"C:\\Programme\\Messenger\\msmsgs.exe"=

"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=

"C:\\Programme\\MSN Messenger\\livecall.exe"=

"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2c\\RpcAgentSrv.exe"=

"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2c\\WNt500x86\\RpcSandraSrv.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)
 

R0 mv614x;mv614x;C:\WINDOWS\system32\DRIVERS\mv614x.sys [2006-07-03 13:21]

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38]

R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39]

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2006-08-22 07:36]

S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-07-26 11:31]

S3 phil2vid;Philips VGA-Kamera (USB);C:\WINDOWS\system32\DRIVERS\philcam2.sys [2001-08-17 15:04]

S4 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe []
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bdx        REG_MULTI_SZ           scan
 

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

MSConfigStartUp-ALDI Foto Service - C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe

MSConfigStartUp-ALDI_NORD_FotoSuite_Download - C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe

MSConfigStartUp-Ardamax Keylogger - C:\Programme\Ardamax\Ardamax Keylogger Lite\akl.exe

MSConfigStartUp-LogitechGalleryRepair - C:\Programme\Logitech\ImageStudio\ISStart.exe

MSConfigStartUp-LogitechImageStudioTray - C:\Programme\Logitech\ImageStudio\LogiTray.exe

MSConfigStartUp-NBJ - C:\Programme\Ahead\Nero BackItUp\NBJ.exe

MSConfigStartUp-Logitech Utility - Logi_MwX.Exe
 
 

.

------- Zusätzlicher Scan -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\Isa\Anwendungsdaten\Mozilla\Firefox\Profiles\c5l9i2rw.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FireFox -: prefs.js - STARTUP.HOMEPAGE - 
 
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-16 13:37:13

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr]

"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr]

"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\vsdatant]

"ImagePath"=""

.

Zeit der Fertigstellung: 2008-08-16 13:47:20

ComboFix-quarantined-files.txt  2008-08-16 11:46:36
 

Pre-Run: 7 Verzeichnis(se), 52,479,479,808 Bytes frei

Post-Run: 9 Verzeichnis(se), 52,465,455,104 Bytes frei
 

193

Und hier noch mal ein HJT log auch noch, falls es was bringt.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:04:38, on 16.08.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\BitDefender\BitDefender 2008\bdagent.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe

C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe

C:\Programme\BitDefender\BitDefender 2008\vsserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Programme\Sygate\SPF\smc.exe

C:\Programme\Mozilla Firefox\firefox.exe

E:\Isa_Eigene_Dateien\Hijackthis\HiJackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"

O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.bitdefender.com

O15 - Trusted Zone: http://survey.otxresearch.com

O15 - Trusted Zone: http://medien.pineconeresearch.de

O15 - Trusted Zone: http://www.surveywriter.net

O15 - Trusted Zone: http://www.symantec.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{E182993C-3E3E-4C3F-9DA3-E9F81BB16516}: NameServer = 213.191.74.18 62.109.123.196

O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe

O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
 

--

End of file - 6174 bytes

Danke
Schöne Grüße Lana :-)

Warum ist bei dir das Service Pack 3 nicht drauf??
Das muss sein..

Fixe mit HJT folgende Einträge:

Zitat:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)

Folge dieser Anleitung (Analyse und Bereinigung) und poste den rapport.

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\system32\drivers\ggsemc.sys
C:\WINDOWS\system32\drivers\ggflt.sys
C:\WINDOWS\bdagent.INI
C:\Dokumente und Einstellungen\Isa\Anwendungsdaten\RBInternetEncodings550.dll
C:\Dokumente und Einstellungen\Isa\Anwendungsdaten\rbqt550.DLL
C:\Dokumente und Einstellungen\Isa\Anwendungsdaten\rbap550.dll
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\sw24.exe
C:\WINDOWS\system32\sw20.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Die Dateien gefallen mir garnicht... Könnte sein, dass bei dir ein Prorat Server läuft. Sende mit dem Rechner vorerst keine wichtigen Daten!

So habe alles so gemacht wie du es mir geschrieben hast, die Sachen mit HJT gefixt.
Dann die Dateien mit Virustotal alle durchgescant, wobei ich zu den 3 Dateien:
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\sw24.exe
C:\WINDOWS\system32\sw20.exe
sagen muss, das sind Dateien die zu meiner Nvidia Grafikkarte gehören, damals vor ca 1 Jahr als ich mein windows neu aufgesetzt hatte u die Graka neu hatte, da meldeten auch einige Virenprogramme darin ein schädling, ich glaube sogar das es auch hier diskutiert wurde, ich habe dann die Dateien auch zu der Firma Nividia geschickt und mich dort noch mal genau erkundigt, das war ok so. Scheinbar befinden einige wenige Antivirus Programme die als schädling. Das wollte ich nur noch mal kurz dazu erzählen.

Hier der Log von Virustotal:

Code:

Datei ggsemc.sys empfangen 2008.08.17 18:15:07 (CET)

Status:     Beendet   

Ergebnis: 0/35 (0%)

Antivirus        Version        letzte aktualisierung        Ergebnis

AhnLab-V3        2008.8.15.0        2008.08.15        -

AntiVir        7.8.1.19        2008.08.16        -

Authentium        5.1.0.4        2008.08.17        -

Avast        4.8.1195.0        2008.08.17        -

AVG        8.0.0.161        2008.08.17        -

BitDefender        7.2        2008.08.17        -

CAT-QuickHeal        9.50        2008.08.16        -

ClamAV        0.93.1        2008.08.16        -

DrWeb        4.44.0.09170        2008.08.17        -

eSafe        7.0.17.0        2008.08.17        -

eTrust-Vet        31.6.6035        2008.08.15        -

Ewido        4.0        2008.08.17        -

F-Prot        4.4.4.56        2008.08.17        -

F-Secure        7.60.13501.0        2008.08.17        -

Fortinet        3.14.0.0        2008.08.17        -

GData        2.0.7306.1023        2008.08.16        -

Ikarus        T3.1.1.34.0        2008.08.17        -

K7AntiVirus        7.10.417        2008.08.15        -

Kaspersky        7.0.0.125        2008.08.17        -

McAfee        5362        2008.08.15        -

Microsoft        1.3807        2008.08.17        -

NOD32v2        3362        2008.08.17        -

Norman        5.80.02        2008.08.15        -

Panda        9.0.0.4        2008.08.17        -

PCTools        4.4.2.0        2008.08.17        -

Prevx1        V2        2008.08.17        -

Rising        20.57.62.00        2008.08.17        -

Sophos        4.32.0        2008.08.17        -

Sunbelt        3.1.1546.1        2008.08.15        -

Symantec        10        2008.08.17        -

TheHacker        6.3.0.3.052        2008.08.17        -

TrendMicro        8.700.0.1004        2008.08.16        -

ViRobot        2008.8.16.1338        2008.08.16        -

VirusBuster        4.5.11.0        2008.08.17        -

Webwasher-Gateway        6.6.2        2008.08.17        -
 

weitere Informationen

File size: 21672 bytes

MD5...: 4973d7c1c1d81d11e5e8fa974c2ae8cb

SHA1..: 1dd889a404c77a21214bcabbfd96d6e2af61dfd4

SHA256: 831451265c901fdccd194566df4b34c21de6f3f98556542a2ab52e6301f470a3

SHA512: 6ba27646c5138ca0e43308631ee7ebea377139ef591a1936e56f01b7eb96b25008830b15b5d99a8cc5e2ef00fb905fdecf1eaec8cd98f1e960dfd063071aaf6c

 
 
 

Datei ggflt.sys empfangen 2008.08.17 18:23:58 (CET)

Status:     Beendet   

Ergebnis: 0/36 (0%)
 
 

AhnLab-V3        2008.8.15.0        2008.08.15        -

AntiVir        7.8.1.19        2008.08.16        -

Authentium        5.1.0.4        2008.08.17        -

Avast        4.8.1195.0        2008.08.17        -

AVG        8.0.0.161        2008.08.17        -

BitDefender        7.2        2008.08.17        -

CAT-QuickHeal        9.50        2008.08.16        -

ClamAV        0.93.1        2008.08.16        -

DrWeb        4.44.0.09170        2008.08.17        -

eSafe        7.0.17.0        2008.08.17        -

eTrust-Vet        31.6.6035        2008.08.15        -

Ewido        4.0        2008.08.17        -

F-Prot        4.4.4.56        2008.08.17        -

F-Secure        7.60.13501.0        2008.08.17        -

Fortinet        3.14.0.0        2008.08.17        -

GData        2.0.7306.1023        2008.08.16        -

Ikarus        T3.1.1.34.0        2008.08.17        -

K7AntiVirus        7.10.417        2008.08.15        -

Kaspersky        7.0.0.125        2008.08.17        -

McAfee        5362        2008.08.15        -

Microsoft        1.3807        2008.08.17        -

NOD32v2        3362        2008.08.17        -

Norman        5.80.02        2008.08.15        -

Panda        9.0.0.4        2008.08.17        -

PCTools        4.4.2.0        2008.08.17        -

Prevx1        V2        2008.08.17        -

Rising        20.57.62.00        2008.08.17        -

Sophos        4.32.0        2008.08.17        -

Sunbelt        3.1.1546.1        2008.08.15        -

Symantec        10        2008.08.17        -

TheHacker        6.3.0.3.052        2008.08.17        -

TrendMicro        8.700.0.1004        2008.08.16        -

VBA32        3.12.8.3        2008.08.17        -

ViRobot        2008.8.16.1338        2008.08.16        -

VirusBuster        4.5.11.0        2008.08.17        -

Webwasher-Gateway        6.6.2        2008.08.17        -

weitere Informationen

File size: 13352 bytes

MD5...: ae8f90f4de5746e5cb1b095701165863

SHA1..: 54f23ff8ec064ea0eb6695c1c0ba29a54cea84ff

SHA256: f508d37be4e8393b24dc76fc6da5c685a323d16e96642bbc8db377ec43823095

SHA512: 679b0e17b225889a85d92f66593e8c1b30480d164c8a0f08a0434e7d2e97e82b425e326f76f02899cdc7e7fc3e58f29e8aa1c4e5e41faa5762daefeb64caf692
 
 
 
 
 

Datei bdagent.INI empfangen 2008.08.17 18:26:16 (CET)

Status:     Beendet   

Ergebnis: 0/36 (0%)

 Filter 
 

AhnLab-V3        2008.8.15.0        2008.08.15        -

AntiVir        7.8.1.19        2008.08.16        -

Authentium        5.1.0.4        2008.08.17        -

Avast        4.8.1195.0        2008.08.17        -

AVG        8.0.0.161        2008.08.17        -

BitDefender        7.2        2008.08.17        -

CAT-QuickHeal        9.50        2008.08.16        -

ClamAV        0.93.1        2008.08.16        -

DrWeb        4.44.0.09170        2008.08.17        -

eSafe        7.0.17.0        2008.08.17        -

eTrust-Vet        31.6.6035        2008.08.15        -

Ewido        4.0        2008.08.17        -

F-Prot        4.4.4.56        2008.08.17        -

F-Secure        7.60.13501.0        2008.08.17        -

Fortinet        3.14.0.0        2008.08.17        -

GData        2.0.7306.1023        2008.08.16        -

Ikarus        T3.1.1.34.0        2008.08.17        -

K7AntiVirus        7.10.417        2008.08.15        -

Kaspersky        7.0.0.125        2008.08.17        -

McAfee        5362        2008.08.15        -

Microsoft        1.3807        2008.08.17        -

NOD32v2        3362        2008.08.17        -

Norman        5.80.02        2008.08.15        -

Panda        9.0.0.4        2008.08.17        -

PCTools        4.4.2.0        2008.08.17        -

Prevx1        V2        2008.08.17        -

Rising        20.57.62.00        2008.08.17        -

Sophos        4.32.0        2008.08.17        -

Sunbelt        3.1.1546.1        2008.08.15        -

Symantec        10        2008.08.17        -

TheHacker        6.3.0.3.052        2008.08.17        -

TrendMicro        8.700.0.1004        2008.08.16        -

VBA32        3.12.8.3        2008.08.17        -

ViRobot        2008.8.16.1338        2008.08.16        -

VirusBuster        4.5.11.0        2008.08.17        -

Webwasher-Gateway        6.6.2        2008.08.17        -

weitere Informationen

File size: 121 bytes

MD5...: 8d99077ac05deef4b4b87453e07b29be

SHA1..: 3e4ad789d1e25555b85a252831baa52221729a67

SHA256: a7b3267909d9b3f2a98403a3ea8b2c47e972691f81d288e7c896cbe67711178b

SHA512: e50d52114a19d4750bac2c20ea48bef59b5c3ae99f68043479479a8855093227f3ee3688562712f15cc20e59d5e916ab78591d81c814bdeb31d5b7f246f121fd

PEiD..: -

PEInfo: -
 

 
 

 

Datei RBInternetEncodings550.dll empfangen 2008.08.17 18:30:29 (CET)

Status:     Beendet   

Ergebnis: 0/35 (0%)
 

AhnLab-V3        2008.8.15.0        2008.08.15        -

AntiVir        7.8.1.19        2008.08.16        -

Authentium        5.1.0.4        2008.08.17        -

Avast        4.8.1195.0        2008.08.17        -

AVG        8.0.0.161        2008.08.17        -

BitDefender        7.2        2008.08.17        -

CAT-QuickHeal        9.50        2008.08.16        -

ClamAV        0.93.1        2008.08.16        -

DrWeb        4.44.0.09170        2008.08.17        -

eSafe        7.0.17.0        2008.08.17        -

eTrust-Vet        31.6.6035        2008.08.15        -

Ewido        4.0        2008.08.17        -

F-Prot        4.4.4.56        2008.08.17        -

F-Secure        7.60.13501.0        2008.08.17        -

Fortinet        3.14.0.0        2008.08.17        -

GData        2.0.7306.1023        2008.08.16        -

Ikarus        T3.1.1.34.0        2008.08.17        -

K7AntiVirus        7.10.417        2008.08.15        -

Kaspersky        7.0.0.125        2008.08.17        -

McAfee        5362        2008.08.15        -

Microsoft        1.3807        2008.08.17        -

NOD32v2        3362        2008.08.17        -

Norman        5.80.02        2008.08.15        -

Panda        9.0.0.4        2008.08.17        -

PCTools        4.4.2.0        2008.08.17        -

Prevx1        V2        2008.08.17        -

Rising        20.57.62.00        2008.08.17        -

Sophos        4.32.0        2008.08.17        -

Sunbelt        3.1.1546.1        2008.08.15        -

TheHacker        6.3.0.3.052        2008.08.17        -

TrendMicro        8.700.0.1004        2008.08.16        -

VBA32        3.12.8.3        2008.08.17        -

ViRobot        2008.8.16.1338        2008.08.16        -

VirusBuster        4.5.11.0        2008.08.17        -

Webwasher-Gateway        6.6.2        2008.08.17        -

weitere Informationen

File size: 29184 bytes

MD5...: 861f215b30bbadf47235ee050bf3fd82

SHA1..: ca8f4429aac4111518f86c0aab280d3f831f45d9

SHA256: ad21c63105be9dd3d1bfce176e38dd91229024910124b2ee52455903363206d6

SHA512: 8fc35fe8e15228287222683e56dc59ffc8da953e0d66c8ea1d17034ccb60b7908d78fdef29d07e385111fa44088c71a9e5e1d233e32c9723364b97f3a21a5c71
 
 
 

Datei rbqt550.DLL empfangen 2008.08.17 18:34:00 (CET)

Status:     Beendet   

Ergebnis: 0/36 (0%)
 
 

        

        

Antivirus        Version        letzte aktualisierung        Ergebnis

AhnLab-V3        2008.8.15.0        2008.08.15        -

AntiVir        7.8.1.19        2008.08.16        -

Authentium        5.1.0.4        2008.08.17        -

Avast        4.8.1195.0        2008.08.17        -

AVG        8.0.0.161        2008.08.17        -

BitDefender        7.2        2008.08.17        -

CAT-QuickHeal        9.50        2008.08.16        -

ClamAV        0.93.1        2008.08.16        -

DrWeb        4.44.0.09170        2008.08.17        -

eSafe        7.0.17.0        2008.08.17        -

eTrust-Vet        31.6.6035        2008.08.15        -

Ewido        4.0        2008.08.17        -

F-Prot        4.4.4.56        2008.08.17        -

F-Secure        7.60.13501.0        2008.08.17        -

Fortinet        3.14.0.0        2008.08.17        -

GData        2.0.7306.1023        2008.08.16        -

Ikarus        T3.1.1.34.0        2008.08.17        -

K7AntiVirus        7.10.417        2008.08.15        -

Kaspersky        7.0.0.125        2008.08.17        -

McAfee        5362        2008.08.15        -

Microsoft        1.3807        2008.08.17        -

NOD32v2        3362        2008.08.17        -

Norman        5.80.02        2008.08.15        -

Panda        9.0.0.4        2008.08.17        -

PCTools        4.4.2.0        2008.08.17        -

Prevx1        V2        2008.08.17        -

Rising        20.57.62.00        2008.08.17        -

Sophos        4.32.0        2008.08.17        -

Sunbelt        3.1.1546.1        2008.08.15        -

Symantec        10        2008.08.17        -

TheHacker        6.3.0.3.052        2008.08.17        -

TrendMicro        8.700.0.1004        2008.08.16        -

VBA32        3.12.8.3        2008.08.17        -

ViRobot        2008.8.16.1338        2008.08.16        -

VirusBuster        4.5.11.0        2008.08.17        -

Webwasher-Gateway        6.6.2        2008.08.17        -

weitere Informationen

File size: 74240 bytes

MD5...: 30446738d4152a0386d74e516185c07f

SHA1..: 7ad0f10a2e37f0f432987f4796ca48d14d0e34f1

SHA256: cc65087bfe01d9c57669fee2337daa7e1e949fd231cdf1e464a56825cd7418df

SHA512: 1d4568f8f01b7b2e372a46a17d9f258c75038664f51664110de7ae0cf5c20e8b43f9f49866fdbca8dd36f668c74d1b8d19a68e7db030c42cdca1fc4ef90e1601

PEiD..: -
 
 
 
 

Datei rbap550.dll empfangen 2008.08.17 18:35:58 (CET)

Status:     Beendet   

Ergebnis: 0/36 (0%)
 

AhnLab-V3        2008.8.15.0        2008.08.15        -

AntiVir        7.8.1.19        2008.08.16        -

Authentium        5.1.0.4        2008.08.17        -

Avast        4.8.1195.0        2008.08.17        -

AVG        8.0.0.161        2008.08.17        -

BitDefender        7.2        2008.08.17        -

CAT-QuickHeal        9.50        2008.08.16        -

ClamAV        0.93.1        2008.08.16        -

DrWeb        4.44.0.09170        2008.08.17        -

eSafe        7.0.17.0        2008.08.17        -

eTrust-Vet        31.6.6035        2008.08.15        -

Ewido        4.0        2008.08.17        -

F-Prot        4.4.4.56        2008.08.17        -

F-Secure        7.60.13501.0        2008.08.17        -

Fortinet        3.14.0.0        2008.08.17        -

GData        2.0.7306.1023        2008.08.16        -

Ikarus        T3.1.1.34.0        2008.08.17        -

K7AntiVirus        7.10.417        2008.08.15        -

Kaspersky        7.0.0.125        2008.08.17        -

McAfee        5362        2008.08.15        -

Microsoft        1.3807        2008.08.17        -

NOD32v2        3362        2008.08.17        -

Norman        5.80.02        2008.08.15        -

Panda        9.0.0.4        2008.08.17        -

PCTools        4.4.2.0        2008.08.17        -

Prevx1        V2        2008.08.17        -

Rising        20.57.62.00        2008.08.17        -

Sophos        4.32.0        2008.08.17        -

Sunbelt        3.1.1546.1        2008.08.15        -

Symantec        10        2008.08.17        -

TheHacker        6.3.0.3.052        2008.08.17        -

TrendMicro        8.700.0.1004        2008.08.16        -

VBA32        3.12.8.3        2008.08.17        -

ViRobot        2008.8.16.1338        2008.08.16        -

VirusBuster        4.5.11.0        2008.08.17        -

Webwasher-Gateway        6.6.2        2008.08.17        -

weitere Informationen

File size: 88576 bytes

MD5...: d59e2d44dfb8b816dcd6497d2e085628

SHA1..: e84dbf988afe57df818f4a5d978943af39930393

SHA256: 32a17dcd00ef2edd6efe60a0aca5ef4d71b5e4417edfd87e44584333dc256250

SHA512: f27928753d72604ffaaee5d2ee5078946c13e1d2c04b49201b91b91c7eabd93f381d33a1b2cd8dcac09e17b2a4833baaba444cfeed312b3fa82175f2071dc49c
 

f940e4fdaab0b2fc987da01
 
 
 

Datei sw20.exe empfangen 2008.08.17 18:46:08 (CET)

Status:     Beendet   

Ergebnis: 0/34 (0%)

 Filter 
 
 

        

        

Antivirus        Version        letzte aktualisierung        Ergebnis

AhnLab-V3        2008.8.15.0        2008.08.15        -

AntiVir        7.8.1.19        2008.08.16        -

Authentium        5.1.0.4        2008.08.17        -

Avast        4.8.1195.0        2008.08.17        -

AVG        8.0.0.161        2008.08.17        -

BitDefender        7.2        2008.08.17        -

CAT-QuickHeal        9.50        2008.08.16        -

ClamAV        0.93.1        2008.08.16        -

DrWeb        4.44.0.09170        2008.08.17        -

eSafe        7.0.17.0        2008.08.17        -

eTrust-Vet        31.6.6035        2008.08.15        -

Ewido        4.0        2008.08.17        -

F-Prot        4.4.4.56        2008.08.17        -

Fortinet        3.14.0.0        2008.08.17        -

GData        2.0.7306.1023        2008.08.17        -

Ikarus        T3.1.1.34.0        2008.08.17        -

K7AntiVirus        7.10.417        2008.08.15        -

Kaspersky        7.0.0.125        2008.08.17        -

McAfee        5362        2008.08.15        -

Microsoft        1.3807        2008.08.17        -

NOD32v2        3362        2008.08.17        -

Panda        9.0.0.4        2008.08.17        -

PCTools        4.4.2.0        2008.08.17        -

Prevx1        V2        2008.08.17        -

Rising        20.57.62.00        2008.08.17        -

Sophos        4.32.0        2008.08.17        -

Sunbelt        3.1.1546.1        2008.08.15        -

Symantec        10        2008.08.17        -

TheHacker        6.3.0.3.052        2008.08.17        -

TrendMicro        8.700.0.1004        2008.08.16        -

VBA32        3.12.8.3        2008.08.17        -

ViRobot        2008.8.16.1338        2008.08.16        -

VirusBuster        4.5.11.0        2008.08.17        -

Webwasher-Gateway        6.6.2        2008.08.17        -

weitere Informationen

File size: 208896 bytes

MD5...: 0a1df392a051340048daadc928856b0a

SHA1..: 14608284be67fd62b99b724709126ad9570e7afc

SHA256: f2108433f05b5c18877507ec3f86845b7cc0b22b600a9aea1e5769dc36852e9a

SHA512: c06f948ac6cc1143d57df73368e58b310719ab2adc02e5330457055f2db8a3b542ae4bc1cc8f5c5395ae890591544ba8bdb559d40640a99f281473f112c8866e

PEiD..: -

PEInfo: PE Structure information( base data )entrypointaddress.: 0x4104aftimedatestamp.....: 0x44fff0dc (Thu Sep 07 10:13:48 2006)machinetype.......: 0x14c (I386)( 4 sections )name viradd virsiz rawdsiz ntrpy md5.text 0x1000 0x21436 0x22000 6.61 bba27e4278eeaa706e3df0d3a30fcdf2.rdata 0x23000 0x8222 0x9000 4.66 d041f933702a6777dff4e8c22e5b6f7c.data 0x2c000 0x663c 0x3000 2.87 048e1370aed0da5654c9e7c11ac420fe.rsrc 0x33000 0x32c0 0x4000 4.55 6c770f72fc6d18005eea72bdd45b5e89
 

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=0a1df392a051340048daadc928856b0a
 
 
 

Datei sw24.exe empfangen 2008.08.17 18:49:55 (CET)

Status:     Beendet   

Ergebnis: 0/36 (0%)
 

        

Antivirus        Version        letzte aktualisierung        Ergebnis

AhnLab-V3        2008.8.15.0        2008.08.15        -

AntiVir        7.8.1.19        2008.08.16        -

Authentium        5.1.0.4        2008.08.17        -

Avast        4.8.1195.0        2008.08.17        -

AVG        8.0.0.161        2008.08.17        -

BitDefender        7.2        2008.08.17        -

CAT-QuickHeal        9.50        2008.08.16        -

ClamAV        0.93.1        2008.08.16        -

DrWeb        4.44.0.09170        2008.08.17        -

eSafe        7.0.17.0        2008.08.17        -

eTrust-Vet        31.6.6035        2008.08.15        -

Ewido        4.0        2008.08.17        -

F-Prot        4.4.4.56        2008.08.17        -

F-Secure        7.60.13501.0        2008.08.17        -

Fortinet        3.14.0.0        2008.08.17        -

GData        2.0.7306.1023        2008.08.17        -

Ikarus        T3.1.1.34.0        2008.08.17        -

K7AntiVirus        7.10.417        2008.08.15        -

Kaspersky        7.0.0.125        2008.08.17        -

McAfee        5362        2008.08.15        -

Microsoft        1.3807        2008.08.17        -

NOD32v2        3362        2008.08.17        -

Norman        5.80.02        2008.08.15        -

Panda        9.0.0.4        2008.08.17        -

PCTools        4.4.2.0        2008.08.17        -

Prevx1        V2        2008.08.17        -

Rising        20.57.62.00        2008.08.17        -

Sophos        4.32.0        2008.08.17        -

Sunbelt        3.1.1546.1        2008.08.15        -

Symantec        10        2008.08.17        -

TheHacker        6.3.0.3.052        2008.08.17        -

TrendMicro        8.700.0.1004        2008.08.16        -

VBA32        3.12.8.3        2008.08.17        -

ViRobot        2008.8.16.1338        2008.08.16        -

VirusBuster        4.5.11.0        2008.08.17        -

Webwasher-Gateway        6.6.2        2008.08.17        -

weitere Informationen

File size: 69632 bytes

MD5...: a6309d3ff5c253738b14e4abf0930ec4

SHA1..: 06f29b3e8cc4375c097ce76be09a07dad4625f2b

SHA256: 54347459ee59e9e415f66c30426440592e869feb3a86c131597e08ba8efa52f6

SHA512: 34679c7014c2ddf24c57f85662c299aa1171dd473400f2a109b45488656bf69e0ff80c08e5116c17114f958886f2bf755c849bd6089db64a319d5ae416681fe8
 
 
 
 

Datei WinSys2.exe empfangen 2008.08.17 18:41:20 (CET)

Antivirus        Version        letzte aktualisierung        Ergebnis

AhnLab-V3        2008.8.15.0        2008.08.15        -

AntiVir        7.8.1.19        2008.08.16        -

Authentium        5.1.0.4        2008.08.17        -

Avast        4.8.1195.0        2008.08.17        -

AVG        8.0.0.161        2008.08.17        -

BitDefender        7.2        2008.08.17        -

CAT-QuickHeal        9.50        2008.08.16        -

ClamAV        0.93.1        2008.08.16        -

DrWeb        4.44.0.09170        2008.08.17        -

eSafe        7.0.17.0        2008.08.17        -

eTrust-Vet        31.6.6035        2008.08.15        -

Ewido        4.0        2008.08.17        -

F-Prot        4.4.4.56        2008.08.17        -

F-Secure        7.60.13501.0        2008.08.17        -

Fortinet        3.14.0.0        2008.08.17        -

GData        2.0.7306.1023        2008.08.17        -

Ikarus        T3.1.1.34.0        2008.08.17        -

K7AntiVirus        7.10.417        2008.08.15        -

Kaspersky        7.0.0.125        2008.08.17        -

McAfee        5362        2008.08.15        -

Microsoft        1.3807        2008.08.17        -

NOD32v2        3362        2008.08.17        -

Norman        5.80.02        2008.08.15        -

Panda        9.0.0.4        2008.08.17        -

PCTools        4.4.2.0        2008.08.17        -

Prevx1        V2        2008.08.17        -

Rising        20.57.62.00        2008.08.17        -

Sophos        4.32.0        2008.08.17        MadCodeHook

Sunbelt        3.1.1546.1        2008.08.15        -

TheHacker        6.3.0.3.052        2008.08.17        -

TrendMicro        8.700.0.1004        2008.08.16        -

VBA32        3.12.8.3        2008.08.17        -

ViRobot        2008.8.16.1338        2008.08.16        -

VirusBuster        4.5.11.0        2008.08.17        -

Webwasher-Gateway        6.6.2        2008.08.17        -

weitere Informationen

File size: 217088 bytes

MD5...: 246ed5328f940e4fdaab0b2fc987da01

SHA1..: d5e2592cf25b48efb1225e37c45bce99a13466c8

SHA256: a12b18fcdd5e76711c8cfd6010ecdb1f6a4bf27cc48f0ecf70291591770cb457

SHA512: eda78432518373137d1170fc98c58bea33485c9db1115899f7eea9d20f03a8d364fd4e936bac44bd2dd6e6f690c7b0e1cdf0b7af6c6acf7b44fe1d7aed0daea9

Hier der rapport von Smitfraud

Code:

SmitFraudFix v2.337
 

Scan done at 19:23:41,46, 17.08.2008

Run from E:\Isa_Eigene_Dateien\Firefox_Downloads\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode
 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
 
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 

127.0.0.1       localhost
 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
 

S!Ri's WS2Fix: LSP not Found.
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 

GenericRenosFix by S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» RK
 
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done. 

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

Allerdings wenn ich jetzt ein scan normal mit Bitdefender 2008 mache, dann meldet der mir:

IRC-Worm Generic 3868
C:\Dokumente und Einstellungen\Isa\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\c5l9i2rw.default\Cache\63329BDCd01=](RAR Sfx o)=]SmitfraudFix\IEDFix.exe

Ist das normal?

Schönen Dank für die Mühe noch mal :-), ich hoffe ich das ich den großen Log von Virustotal einigermaßen gut lesbar posten konnte.
und bin gespannt auf deine Antwort.
Gruß Lana

Zitat:

Ist das normal?

Ja, das ist es.

Wie geht's deinem Rechner?

Suche mal bitte wie in meiner Signatur beschrieben nach folgender Datei: bdoscandel.exe

Systemanalyse

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
Räume mit cCleaner auf. (Punkt 1 & 2)
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
Unter File -> Database Update Start drücken.
Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Hallo, so habe alles so gemacht, mein Rechner geht es gut, wieso fragst du?

Die Datei bdoscandel.exe wurde nicht gefunden, meine Datei ansicht ist so das ich auch alle Dateien und versteckte Dateien sehen kann.
Was ist eigentlich ein Prorat Server?

Hier der Rapidshare Link
RapidShare: Easy Filehosting

Kann ich das Avz Tool wieder löschen von meinem Rechner? oder brauche ich es noch?
Gruß Lana :-)

Ein Prorat Server wäre ein Backdoor Server. Google hilft.. ;)

Aber da die Dateien sauber sind ist diese Möglichkeit zum Glück nicht mehr aktuell.

Folgende Dateien bitte auch analysieren lassen:

Zitat:

C:\WINDOWS\system32\MADCHOOK.DLL

Wenn die auch O.k. ist dann ist dein Rechner, aus meiner Warte aus gesehen sauber.

Hallo Undo, habe die dll mit virustotal geprüft siehe Ergebniss:

Code:

 Datei MadCHook.dll empfangen 2008.08.18 16:27:45 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 1/36 (2.78%)
 

        

Antivirus         Version         letzte aktualisierung         Ergebnis

AhnLab-V3        2008.8.15.0        2008.08.18        -

AntiVir        7.8.1.19        2008.08.18        -

Authentium        5.1.0.4        2008.08.18        -

Avast        4.8.1195.0        2008.08.18        -

AVG        8.0.0.161        2008.08.18        -

BitDefender        7.2        2008.08.18        -

CAT-QuickHeal        9.50        2008.08.16        -

ClamAV        0.93.1        2008.08.18        -

DrWeb        4.44.0.09170        2008.08.18        -

eSafe        7.0.17.0        2008.08.18        -

eTrust-Vet        31.6.6035        2008.08.15        -

Ewido        4.0        2008.08.18        -

F-Prot        4.4.4.56        2008.08.18        -

F-Secure        7.60.13501.0        2008.08.18        -

Fortinet        3.14.0.0        2008.08.18        -

GData        2.0.7306.1023        2008.08.18        -

Ikarus        T3.1.1.34.0        2008.08.18        -

K7AntiVirus        7.10.417        2008.08.18        -

Kaspersky        7.0.0.125        2008.08.18        -

McAfee        5362        2008.08.15        -

Microsoft        1.3807        2008.08.18        -

NOD32v2        3365        2008.08.18        -

Norman        5.80.02        2008.08.18        -

Panda        9.0.0.4        2008.08.17        -

PCTools        4.4.2.0        2008.08.18        -

Prevx1        V2        2008.08.18        -

Rising        20.58.02.00        2008.08.18        -

Sophos        4.32.0        2008.08.18        MadCodeHook

Sunbelt        3.1.1546.1        2008.08.15        -

Symantec        10        2008.08.18        -

TheHacker        6.3.0.5.053        2008.08.18        -

TrendMicro        8.700.0.1004        2008.08.18        -

VBA32        3.12.8.3        2008.08.18        -

ViRobot        2008.8.18.1339        2008.08.18        -

VirusBuster        4.5.11.0        2008.08.18        -

Webwasher-Gateway        6.6.2        2008.08.18        -

weitere Informationen

File size: 128512 bytes

MD5...: 9408d61a78d7a46e9ad7c64648154faf

SHA1..: b9f38569c15b883ec0b26856997602e7bf043386

SHA256: f57abc029bdba10c16d3949a03c46076f7bf82ed18fe9ee2cbc949649d92624e

SHA512: 2b112dd8a43dfc6b8372e0be090431beaf8655a5dcec091049cda212cf815962

0a8c97a8e16a335c3222e599cdd7b513bcf69aeda21cb7b9efe08946a32a71b0

Nur Sophos fand: MadCodeHook

Genau wie bei der überprüfung von der Datei WinSys2.exe da fand Sophos genau das selbe.

Ist das jetzt relevant?? :confused:

Gruß Lana :)

Ich denke das passt. Und wenn es deinem Rechner gut geht dann bist du entlassen.. ;)

Eeecht? :aplaus:
vielen dank für die Mühe :)
und da ist nichts verdächtiges in den ganzen Logdateien und rapports ?
Meinst du ich könnte also wieder onl. banking machen?

Und was ist mit diesem einen Fund von sophos: MadCodeHook?

Ich hatte von einem bekannten gehört das es ein mini linux gibt das nur von CD läuft, mit browser und alles was man braucht, und das wenn ich damit zb online banking machen würde, das es dann sicherer wäre.

Oder ich richte mir ein Konto mit eingeschränkten nutzerrechten ein, wenn ich mit so einem Konto surfe bin ich doch um einiges sicherer oder?

Schöne Grüße Lana :))

Zitat:

Ich hatte von einem bekannten gehört das es ein mini linux gibt das nur von CD läuft, mit browser und alles was man braucht, und das wenn ich damit zb online banking machen würde, das es dann sicherer wäre.

Das ist die sicherste Variante die es gibt ja.

Zitat:

Oder ich richte mir ein Konto mit eingeschränkten nutzerrechten ein, wenn ich mit so einem Konto surfe bin ich doch um einiges sicherer oder?

Das solltest du so oder so tun.. ;)

Ok danke für den tip.
Ich habe eben noch mal bei meinem Bitdefender geschaut, der zeigt auch unter Systeminfo die Prozesse an, und unter Winsys2.exe zeigt er die dazugehörigen Dll's usw, und da ist auch die MADCHOOK.DLL zu sehen. Wenn man da drauf geht dann steht dort:

Objekt: C:\WINDOWS\system32\MADCHOOK.DLL
Datei: MADCHOOK.DLL
Pfad: C:\WINDOWS\system32\MADCHOOK.DLL
Dateiversion: 2.2.2.5
Produktversion: 2.2.2.5
Hersteller: www.madshi.net
Beschreibung: api hooking for 9x/nt

habe mir die webseite mal angeschaut, leider auf englisch, mein englisch ist nicht so gut, also weiss ich gar nicht so genau was da angeboten wird. Kannst es dir ja mal selber anschauen wenn du magst. Ich weiss nicht was api hooking bedeutet :-)

Gruß Lana

Sophos hat nur die Info rausgegeben, dass es sich hierbei um einen madcodehook handelt. Das ist kein eine Methode die Schädlinge benutzen. Da aber alle Dateien sauber sind die hier "gehookt" sind besteht keine Gefahr. Einige Schädlinge nutzen die gleichen Dateinamen daher ist eine Überprüfung sinnvoll.
http://wiki.hackerboard.de/index.php...PI#API-Hooking ;)

Ok dann ist ja wohl alles inordnung.
Ich habe noch eine frage bitte, hatte diesbezüglich schon die Boardsuche benutzt aber nichts gefunden was genau auf mein fall zutrifft.

Ich habe 2 Benutzerkonten laufen, einmal ein Admin Konto (Administrator) was ich nie benutze (dort ist auch nichts installiert usw), und mein Konto (Isa) mit Admin Rechte, wo meine ganzen Einstellungen laufen.

Wenn ich mir jetzt ein Konto mit eingeschränkten nutzerrechten erstellen will, wie mache ich das genau?
Vielen dank noch mal
Grüße Lana :)

Zitat:

Wenn ich mir jetzt ein Konto mit eingeschränkten nutzerrechten erstellen will, wie mache ich das genau?

Du kannst einfach dein "Isa"-Konto ändern.

Unter Start -> Systemsteuerung -> Benutzerkontensteuerung -> Eigenen Kontotyp ändern

Hallo, ja aber das isa konto da sind ja meine ganzen einstellungen und programme drauf, und wenn ich da jetzt zb mal ein neues programm installieren möchte? was mache ich dann wenn ich keine rechte habe?
sorry für die doofe frage aber ich habe bislang da noch nie was geändert.

Zitat:

was mache ich dann wenn ich keine rechte habe?

Dann musst du dich als Admin anmelden und das Prog installieren. Oder du wählst über den Rechtsklick -> Sicherheit aus wer Zugriff auf das Prog haben soll. Dafür musst du dann das Admin Passwort eingeben.

Du kannst natürlich auch einfach ein Konto zum Surfen und online Banken erstellen...