Hi zusammen,
normalerweise formatiere ich ja sofort wenn ich nen Virus entdecke ...
diesmal würde ich es mir gerne sparen.
Gestern habe ich im Internet bei Google nach:
wie kann man ein buch selber binden
gesucht und mir dann seiten aus den ersten 5 Suchergebnissen geöffnet.
Schwups meldete sich ein Antivirus 2008 oder so ähnlich und meinte mein
Rechner wäre infiziert und ich sollte das installieren bla bla ... naja den Virus
kennen ja einige hier. Nun habe ich nicht groß auf irgendwas geklickt, sondern
den IE-Prozess im Taskmanager direkt gekillt. Danach war dann auch Ruhe.
Tja und jetzt frage ich mich ob die ruhe trügt und wie ich das prüfen sollte.
Folgendes bisher gemacht:
Malmarebytes AntiMalware laufen lassen. Der hat auch was gefunden und gelöscht:
Code:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1802
Windows 5.1.2600 Service Pack 1
25.02.2009 21:30:50
mbam-log-2009-02-25 (21-30-50).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 209575
Laufzeit: 1 hour(s), 33 minute(s), 18 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Documents and Settings\Administrator\Local Settings\Temp\iexplore.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Also war wohl ein Trojan.Agent drauf ... nun ja heute hab ich Hijcackthis drüber laufen lassen:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:50:43, on 26.02.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\WISPTIS.EXE
C:\WINDOWS\System32\tabbtnu.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\System32\Trirot.exe
C:\WINDOWS\System32\00THotkey.exe
C:\Program Files\Common Files\microsoft shared\ink\TPA.exe
C:\WINDOWS\System32\THKem.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\TOSHIBA Rotation Utility\TRot.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\toshiba\ivp\ism\ivpsvmgr.exe
C:\Documents and Settings\Administrator\Desktop\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: &Radio - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TabletTip] "C:\Program Files\Common Files\microsoft shared\ink\tabtip.exe" /resume
O4 - HKLM\..\Run: [Trirot] Trirot.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [THKem] C:\WINDOWS\System32\THKem.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TosRotation] "C:\Program Files\TOSHIBA\TOSHIBA Rotation Utility\TRot.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Sensiva] "C:\Symbol Commander\Sensiva.exe"
O4 - HKLM\..\Run: [Pinger] c:\toshiba\ivp\ism\pinger.exe /run
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\j2re1.4.2_15\bin\jusched.exe"
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\eXPert PDF\vspdfprsrv.exe --background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [TabletWizard] %windir%\help\wizard.hta (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [TabletWizard] %windir%\help\wizard.hta (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [TabletWizard] %windir%\help\wizard.hta (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TabletWizard] %windir%\help\wizard.hta (User 'Default user')
O4 - .DEFAULT User Startup: iehome.lnk = C:\Documents and Settings\Default User\Local Settings\Temp\iehome.bat (User 'Default user')
O4 - .DEFAULT User Startup: TSkin.lnk = C:\Documents and Settings\Default User\Local Settings\Temp\TSkin.bat (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - C:\Program Files\ICQ6\ICQ.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
--
End of file - 4725 bytes
Also ich sehe da nix, was mir spanisch vorkommt, auch bei meinem aktiven Prozessen im Taskmanager habe ich keinen neuen Prozess entdeckt, vorher waren es genau so viele wie jetzt.
Ich schätze ich werde jetzt erstmal gesteinigt weil ich altes Windows und IE und ohne Viranscanner unterwegs bin ... dafür aber eigentlich auch nix offensichtlich riskantes aufrufe im Netz ... außer halt wohl diese google Ergebnisse. Ich weiß ja nicht ob die einer prüfen kann, Siteadvisor meldet bei mir nix, aber nochmal klick ich die Links natürlich nicht an.
Tja also jetzt steh ich halt vor der Frage ist das System wieder sicher oder ist noch was drauf und wie finde ich das ... Wie gesagt es kommen keine meldungen dieses "Antivirus irgendwas" Programms beim Surfen und ich bemerke keine Veränderungen.
Danke,
Benni
