PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Geschlossen Trojaner / Virus eingefangen



Urmel
23.08.07, 19:46
Hallo zusammen! Ich bin absolut neu hier und habe von PC´s keine Ahnung - leider :( - Fachausrücke sind für mich eher ein Buch mit 7 Siegeln. Gestern war es soweit und ich habe mir beim surfen auf einer Nachrichtenseite einen Virus eingefangen.
AVAST hat sofort Alarm geschlagen. :lol: Ich wollten den Virus wie vorgeschlagen in den Container verschieben, ging aber nicht!! Also habe ich auf "löschen" geklickt. Hab mir gleich gedacht, dass er nicht wirklich weg ist.
Hab dann mit AVAST einen Scan gemacht und siehe da, der Virus ward gefunden und sogar in den Container verschiebbar (da ist er jetzt auch noch). AVAST identifiziert ihn so: Name: ms07-017(1).ani, Virus: CVE-2007-0038. Dazu habe ich folgendes gefunden: Die Sicherheitsanfälligkeit bezüglich Remotecodeausführung durch animierte Windows-Cursor – CVE-2007-0038 wird derzeit ausgenutzt und wurde bereits in der Microsoft-Sicherheitsempfehlung 935423 beschrieben. Leider hilft mir das nicht weiter. Habe alle Updates von Windows runtergeladen - zeitnah!! :?

Dann habe ich noch einen evido Malware Onlinescan gemacht. CVE-2007-0038 wurde nicht gefunden, aber dafür folgendes:
Report von evido:
Name: Trojan.Golett
Path: C:\WINDOWS\ie7.log
Risk: High
sieht irgendwie schrecklich aus die ganze Sache!!! :evil:

Da ich gestern schon lange in diesem Forum und auch in anderen Foren gewühlt habe, weiss ich, dass ihr noch Angaben braucht:

Betriebssystem: WIN XP SP2 Media Center Edition
Prozessor: Intel Pentium Core 2 duo

Mein Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:37:34, on 23.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Medion\MEDIONbox\Program\GCS.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sceneo\Bonavista\Services\PVR\PVRServ ice.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\SMSC\SetIcon.exe
C:\Programme\Home Cinema\TV Enhance\TVEService.exe
C:\Programme\Gemeinsame Dateien\Gnab\Service\GnabTray.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBC App.exe
C:\Programme\Schmaili89\schmaili.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Alwil Software\Avast4\ashChest.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smartsurfer.web.de/client/distri ... winver=Win (http://smartsurfer.web.de/client/distribution/?partnerid=0&distribution=000000000560&affiliate=0&affiliate_user_input=&version=3.2.1.2&reportid=28494648115207BB437D87C14E068D5AFE47011EC 5E2&transfererror=0&winver=Win) XP SP 2 (obfuscated)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615. 5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe"
O4 - HKLM\..\Run: [BullGuard] "C:\Programme\BullGuard Software\BullGuard\bullguard.exe" -boot
O4 - HKLM\..\Run: [GnabTray] C:\Programme\Gemeinsame Dateien\Gnab\Service\GnabTray.exe -checkstart
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TVBroadcast] C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBC App.exe
O4 - HKCU\..\Run: [Schmaili] C:\Programme\Schmaili89\schmaili.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0402350437 (http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 1001832152 (http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161001832152)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: GnabService - Empolis GmbH - c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRServ ice.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10788 bytes

Ich hoffe, dass ich nicht allzuviel vergessen habe und vor allem, dass mir jemand helfen kann!
:?:
HILFE :!:

Gruß Margarete

Catweezel
24.08.07, 22:11
Hi Urmel,

bis auf die Tatsache, dass bei dir eine Menge am laufen ist, kann ich nichts Auffälliges entdecken.
Da aber das Lesen von HiJackthis-Logfiles eine kleine Wissenschaft für sich ist, möchte ich darauf hinweisen, dass die Auswertung gut im HiJackthis-Forum aufgehoben ist.

Ganz wichtig !
läuft bei dir die Bullguard Internet-Security mit Virenscanner ?
Wenn ja, entscheide dich für ein Virenschutzprogramm. Zwei On-Access Virenscanner nicht zusammen betreiben !

Zuerst würde ich folgendermaßen vorgehen:
Systemsteuerung ausschalten
1. Start > Systemsteuerung > System
2. Auf den Reiter "Systemwiederherstellung" klicken
3. Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren"
Es werden alle Wiederherstellungspunkte gelöscht

Den Virus im Avast-Container löschen
Zu dem Fund von Ewido bzw. AVG-Antispyware:
Hier würde ich die Testversion runterladen und installieren und dann damit einen Scan machen, um zu sehen, ob der Infekt hier auch gefunden wird.
Der Onlinescanner kann ja bekanntlich nichts löschen.

Danach würde ich einen Scan mit Avast über den Boot-Time-scanner machen

Sollte alles sauber sein, kann die Systemwiederherstellung wieder angeschaltet werden.

Gruß Catweezel

Urmel
25.08.07, 00:12
Hi Catweezel!

Zunäch erstmal danke für deine schnelle Antwort und die vielen Tipps. Ich werde alles der Reihe nach abarbeiten.

Zu Bullgard: Diesen PC habe ich erst seit Januar diesen Jahres. Da war die Proberversion von Bullgard bereits installiert (90 Tage Version). Nach Ablauf der 90 Tage habe ich Bullgard in der Systemsteuerung über Software meiner Meinung nach ordnungsgemäß gelöscht. Offensichtlich ist wohl doch nicht alles weg. Habe aber auch schon gehört, dass viele Antivirenprogramme sich nicht mehr restlos entfernen lassen. Kann das trotzdem noch stören oder wie kriege ich den Rest weg?

Die Kurzauswertung des Logfiles von HijackThis hat folgendes ergeben:
[X] - R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smartsurfer.web.de/client/distri ... winver=Win (http://smartsurfer.web.de/client/distribution/?partnerid=0&distribution=000000000560&affiliate=0&affiliate_user_input=&version=3.2.1.2&reportid=28494648115207BB437D87C14E068D5AFE47011EC 5E2&transfererror=0&winver=Win) XP SP 2 (obfuscated)
[X] - O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Damit kann ich leider nichts anfangen. Wie kann ich das lesen?

Vom Smartsurfer können eigentlich auch nur noch Fragmente vorhanden sein, denn dieser wurde von mir genauso deinstalliert, wie Bullgard. Den Smart-Surfer habe ich noch 3 oder 4 Wochen zum surfen über Modem benötigt. Seit Februar surfe ich über Router W 700 V von Telekom (DSL 6000).

In der langen Auswertung des Logfiles sind auch einige für mich unverständliche Sachen aufgeführt:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smartsurfer.web.de/client/distri ... n=00000000 (http://smartsurfer.web.de/client/distribution/?partnerid=0&distribution=00000000) 0560&affiliate=0&affiliate_user_input=&version=3.2.1.2&reportid=28494648115207BB 437D87C14E068D5AFE47011EC5E2&transfererror=0&winver=Win XP SP 2 (obfuscated)
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
Sicher Unbedingt fixen! Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
Sicher
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\google\common\google updater\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Google Updater Service

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Sicher
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\common~1\x10\common\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch

C:\Programme\SMSC\SetIcon.exe
Sehr sicher
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\icons\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.

C:\Programme\Home Cinema\TV Enhance\TVEService.exe
Sehr sicher
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\home cinema\tv enhance\kernel\tv\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. CyberLink PowerCinema Resident Program

Wenn etwas "sicher" ist, wieso muss es dann gefixt werden? Wenn etwas "eventuell schädlich" ist, wie kann ich erkennen, ob es wirklich schädlich ist? So ein Mist, dass ich das alles nicht weiss. Ich hoffe die Fragen sind noch o.k. für dich.

Die Sache mit der Systemwiederherstellung abschalten und den Virus löschen mache ich noch. Brauche aber sicher läger dafür als ihr.

Nochmals danke und bis bald.

Catweezel
26.08.07, 14:14
Hallo Margarete,

zu der Sache mit Bullguard:
Da müsste unter C:\Programme... der Ordner noch vorhanden sein.
Diesen löschen ! Vorausgesetzt, dass du Bullguard wirklich mit der Deinstallationsroutine entfernt hast !!
Dann kann man in der Registry Einträge zu Bullguard suchen und löschen. Da dies aber für Ungeübte recht heikel ist, kann man dafür wärmstens den bereits genannten ccleaner nehmen.

Mit der Hijackthis-Auswertung meinte ich nicht die Automatische Auswertung, sondern u.U. eine Nachfrage direkt im Hijackthis-Forum. :wink:

Das was dir bei der Auswertung gezeigt wird mit Prozessen im anderen Pfad - wenn du die Software kennst und auch auf dem Rechner selbst installiert hast, ist alles O.K. und du brauchst diesen Hinweis nicht weiter nachzugehen.

Der R1-Eintrag scheint irgendwie mit dem Smartsurfer und einer Suchfunktion (Google Toolbar ??) zusammenzuhängen. Unter Umständen funktioniert beim fixen da irgendwas nicht mehr.

Edit:
lese ich jetzt erst...
Wenn du den Smartsurfer nicht mehr drauf hast ...Fixen !
Und dann empfehle ich, die Toolbar runterzuschmeißen..
Wie gesagt, zum Schluß dann die Sache mit dem ccleaner ! :wink:

Nur so nebenbei...
Zu meiner Sicherheitsstrategie gehört übrigens auch der Verzicht auf jegliche irgendwelche Toolbars. Man handelt sich manchmal mehr Probleme ein, als es Nutzen bringt.

Gruß Catweezel

Urmel
26.08.07, 17:05
Hi Catweezel,

zunächst habe ich mal deine erste Antwort abgearbeitet:

1. AVG - Anti Spyware Testversion heruntergeladen und installiert
2. Scan mit AVG - wieder Trojan Golett gefunden
3. Auf Vorschlag von AVG in Quarantäne verschoben
4. Systemwiderherstellung ausgeschaltet
5. Virus im Avast-Container gelöscht
6. Scan mit dem Boot-Time-Scanner von Avast - nichts gefunden
7. Scan mit AVG Anti-Spy - nichts gefunden
8. Start im abgesicherten Modus
9. Scan mit AVG Anti-Spy - nichts gefunden
10. Scan mit Avast - da sind ganz viele merkwürdige Dinge aufgetaucht:

Avast konnte über 20.000 Dateien nicht prüfen :cry: - Hiervon nur ein ganz kleiner Ausschnitt:

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UPOUBB43\DEU_200707311.xml[1].zip\DEU_200707311.xml [E] Archiv ist passwort-geschützt. (42056)
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UPOUBB43\DEU_200708011.xml[1].zip\DEU_200708011.xml [E] Archiv ist passwort-geschützt. (42056)
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UPOUBB43\DEU_200708031.xml[1].zip\DEU_200708031.xml [E] Archiv ist passwort-geschützt. (42056)
C:\Dokumente und Einstellungen\Margarete\Eigene Dateien\download\winzip10.0.gev.exe\SETUP.WZ\WINZI P32.EX_ [E] Archiv ist passwort-geschützt. (42056)
C:\Programme\ALDI Foto Service Nord\MEDION_Fotos_auf_CD\hrpjna01.dat\Wise1124.bin [E] Installations-Archiv ist beschädigt. (42146)
C:\Programme\MEDION\medionmusic_manager_gold\hrpjn a01.dat\Wise0033.bin [E] Installations-Archiv ist beschädigt. (42146)
C:\Programme\T-Online (6.038)\T-Online 6.0\T-Online\MS\DOTNET\dotnetfx.exe\[Embedded#000f626]\msi.dll [E] CAB-Archiv ist beschädigt. (42127)
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\141dba2c46ac27fe0d0d6d46ba4dbf07\BIT17.tmp\mrt. exe [E] CAB-Archiv ist beschädigt. (42127)
D:\Tools\T-Online (6.038)\T-Online 6.0\T-Online\MS\DOTNET\dotnetfx.exe\[Embedded#000f626]\msi.dll [E] CAB-Archiv ist beschädigt. (42127)
D:\Tools\Big Fish Games\Setup.exe\$INSTDIR\en_atlantisskypatrol_inst .exe\$PLUGINSDIR\InstallOptions.dll [E] Installations-Archiv ist beschädigt. (42146)
D:\Tools\Big Fish Games\Setup.exe\$INSTDIR\en_fairieseu_inst.exe\$PL UGINSDIR\InstallOptions.dll [E] Installations-Archiv ist beschädigt. (42146)
D:\Tools\Big Fish Games\Setup.exe\$INSTDIR\en_fishtycoon_inst.exe\$P LUGINSDIR\InstallOptions.dll [E] Installations-Archiv ist beschädigt. (42146)
D:\Tools\Big Fish Games\Setup.exe\$INSTDIR\en_hiddenexpeditionti_ins t.exe\$PLUGINSDIR\InstallOptions.dll [E] Installations-Archiv ist beschädigt. (42146)
D:\Tools\Big Fish Games\Setup.exe\$INSTDIR\en_mahjomino_inst.exe\$PL UGINSDIR\InstallOptions.dll [E] Installations-Archiv ist beschädigt. (42146)
D:\Tools\Big Fish Games\Setup.exe\$INSTDIR\en_mysterycasefileshu_ins t.exe\$PLUGINSDIR\InstallOptions.dll [E] Installations-Archiv ist beschädigt. (42146)
D:\Tools\Big Fish Games\Setup.exe\$INSTDIR\en_mysterycasefilespr_ins t.exe\$PLUGINSDIR\InstallOptions.dll [E] Installations-Archiv ist beschädigt. (42146)
D:\Tools\Big Fish Games\Setup.exe\$INSTDIR\en_mysticinn_inst.exe\$PL UGINSDIR\InstallOptions.dll [E] Installations-Archiv ist beschädigt. (42146)
D:\Tools\Big Fish Games\Setup.exe\$INSTDIR\en_pokersuperstars2_inst. exe\$PLUGINSDIR\InstallOptions.dll [E] Installations-Archiv ist beschädigt. (42146)
D:\Tools\Big Fish Games\Setup.exe\$INSTDIR\en_virtualvillagers_inst. exe\$PLUGINSDIR\InstallOptions.dll [E] Installations-Archiv ist beschädigt. (42146)
D:\Tools\ALDI Foto Service Nord\Fotos.exe\%MAINDIR%\hrpjna01.dat\Wise1124.bin [E] Installations-Archiv ist beschädigt. (42146)
D:\Tools\STAMPIT\MICROSOFT\IEXPLORE\5\DE\IE_S2.CAB \IE_2.CAB [E] CAB-Archiv ist beschädigt. (42127)
D:\addon\programs\musicmaker.exe\%MAINDIR%\hrpjna0 1.dat\Wise0103.bin [E] Installations-Archiv ist beschädigt. (42146)
D:\addon\programs\musicmanager.exe\%MAINDIR%\hrpjn a01.dat\Wise0033.bin [E] Installations-Archiv ist beschädigt. (42146)
Infizierte Dateien: 0
Dateien gesamt: 425285
Ordner gesamt: 7350
Gesamtgröße: 39,5 GB

*
* Aufgabe beendet: Sonntag, 26. August 2007 07:10:36
* Laufzeit war 3 Stunde(n), 30 Minute(n), 1 Sekunde(n)
*
:?:
Ich hoffe, dass das nicht wieder etwas ungutes zu bedeuten hat!!! Ich habe nämlich kein Passwort erstellt! Was ist mit welchem Passwort geschützt?

Die anderen Ergebnisse waren doch eher erfreulich - oder??? Muss ich noch irgendwas machen oder irgendwas posten? Wäre gut, wenn du nochmal Stellung nehmen würdest.

Ich werde nochmal ein neues Logfile erstellen und dieses dann bei HijackThis ins Forum stellen. Außerdem werde ich vorher die Google Toolbar entfernen und das System mit ccleaner reinigen.

Danke nochmal für alles und Gruß

Margarete

Catweezel
26.08.07, 18:21
Hi Margarete,

ich würde mal so aus der Ferne behaupten: Auf deinem Rechner ist alles in Ordnung.
Das mit dem Passwortgeschützten Archiv sind eine temporäre Dateien.
Hier löschen, wie ich in diesem Thread (http://forum.avast.de/viewtopic.php?p=1599#1599) beschrieben habe.
Das viele Dateien nicht geprüft werden können, ist durchaus normal. Und mit den beschädigten Archiven... solange du die Software kennst, würde ich das nicht überbewerten. Zumal da einige Dinge NICHT auf der Systempartition liegen.

Gruß Catweezel

Urmel
02.09.07, 21:28
Hi Catweezel,

ich habe wie du vorgeschlagen hast, mein HijackThis Logfile im HijackThis Forum eingestellt. Das hat noch so einige Arbeiten am Computer nach sich gezogen.

Jetzt habe ich das Problem, dass ich mein neues Hijackthis-Programm deinstallieren soll, dafür jedoch eine alte Version neu downloaden muss. Leider funktioniert dies nicht, weil Avast die Datei als Trojaner erkennt :!: und sofort den Eingang versperrt. Was kann ich da tun? Es ist folgender Link, der mir im HijackThis Forum gegeben wurde: http://members.liwest.at/walter33/hjt.exe

Bei einer Rückfrage im HijackThis Forum konnte man mir da nicht weiterhelfen, weil es wohl ein AVAST Problem ist. :roll: Ich hoffe, ihr könnt mir nochmal helfen, denn ich benötige die Datei um ein neues Logfile zu posten.

Gruß
Urmel

Catweezel
03.09.07, 00:13
also ich würde keine Dateien aus privaten Quellen runterladen ! Da kippt man vielleicht das Kind mit dem Bade aus... :wink:
Muss mich wundern, dass dies da so angeboten wird...
Die letzte aktuelle Originaldatei gibt es hier
http://www.hijackthis.de/
Oben rechts geht es zum Direktdownload.
Dies ist die Version, die eigentlich in allen Foren genannt wird

Es gibt noch eine neuere Version. HiJackthis wurde ja an Trendmicro verkauft (den Link habe ich jetzt aber nicht..). Dort wird es weiterentwickelt, ist aber scheinbar irgendwie in Betaphasen.

Gruß Catweezel