LMS : XP Antivirus 2009

LMS

Stammgast
@Swisstreasure

Hallo
Auch ich habe ein Problem mit XP Antivirus 2009. Ich bin mir aber nicht sicher, ob ich mir den Trojaner wirklich eingefangen habe. Ich vermute, dass die Webpräsenz einer (vermutlich) seriösen Firma mit dem entsprechenden Script infiziert ist. Gibt es eine Möglichkeit, dies irgendwie zu testen, ob dem so ist und was das Script genau macht? Die andere Möglichkeit wäre dann aber, dass mein PC zufälligerweise auf der gleichen Seite ein Popup mit XP Antivirus 2009 anzeigt. Den Browser habe ich dann geweils über den Taskmanager abgeschossen, ohne dass merklich etwas installiert wurde. Ein paar Tests, u.a. mit Malwarebytes' sind negativ ausgefallen.

Oder soll (darf) ich so oder so, meine Logs hier posten?
Aus Sicherheitsgründen habe ich mal vorderhand die fragliche Website nicht angegeben, nicht dass jemand versehentlich dort raufgeht.

Bin für Hilfe wirklich sehr dankbar.

Gruss
LMS
 

Swisstreasure

Stammgast
Hallo LMS und herzlich Willkommen im PC-Tipp forum

Du meinst, dass auf einer Homepage ein bösartiges Script ist? Das kannst du nicht direkt prüfen, denn die Verseuchung würde dann nicht auf deinem System sondern auf dem Server dieser HP sein.

Wenn malwarebyets gar nichts gefunden hat, dann wird vermutlich dein PC nicht infiziert worden sein. Aber poste hier ein HiJackThis Log.

Die Adresse der HP kannst du hier ppsten, einfach nicht als Hyperlink.
Mach es so: www[dot]adresse[dot]com

Gruss Swiss
 

LMS

Stammgast
Hallo Swiss. Herzlichen Dank für die schnelle Antwort.

Du meinst, dass auf einer Homepage ein bösartiges Script ist? Das kannst du nicht direkt prüfen, denn die Verseuchung würde dann nicht auf deinem System sondern auf dem Server dieser HP sein.

Ja genau. Ich stelle mir vor, dass 'XP Antivirus' so funktioniert, dass ein Script das Popup anzeigt und dann die schadhafte Software nachlädt und dass das entsprechende Script auf dem Webserver zum Abruf bereit steht. Vielleicht wurde die Site gehackt. Festgestellt habe ich, dass sämtliche Tabs des Firefox 2.0 bis auf das Letzte geschlossen wurden und dann das Popup erschien. Habe nicht gewusst, dass das überhaupt bei Firefox möglich ist.

Es handelt sich um folgende Site: www[dot]sportgarageruch[dot]com.

Aber eben, könnte auch sein, dass es mein PC ist. Was mir noch aufgefallen ist, dass ich MalWarebytes über mein normales Windows-Login Konto nicht updaten kann. Tut sich einfach nichts. Zudem habe ich mal FixVundo.exe von Symantec ausgeführt, das mehrmals eine Visual C++ Runtime Error anzeigt, dann aber nach Klick auf OK doch startet. Beide Probleme tauchen aber nicht auf, wenn ich die Programme über ein Windows-Konto mit eingeschränkten Rechten starte. Macht mich irgendwie stutzig.

Hier gerne mal mein HijackThisLog:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:07:14, on 20.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
c:\programme\idt\intelxpv_v83\wdm\STacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\IDT\WDM\sttray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\BitDefender\BitDefender 2008\bdagent.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmflp03\BrStDvPt.exe
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exu
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1212745399812
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1213434730187
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\programme\idt\intelxpv_v83\wdm\STacSV.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 9708 bytes


Gruss
LMS
 

Swisstreasure

Stammgast
LMS

Schau mal nach ob diese Datei welche hier im HJT Log ist wirklich diese Endung hat und zwichen Winsowssytem32 kein "\" steht oder ob dies nur beim posten so geändert wude:

O4 - HKLM..Run: [PinnacleDriverCheck] C:WINDOWSsystem32\PSDrvCheck.exu

Wenn ich auf die fragliche Seite gehe pasiert nichst?!

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss
 

LMS

Stammgast
Hallo Swiss

Also der Eintrag in der Registry lautet so wie im Log.
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exu
Zwischen system32 und PSDRVCheck.exu hat es zwei Backslashes. Die Dateiendung habe ich selber von exe auf exu geändert, weil ich die Ausführung für nicht nötig angeschaut habe, aber den Eintrag in der Registry mal provisorisch stehen lassen wollte. Vielleicht habe ich dabei versehentlich auch den zweiten unnötigen Backslash dazugeschrieben. Die Datei PSDrvCheck.exe befindet sich im Verzeichnis C:\WINDOWS\system32\

In der nächsten Antwort das Log von ComboFix
 

LMS

Stammgast
ComboFix 08-08-19.05 - Master 2008-08-21 1:48:17.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2855 [GMT 2:00]
ausgeführt von:: C:\Temp\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-20 bis 2008-08-20 ))))))))))))))))))))))))))))))
.

2008-08-21 01:47 . 2008-08-21 01:35 2,720,002 -ra------ C:\Temp\ComboFix.exe
2008-08-21 01:39 . 2008-08-21 01:39 <DIR> d-------- C:\Programme\CCleaner
2008-08-16 23:54 . 2008-08-16 23:54 <DIR> d-------- C:\WINDOWS\ERUNT
2008-08-16 23:50 . 2008-08-17 00:00 <DIR> d-------- C:\SDFix
2008-08-16 21:26 . 2008-08-16 21:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BitDefender
2008-08-16 21:22 . 2008-08-16 21:22 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-08-16 18:55 . 2008-06-06 11:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-08-16 18:55 . 2008-06-06 12:21 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-08-16 18:55 . 2008-06-06 12:21 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-08-16 18:55 . 2008-08-21 01:49 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-08-16 18:55 . 2008-06-06 12:21 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-08-16 18:55 . 2008-06-06 12:21 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-08-16 18:55 . 2008-08-16 21:26 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-08-16 18:55 . 2008-08-16 18:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-08-16 18:28 . 2008-08-16 18:28 1,046 --a------ C:\Temp\WindowsScan.zip
2008-08-16 16:14 . 2008-08-16 18:52 <DIR> d-------- C:\Programme\Panda Security
2008-08-16 16:13 . 2008-08-16 16:13 175,648 --a------ C:\Temp\activescan2_en.exe
2008-08-16 13:33 . 2008-08-16 13:33 <DIR> d-------- C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Malwarebytes
2008-08-16 13:22 . 2008-08-16 13:22 <DIR> d-------- C:\Programme\Enigma Software Group
2008-08-16 12:46 . 2008-08-16 12:46 166,064 --a------ C:\Temp\doeit.exe
2008-08-16 12:23 . 2008-08-16 12:23 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-16 12:23 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-16 12:23 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-16 11:11 . 2008-08-16 11:11 <DIR> d-------- C:\Programme\Trend Micro
2008-08-16 02:41 . 2008-08-16 02:41 <DIR> d-------- C:\Dokumente und Einstellungen\Master\Anwendungsdaten\Malwarebytes
2008-08-16 02:41 . 2008-08-16 02:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-15 21:48 . 2008-08-15 21:48 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-08-15 21:48 . 2008-08-15 22:37 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-08-10 00:53 . 2008-08-10 00:53 <DIR> d-------- C:\Programme\Alcohol Soft
2008-08-10 00:53 . 2004-04-30 09:37 160,640 --a------ C:\WINDOWS\system32\drivers\a347bus.sys
2008-08-10 00:53 . 2004-04-30 09:33 5,248 --a------ C:\WINDOWS\system32\drivers\a347scsi.sys
2008-08-08 17:38 . 2008-08-08 18:14 107,804,303 --a------ C:\Temp\truck_series_v2.0_1024.exe
2008-08-08 17:35 . 2008-08-08 18:58 177,209,098 --a------ C:\Temp\PCC_2007_Setup.exe
2008-08-01 01:12 . 2008-08-01 01:13 6,772,419 --a------ C:\Temp\Deutsch.zip
2008-07-31 12:27 . 2008-07-31 12:27 17,949,184 --a------ C:\Temp\ticonnect_deu.exe
2008-07-31 12:25 . 2008-07-31 12:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-30 01:12 . 2008-07-30 01:12 <DIR> d-------- C:\Temp\m1_procar_v1.0
2008-07-28 23:56 . 2008-07-28 23:56 <DIR> d-------- C:\Dokumente und Einstellungen\Master\Anwendungsdaten\CyberLink
2008-07-28 23:54 . 2008-07-28 23:54 <DIR> d-------- C:\Programme\CyberLink
2008-07-28 23:54 . 2008-07-28 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-07-28 01:19 . 2008-07-28 01:19 <DIR> d-------- C:\Dokumente und Einstellungen\Master\Anwendungsdaten\vlc
2008-07-28 01:18 . 2008-07-28 01:18 <DIR> d-------- C:\Programme\VideoLAN
2008-07-27 13:01 . 2008-07-27 13:01 <DIR> d-------- C:\Programme\DVD Shrink
2008-07-27 13:01 . 2008-08-07 12:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-07-26 12:53 . 2008-07-26 13:01 204,860,786 --a------ C:\Temp\building_setupUK.zip
2008-07-25 12:00 . 2008-07-25 12:07 797,084,008 --a------ C:\Temp\ProCyclingManager08_Demo.exe
2008-07-22 12:40 . 2008-07-22 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\Master\Anwendungsdaten\Orbit
2008-07-22 12:36 . 2008-07-22 12:36 2,268,448 --a------ C:\Temp\OrbitDownloaderSetup.exe
2008-07-22 02:52 . 2008-07-22 12:37 <DIR> d-------- C:\Dokumente und Einstellungen\Master\.CABAReTStage_3.2
2008-07-21 13:40 . 2008-07-21 13:43 <DIR> d-------- C:\Dokumente und Einstellungen\Master\Anwendungsdaten\Technology Lighthouse
2008-07-21 13:39 . 2008-07-21 13:39 4,491,168 --a------ C:\Temp\logm3010.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-28 21:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-24 22:17 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\AdobeUM
2008-07-24 22:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-07-18 23:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems
2008-07-17 22:26 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-07-17 22:26 22,328 ----a-w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\PnkBstrK.sys
2008-07-17 16:18 --------- d-----w C:\Programme\allTunes
2008-07-17 16:18 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\allTunes
2008-07-17 16:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\allTunes
2008-07-17 12:11 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\Summer Athletics 2008 DEMO
2008-07-16 22:29 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-07-16 22:29 --------- d-----w C:\Programme\Windows Live
2008-07-16 22:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-07-15 20:39 --------- d-----w C:\Programme\Celestia
2008-07-13 20:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited
2008-07-13 19:49 --------- d-----w C:\Programme\Java
2008-07-11 23:24 441,760 ----a-w C:\WINDOWS\system32\drivers\timntr.sys
2008-07-11 23:24 44,384 ----a-w C:\WINDOWS\system32\drivers\tifsfilt.sys
2008-07-11 23:24 368,480 ----a-w C:\WINDOWS\system32\drivers\tdrpman.sys
2008-07-11 23:24 132,224 ----a-w C:\WINDOWS\system32\drivers\snapman.sys
2008-07-11 23:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2008-07-11 12:20 --------- d-----w C:\Programme\MSECache
2008-07-11 00:08 --------- d-----w C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\DivX
2008-07-08 23:26 --------- d-----w C:\Programme\DivX
2008-07-08 23:26 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\DivX
2008-07-08 08:21 --------- d-----w C:\Programme\MSXML 4.0
2008-07-07 13:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle Studio
2008-07-07 13:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
2008-07-07 13:48 --------- d-----w C:\Programme\SmartSound Software
2008-07-07 13:48 --------- d-----w C:\Programme\Pinnacle
2008-07-07 13:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
2008-07-06 17:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
2008-07-06 17:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-07-06 17:19 --------- d-----w C:\Programme\Ahead
2008-07-02 21:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2008-06-26 12:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision
2008-06-21 15:08 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\Subversion
2008-06-21 14:26 --------- d-----w C:\Programme\Sun
2008-06-21 10:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2008-06-20 21:09 --------- d-----w C:\Programme\Easy2Sync
2008-06-20 21:09 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\Itsth
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 08:49 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-06-20 08:49 --------- d-----w C:\Programme\Gemeinsame Dateien\Deterministic Networks
2008-06-20 08:49 --------- d-----w C:\Programme\Cisco Systems
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 11:16 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 11:16 86016]
"BitDefender Antiphishing Helper"="C:\Programme\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 15:46 61440]
"BDAgent"="C:\Programme\BitDefender\BitDefender 2008\bdagent.exe" [2008-06-20 12:22 368640]
"Start WingMan Profiler"="C:\Programme\Logitech\Gaming Software\LWEMon.exe" [2008-04-04 11:38 88584]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-04-21 22:54 2622296]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-04-21 23:00 911168]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2008-04-21 00:07 136472]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 02:08 483328]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42 32768]
"nwiz"="nwiz.exe" [2008-05-03 11:16 1630208 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= vdrcodec.dll
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Spiele\\Codemasters\\GRID Demo\\GRID.exe"=
"D:\\Spiele\\Atari\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Spiele\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"D:\\Spiele\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\Programme\\Adobe\\Acrobat 7.0\\Acrobat\\Acrobat.exe"=

R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-07-12 01:24]
R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2008-04-21 23:27]
S3 NAL;Nal Service ;C:\WINDOWS\system32\Drivers\iqvw32.sys [2008-02-20 21:19]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
HKLM-Run-SetDefPrt - C:\Programme\Brother\Brmflp03\BrStDvPt.exe
HKLM-Run-PinnacleDriverCheck - C:\WINDOWS\system32\\PSDrvCheck.exu


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Master\Anwendungsdaten\Mozilla\Firefox\Profiles\jt3n96fp.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://cm.de.my.yahoo.com/
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Acrobat\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-21 01:52:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\BRSS01A.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\IDT\IntelXPV_v83\WDM\stacsv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
C:\Programme\IDT\WDM\sttray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
.
 

LMS

Stammgast
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-21 1:54:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-20 23:54:46

Pre-Run: 11 Verzeichnis(se), 475,432,341,504 Bytes frei
Post-Run: 14 Verzeichnis(se), 475,365,285,888 Bytes frei

208 --- E O F --- 2008-08-15 16:46:43


Gruss
LMS
 

Swisstreasure

Stammgast
LMS

Hast du Dir diesen Ordner selber angelegt:
C:\Temp\

Darin befinden sich einige Anwendungen die mir suspekt vorkommen:
C:\Temp\building_setupUK.zip
C:\Temp\truck_series_v2.0_1024.exe
C:\Temp\PCC_2007_Setup.exe
C:\Temp\Deutsch.zip
C:\Temp\ticonnect_deu.exe

Sagen Dir diese Anwndungen was?
Falls dies der normale temp.Ordner ist, dann lösche mit CCleaner die temp. Dateien.

>>
Scanne mit sdfix und poste das Log:
http://virus-protect.org/artikel/tools/sdfix.html

Gruss Swiss
 

LMS

Stammgast
Den Temp Ordner unter C habe ich selbst angelegt. Alle aufgeführten Dateien kenne ich. Es sind zum Teil Spieledemos. Mittlerweile habe ich aber die Dateien aus dem Ordner gelöscht und auch CCleaner nochmals laufen lassen.

Log von SDFix:


SDFix: Version 1.216
Run by Administrator on 21.08.2008 at 14:11

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-21 14:15:41
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40]
"ujdew"=hex:20,02,00,00,29,26,40,4f,c6,86,98,99,b9,9a,c7,84,f6,9b,cd,86,38,..
"ljej40"=hex:06,5f,c4,24,16,c7,d1,f0,2c,d7,da,f2,a5,4d,94,f6,2b,2b,6c,64,f6,..
"ljej41"=hex:df,5f,c4,24,6e,c7,d1,f0,2d,d7,db,f2,a4,4d,94,f6,2b,2b,6c,64,ca,..
"ljej42"=hex:df,5f,c4,24,6e,c7,d1,f0,2d,d7,db,f2,a4,4d,94,f6,2b,2b,6c,64,ca,..
"ljej43"=hex:df,5f,c4,24,6e,c7,d1,f0,2d,d7,db,f2,a4,4d,94,f6,2b,2b,6c,64,ca,..
"ljej44"=hex:df,5f,c4,24,6e,c7,d1,f0,2d,d7,db,f2,a4,4d,94,f6,2b,2b,6c,64,ca,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4596018B-17B1-2A65-EA40-644583B1C112}]
"haepmgfbpcpamjgm"=hex:66,61,65,70,67,6a,6e,68,69,61,6a,61,00,00
"haepmgfbjfbigdjb"=hex:64,63,6b,61,6e,67,63,6f,61,69,6c,6e,66,6b,67,6d,64,6e,67,6a,65,..
"iaepmgfbjekljfahlf"=hex:63,61,6c,62,65,6f,00,6f
"nagajedgfomkaajldnfllkjeffhj"=hex:6a,61,6b,62,6f,6d,6a,6b,63,66,6b,68,63,70,69,6b,66,70,64,67,00,..
"mamapchanadfmkjgpoagiemgpc"=hex:6a,61,6b,62,6f,6d,6a,6b,63,66,6b,68,63,70,69,6b,66,70,64,67,00,..
"iakpjgpdcgbdeainkh"=hex:62,61,69,62,00,6d

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
"D:\\Spiele\\Codemasters\\GRID Demo\\GRID.exe"="D:\\Spiele\\Codemasters\\GRID Demo\\GRID.exe:*:Enabled:GRID Demo"
"D:\\Spiele\\Atari\\Test Drive Unlimited\\TestDriveUnlimited.exe"="D:\\Spiele\\Atari\\Test Drive Unlimited\\TestDriveUnlimited.exe:*:Enabled:Test Drive Unlimited"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe:*:Enabled:Render Manager"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe:*:Enabled:Studio"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe:*:Enabled:PMSRegisterFile"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe:*:Enabled:umi"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"D:\\Spiele\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"="D:\\Spiele\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe:*:Enabled:Crysis_32"
"D:\\Spiele\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"="D:\\Spiele\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32"
"C:\\Programme\\Adobe\\Acrobat 7.0\\Acrobat\\Acrobat.exe"="C:\\Programme\\Adobe\\Acrobat 7.0\\Acrobat\\Acrobat.exe:*:Disabled:Acrobat.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"
Sun 6 Jul 2008 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Thu 17 Jul 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b76443b8c3e363672b10791338cc85db\BIT39.tmp"
Tue 5 Aug 2008 1,714 ...HR --- "C:\Dokumente und Einstellungen\Master\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!


Gruss
LMS
 

LMS

Stammgast
Vor dem Start der Schnellüberprüfung meldet Dr.Web, dass C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe wahrscheinlich mit DLOADER.Trojan infiziert ist. Ich habe die Datei noch über virustotal.com überprüfen lassen. Dort meldet Dr.Web diese auch als infiziert, aber die anderen Virenscanner zeigen nichts an.

Das Log von CureIt ist extrem lang. Genügt es, wenn ich nur den unteren Teil poste?


-----------------------------------------------------------------------------
Scanstatistiken
-----------------------------------------------------------------------------
Gescannt: 27572
Infizierte Objekte: 0
Modifikationen: 0
Verdächtige: 0
Adware: 0
Dialers: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 0
Ignoriert: 0
Geschwindigkeit:: 5754 Kb/s
Dauer:: 00:04:15
-----------------------------------------------------------------------------

=============================================================================
Gesamtsitzungsstatistiken
=============================================================================
Gescannt: 28608
Infizierte Objekte: 0
Modifikationen: 0
Verdächtige: 1
Adware: 0
Dialers: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 0
Ignoriert: 0
Geschwindigkeit:: 6063 Kb/s
Dauer:: 00:04:31
=============================================================================



Gruss
LMS
 

Swisstreasure

Stammgast
LMS

Ich denke mal es dürfte sich um eine False Meldung handeln.

Prüfe jedoch noch folgende Dateien bei www.virustotal.com/de
C:\Temp\doeit.exe
C:\Temp\logm3010.exe

Zudem hast du wie man sieht Acronis auf deinem System. Da wäre auch möglich ein Backup einzuspielen?!

Gruss Swiss
 

LMS

Stammgast
Die beiden Dateien werden als nicht verdächtig gemeldet und sind mir auch als heruntergeladene Dateien bekannt.

Das ist auch meine Idee, auf ein Backup zurückzugreifen. Ich habe mir einfach gedacht, dass man dann allenfalls trotzdem nicht die Sicherheit hat, ob damit das Problem beseitigt ist, weil ein allfälliger Trojaner evtl. bereits in einem Backup steckt.

Würdest du sagen, dass trotz negativen Tests das Risiko einer Infizierung besteht? Soll ich's mal mit einem Backup probieren und dann schauen ob sich das System verdächtig verhält? Evtl. dann nochmals die fragliche Website besuchen um feststellen zu können, ob wieder ein Fenster aufpoppt?

Was mir mit XP Antivirus 2009/2008 nicht klar ist, ob man bei Erscheinen des Popups bereits davon ausgehen muss, dass das System infiziert ist oder ob man sich das Problem erst mit einem Klick auf "OK" oder "Abbrechen" einheimst. Womöglich lässt sich das nicht klar sagen, weil vielleicht verschiedene Varianten existieren.

Gruss
LMS
 

Swisstreasure

Stammgast
LMS

Also dein System scheint wieder sauber zu sein. Das Backup wäre eine Lösung, aber so kannst du wieter arbeiten wenn dein PC keine Probleme mache, ansonsten spiele das Backup ein und schau, ob es besser ist :)

Also zu den POP Ups: IE hat einen Pop Up blocker. Wenn jedoch trotzdem Pop Ups erscheinen und dieses sogar noch Meldungen wie your System is infected with spyware oder ähnliches steht, dann dürfte die Verseuchung bereits auf dem System vorhanden sein.

Hast du denn jetzt noch Pop Ups oder andere Probleme?

Gruss Swiss
 

LMS

Stammgast
Ich surfe hauptsächlich mit dem Firefox und dort sind die Pop-Ups auch erschienen. Wie beim IE habe ich aber auch beim Firefox die Blockierung von Pop-Ups aktiviert. Zudem habe ich beim Firefox auch das Add-on Adblock Plus installiert.

Die einzige Seite, wo die Pop-Ups 2x erschienen sind, habe ich nicht mehr angesurft. Das war eigentlich bis anhin das einzige Anzeichen für eine Infektion. Das Problem, dass Malwarebytes nur unter einem Konto mit eingeschränkten Rechten aktualisiert werden kann, besteht nicht mehr! Ansonsten ist mir weiter nichts mehr Verdächtiges aufgefallen.

Ich glaube, so sollte es i.O. sein.

Dir vielen Dank für deine Hilfe. Das Durchstöbern von Logs braucht sicher viel Zeit und Ausdauer. Ganz ganz herzlichen Dank.

Gruss
LMS
 

Swisstreasure

Stammgast
LMS

Dann viel Spass beim surfen, jedoch aufgepasst beim klicken ;)

Falls du noch Probleme bekommst, dann melde Dich wieder.

Gruss Swiss
 
Oben