Stanit auf Rechner gehabt...jetzt sauber?

#1 Hallo,

ich hatte Stanit auf meinem Rechner und habe nun zumindest mal meine Systempartition komplett gelöscht und neu installiert. Dazu noch einige Programme...nun die Frage, ob im Moment alles ok ist.
Das Log von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 20:58:23, on 12.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
E:\Programme\Eset\nod32krn.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\Programme\Eset\nod32kui.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Programme\WirelessBooster\WBTray.exe
E:\Programme\Logitech\MouseWare\system\em_exec.exe
E:\Programme\DU Meter\DUMeter.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\PROGRA~1\ICQLite\ICQLite.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE
D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WirelessBooster Component - {7DAAC7DE-9EF0-4FF0-BFA5-AFF3E899054C} - E:\Programme\WirelessBooster\TweakBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [nod32kui] "E:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Zone Labs Client] E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TweakMASTER] E:\Programme\WirelessBooster\WBTray.exe
O4 - HKLM\..\Run: [DU Meter] E:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - E:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe


Ein Scan mit Nod32 hat nur einige Dateien gebracht auf die nicht zugegriffen werden kann, aber keine Infektionen; egal auf welcher Partition.

Danke!

Nuk3011

#2

Zitat

nun die Frage, ob im Moment alles ok ist.

Jein. Du könntest beispielsweise noch alle verfügbaren WindowsUpdates installieren und statt des Internet Explorers Alternativen wie Firefox oder Opera benutzen (O-Ton aus der CHIP: "Wer heute noch Internet Explorer nutzt, ist selbst schuld!")
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Habe gestern noch alle Updates, die für das SP1 verfügbar sind installiert (nach dem obigen Scan); ok SP2 wäre eine Möglichkeit, aber das letzte Mal (kurz nach erscheinen) gab´s nur Probleme. Anderer Webbrowser wäre noch möglich.
Danke schonmal.

Nuk3011

#4 Hallo allerseits

Da der andere Thread schon geschlossen ist, poste ich hier einfach mal rein. Kann sich mal einer das log ansehen und mir sagen, wie bzw. wo ich da Stanit drin hab? Hab das Vieh seit heute erst

Logfile of HijackThis v1.99.1
Scan saved at 22:45:28, on 19.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Winamp\winampa.exe
E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
E:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\MSN Messenger\MsnMsgr.Exe
E:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\Skype\Phone\Skype.exe
E:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Rainlendar\Rainlendar.exe
E:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
E:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
E:\Programme\Jana2\Janad.exe
E:\WINDOWS\system32\oodag.exe
E:\WINDOWS\system32\wuauclt.exe
E:\WINDOWS\system32\wscntfy.exe
E:\WINDOWS\system32\taskmgr.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
E:\WINDOWS\system32\svchost.exe
E:\PROGRA~1\Yahoo!\MESSEN~1\YServer.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\FlashFXP\flashfxp.exe
E:\DOKUME~1\Didi\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - E:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - E:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - E:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [MessengerPlus3] "E:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] E:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: Stardock ObjectDock.lnk = E:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = E:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = E:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - E:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - E:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - E:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA28B2C8-C860-4BFC-9AD0-1255EFC933FE}: NameServer = 217.237.150.141 217.237.151.161
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Jana Server 2 (Janad) - Thomas Hauck, Privat - E:\Programme\Jana2\Janad.exe
O23 - Service: O&O Defrag - O&O Software GmbH - E:\WINDOWS\system32\oodag.exe

#5 Hallo@defrozer

lade mal die Enternungstools, deaktiviere die Systemwiederherstellung und beende alle Freigaben
http://virus-protect.org/virus/stanit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Hallo@Sabina,

Die Freigaben hab ich gestern alle beendet und heute Nacht noch mehrmals mit Kaspersky online gescannt. Dabei hab ich ALLE infizierten *.exe-Dateien gelöscht und nochmal gescannt. Die einzigen Dateien, an die ich nicht drankomme, sind die in D:\System Value Information. Da kriege ich die Meldung "Zugriff verweigert"

Der Link für das Enternungstool existiert nicht mehr "Server nicht gefunden"

LG, defrozer

#7 der Server hatte/hat eine Macke...jetzt geht er wieder
http://virus-protect.org/virus/stanit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Danke

Ich scanne grad nochmal mit Panda, dann laß ich das Entfernungstool nochmal laufen und anschließend kille ich mal alle Wiederherstellungspunkte... angeblich soll das dann wieder gehen, weil Stanit nur noch da dran hängt.

Sämtliche infizierten *.exe-Dateien hab ich ja schon gelöscht *seufz*

#9 und deaktiviere die Systemwiederherstellung
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Ja, das mein ich ja

Kann ich die eigentlich wieder aktivieren, wenn ich z. B. von Kaspersky als "clean" gescannt bin? Oder bleiben die Einträge im System (incl. Stanit) erhalten?

#11 wenn du die systemwiederherstellung deaktivierst und neubootest, werden alle Wiederherstellungspunkte geloescht.
dann kannst du, wenn alles clean ist, das Haekchen wieder setzen.
__________
MfG Sabina

rund um die PC-Sicherheit

#12 danggöööööööööööööööööööööööööööö

Bin wieder Clean *freu*