RSIT Log bitte prüfen auf Trojaner!

#0
26.08.2009, 00:02
Moderator

Beiträge: 5694
#16 Ist es nun möglich Malwarebytes zu installieren und zu starten? Evtl musst Du die Insatlldatei in Scan.exe umbenennen vor dem Installieren ;)

Gruss Swiss
Seitenanfang Seitenende
26.08.2009, 11:53
Member

Themenstarter

Beiträge: 15
#17 Hallo,
ja Malwarebytes war sogar schon bereits installiert gewesen.
Lässt sich auch problemlos starten.
Soll ich Scan durchlaufen lassen oder was anderes?

MfG
Seitenanfang Seitenende
26.08.2009, 12:35
Moderator

Beiträge: 5694
#18 Ach so, ich dacht es geht nich:

Zitat

-> Malewarebytes lies sich jetzt zwar installieren, aber leider immer noch nicht starten!
Na dann Updaten und Fullscan, poste das LOg.

Gruss Swiss
Seitenanfang Seitenende
26.08.2009, 19:10
Member

Themenstarter

Beiträge: 15
#19 Hallo,
so mit Scan hat soweit alles funktioniert.
Hatte auch drei Funde gemacht, habe diese aber nicht entfernt.
Da sie gesagt hatten nur Fullscan machen und Log posten.

Anbei die Log:

Zitat

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2697
Windows 5.1.2600 Service Pack 2

26.08.2009 16:33:20
mbam-log-2009-08-26 (16-33-13).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 167799
Laufzeit: 40 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Rühle\Desktop\reconnect_fritzBox\reconnect_fritzBox\nc.exe (PuP.Keylogger) -> No action taken.
C:\System Volume Information\_restore{2F62AAA3-820D-4A92-A126-A29F654292D8}\RP1\A0000003.exe (Trojan.Banker) -> No action taken.
C:\System Volume Information\_restore{2F62AAA3-820D-4A92-A126-A29F654292D8}\RP2\A0000045.exe (Trojan.Banker) -> No action taken.
Vielen Dank!
Seitenanfang Seitenende
26.08.2009, 19:54
Moderator

Beiträge: 5694
#20 Hmm weisst du was Du hier auf den Desktop geladen hast und warum?

Zitat

C:\Dokumente und Einstellungen\Rühle\Desktop\reconnect_fritzBox\reconnect_fritzBox\nc.exe
Dürfte den Ausschlag für die Infizierung gewesen sein.

Lade die Datei bei www.virustotal.com/de hoch und poste das Log:

C:\Dokumente und Einstellungen\Rühle\Desktop\reconnect_fritzBox\reconnect_fritzBox\nc.exe


Gruss Swiss
Seitenanfang Seitenende
26.08.2009, 23:43
Member

Themenstarter

Beiträge: 15
#21 Hallo,
ja den Ordner habe ich schon länger bei mir drauf, seit 3/4 Jahr bestimmt.
Hauptbestandteil des Ordners ist eine reconnect.bat und nc.exe.
Ausgeführt laut meines Wissens habe ich bisher nur die reconnect.bat.
Ist ein Programm was ich mal im Forum gefunden was einen reconnect macht mit der Fritzbox. Also die Fritzbox wird sozusagen reconnect und bekommt eine neue IP.
Habe sie mal bei Virustotal hochgeladen anbei die Log.


Zitat

Datei nc.exe empfangen 2009.08.26 21:30:02 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 24/41 (58.54%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.26 -
AhnLab-V3 5.0.0.2 2009.08.26 -
AntiVir 7.9.1.7 2009.08.26 SPR/Tool.NetCat.B
Antiy-AVL 2.0.3.7 2009.08.24 RemoteAdmin/Win32.NetCat.gen
Authentium 5.1.2.4 2009.08.26 W32/Netcat
Avast 4.8.1335.0 2009.08.26 -
AVG 8.5.0.406 2009.08.26 RemoteAdmin.BX
BitDefender 7.2 2009.08.26 -
CAT-QuickHeal 10.00 2009.08.25 Trojan.Agent.WC
ClamAV 0.94.1 2009.08.26 PUA.NetTool.Netcat-6
Comodo 2100 2009.08.26 ApplicUnsaf.Win32.RemoteAdmin.NetCat
DrWeb 5.0.0.12182 2009.08.26 Tool.Netcat
eSafe 7.0.17.0 2009.08.26 Win32.Banker
eTrust-Vet 31.6.6703 2009.08.26 -
F-Prot 4.5.1.85 2009.08.26 W32/Netcat
F-Secure 8.0.14470.0 2009.08.26 Riskware:W32/NetCat.C
Fortinet 3.120.0.0 2009.08.26 HackerTool/Nt110
GData 19 2009.08.26 -
Ikarus T3.1.1.68.0 2009.08.26 -
Jiangmin 11.0.800 2009.08.26 Trojan/VulnWatch.a
K7AntiVirus 7.10.828 2009.08.26 Non-Virus:RemoteAdmin.Win32.NetCat
Kaspersky 7.0.0.125 2009.08.26 not-a-virus:RemoteAdmin.Win32.NetCat.a
McAfee 5721 2009.08.26 -
McAfee+Artemis 5721 2009.08.26 -
McAfee-GW-Edition 6.8.5 2009.08.26 Heuristic.LooksLike.Win32.NetCat.L
Microsoft 1.4903 2009.08.26 -
NOD32 4371 2009.08.26 Win32/RemoteAdmin.NetCat
Norman 2009.08.26 -
nProtect 2009.1.8.0 2009.08.26 -
Panda 10.0.2.2 2009.08.26 -
PCTools 4.4.2.0 2009.08.26 Backdoor.NetCat32.C
Prevx 3.0 2009.08.26 -
Rising 21.44.11.00 2009.08.25 Backdoor.Win32.Gpigeon.dkl
Sophos 4.44.0 2009.08.26 NetCat
Sunbelt 3.2.1858.2 2009.08.26 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.08.26 -
TheHacker 6.3.4.3.388 2009.08.25 Aplicacion/NetCat
TrendMicro 8.950.0.1094 2009.08.26 -
VBA32 3.12.10.10 2009.08.26 -
ViRobot 2009.8.26.1903 2009.08.26 Not_a_virus:RemoteAdmin.NetCat.61440
VirusBuster 4.6.5.0 2009.08.26 Backdoor.NetCat32.C
weitere Informationen
File size: 61440 bytes
MD5...: ab41b1e2db77cebd9e2779110ee3915d
SHA1..: 4122cf816aaa01e63cfb76cd151f2851bc055481
SHA256: 7379c5f5989be9b790d071481ee4fdfaeeb0dc7c4566cad8363cb016acc8145e
ssdeep: 1536:8LJg1OAEuxWhXTmNquG9L0RT/ADGRMlu:8LJlAEuxAWqu3ZMlu
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4ac3
timedatestamp.....: 0x41d2f254 (Wed Dec 29 18:07:16 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x996e 0xa000 6.48 014f752b6e761829411f992e0f124480
.rdata 0xb000 0x27aa 0x3000 4.61 b91b2055581dccc9493b9abe4e260eb6
.data 0xe000 0x1e04 0x1000 1.19 b159ba52d81d69143e0d3b16b760c17a

( 2 imports )
> WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> KERNEL32.dll: GetSystemTimeAsFileTime, CreateFileA, GetNumberOfConsoleInputEvents, PeekConsoleInputA, LCMapStringW, LCMapStringA, GetSystemInfo, VirtualProtect, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, HeapSize, SetStdHandle, SetFilePointer, SetEnvironmentVariableA, GetOEMCP, GetACP, CompareStringW, GetCPInfo, MultiByteToWideChar, CompareStringA, VirtualQuery, InterlockedExchange, GetLastError, CloseHandle, CreateProcessA, DuplicateHandle, GetCurrentProcess, ExitThread, Sleep, ReadFile, PeekNamedPipe, WriteFile, CreatePipe, DisconnectNamedPipe, TerminateProcess, WaitForMultipleObjects, TerminateThread, CreateThread, GetStdHandle, FreeConsole, ExitProcess, HeapFree, HeapAlloc, GetProcAddress, GetModuleHandleA, SetEndOfFile, GetCommandLineA, GetVersionExA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetModuleFileNameA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, WideCharToMultiByte, SetHandleCount, GetFileType, GetStartupInfoA, FlushFileBuffers, RtlUnwind, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, LoadLibraryA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=ab41b1e2db77cebd9e2779110ee3915d' target='_blank'>http://www.threatexpert.com/report.aspx?md5=ab41b1e2db77cebd9e2779110ee3915d</a>
Besten Dank...
Seitenanfang Seitenende
26.08.2009, 23:50
Moderator

Beiträge: 5694
#22 Hmm woher hast Du diese Datei? Aus einer vertrauenswürdigen Quelle? Es kann natürlich sein dass diese Aufgrund des Verwendungszwecks Virencharakter aufweist und folglich erkannt wird als ein solches. Falls Du sie nicht benötigst, dann lösche sie.

Scanne mit CureIT und poste das Log:
http://board.protecus.de/t29350-1.htm

Gruss Swiss
Seitenanfang Seitenende
27.08.2009, 12:06
Member

Themenstarter

Beiträge: 15
#23 OK, ich habe die nc.exe nun gelöscht.
Anbei die Logs.



Zitat

-----------------------------------------------------------------------------
Scanstatistiken
-----------------------------------------------------------------------------
Gescannt: 309654
Infiziert: 1
Modifikationen: 0
Verdächtig: 0
Adware: 0
Dialer: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 1
Desinfiziert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 2
Ignoriert: 0
Geschwindigkeit:: 669 Kb/s
Dauer:: 01:40:11
-----------------------------------------------------------------------------

=============================================================================
Gesamtsitzungsstatistik
=============================================================================
Gescannt: 309663
Infiziert: 1
Modifikationen: 0
Verdächtig: 0
Adware: 0
Dialer: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 1
Desinfiziert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 2
Ignoriert: 0
Geschwindigkeit:: 669 Kb/s
Dauer:: 01:40:13
=============================================================================

Zitat

A0006348.exe C:\System Volume Information\_restore{2F62AAA3-820D-4A92-A126-A29F654292D8}\RP5 Tool.Netcat Verschoben.
12b2abe.msi\stream009 C:\WINDOWS\Installer\12b2abe.msi Trojan.Chrome.origin
12b2abe.msi C:\WINDOWS\Installer Archiv enthält infizierte Objekte Verschoben.

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:28:55, on 27.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Google\Update\1.2.183.7\GoogleCrashHandler.exe
P:\Programme\Sonstige\BlueSoleil\BlueSoleil.exe
P:\Programme\Sonstige\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
P:\Programme\Sonstige\BlueSoleil\BTNtService.exe
C:\Programme\Java\jre6\bin\jqs.exe
P:\Programme\Internet\Advanced VPN Client\ncpclcfg.exe
P:\Programme\Internet\Advanced VPN Client\ncprwsnt.exe
P:\Programme\Internet\Advanced VPN Client\ncpsec.exe
C:\WINDOWS\system32\nvsvc32.exe
P:\Programme\Internet\Advanced VPN Client\rwsrsu.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - P:\Programme\Office\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - P:\Programme\Office\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - P:\Programme\Hardware\Drucker\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - P:\Programme\Internet\robocom\roboform.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - P:\Programme\Office\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: BlueSoleil.lnk = P:\Programme\Sonstige\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = P:\Programme\Sonstige\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = P:\Programme\Sonstige\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://P:\Programme\Office\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://P:\Programme\Office\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://P:\Programme\Office\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://P:\Programme\Office\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://P:\Programme\Hardware\Drucker\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://P:\Programme\Hardware\Drucker\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://P:\Programme\Hardware\Drucker\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://P:\Programme\Hardware\Drucker\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://P:\Programme\Office\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://P:\Programme\Office\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://P:\PROGRA~1\Office\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Formular ausfüllen - file://P:\Programme\Internet\robocom\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://P:\Programme\Internet\robocom\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://P:\Programme\Internet\robocom\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://P:\Programme\Internet\robocom\RoboFormComShowToolbar.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://P:\Programme\Office\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://P:\Programme\Office\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://P:\Programme\Internet\robocom\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://P:\Programme\Internet\robocom\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://P:\Programme\Internet\robocom\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://P:\Programme\Internet\robocom\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://P:\Programme\Internet\robocom\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://P:\Programme\Internet\robocom\RoboFormComShowToolbar.html
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - P:\Programme\Sonstige\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - P:\Programme\Sonstige\BlueSoleil\BTNtService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Update Service (gupdate1c9891622ea6ae6) (gupdate1c9891622ea6ae6) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Unknown owner - P:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: ncpclcfg - Unknown owner - P:\Programme\Internet\Advanced VPN Client\ncpclcfg.exe
O23 - Service: ncprwsnt - NCP Engineering GmbH - P:\Programme\Internet\Advanced VPN Client\ncprwsnt.exe
O23 - Service: NcpSec - Unknown owner - P:\Programme\Internet\Advanced VPN Client\ncpsec.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: RwsRsu (rwsrsu) - Unknown owner - P:\Programme\Internet\Advanced VPN Client\rwsrsu.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 11413 bytes
Vielen Dank
Seitenanfang Seitenende
28.08.2009, 00:21
Moderator

Beiträge: 5694
#24 >>>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

>>
Download OTM.exe zum Desktop
http://oldtimer.geekstogo.com/OTM.exe

Oeffne:OTM.exe
(Vista benutzer, rechtsklick auf OTM.exe und waehle "Run as Administrator")

OTM auf dem Desktop speichern

OTM.exe klicken

1. klicken: CleanUp! button

2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!)

3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

so wird von OTM automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden

>>
Systemwiederherstellung deaktivieren (XP):

Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen. (also wieder aktivieren)

>>
Noch Probleme?

>>
Besuche WIndowsupdates und führe alle aus:

Gruss Swiss[/u]
Seitenanfang Seitenende
31.08.2009, 08:52
Member

Themenstarter

Beiträge: 15
#25 Hallo Swiss,
erst mal vielen herzlichen Dank für deine Mühe und Zeit die du dir genommen hast bis hier hin!!!

So anbei die Log noch Bitdefender:

Zitat

BitDefender Online Scanner



Scan report generated at: Sat, Aug 29, 2009 - 13:52:24





Scan path: C:\;







Statistics

Time
01:20:22

Files
469185

Folders
9131

Boot Sectors
0

Archives
9117

Packed Files
15808




Results

Identified Viruses
0

Infected Files
0

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
0




Engines Info

Virus Definitions
3916470

Engine build
AVCORE v2.1 Windows/i386 11.0.0.26 (Jul 24 2009)

Scan plugins
17

Archive plugins
45

Unpack plugins
7

E-mail plugins
6

System plugins
4




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

No virus found.
-> OTM wurde ausgeführt!
-> Systemwiederherstellung wieder aktiviert!

Nun wurde durch OTM.exe folgende Programme nicht entfernt:
- HiJackThis
- SuperAnti Spyware (startet sogar beim hochfahren und läuft während des Betriebes im Hintergrund)
- Malwarebytes
- Cureit
- Rootrepeal (befindet sich nur aufm Desktop)

Soll ich diese Programme nun auch manuell entfernen oder auf dem Rechner drauf behalten?

Probleme:
- Sind mir bisher noch keine aufgefallen, außer das die Windows Desktop Oberfläche etwas verändert wurde, was ich aber manuell wieder abändern kann.
- Ansonsten ist mir nur aufgefallen,weiß nicht ganz genau ob das vorher auch schon so gewesen war oder nicht. Das viele Dateien nun blaue statt schwarze Schrift haben. Ich weiß von daher nicht ob dies durch die Reinigung entstanden ist oder wirklich schon vorher gewesen war.
Weißt du darüber Bescheid?

Nun ist natürlich auch meine Schlussfrage, wie sicher ist nun wieder mein System. Bestehen ncoh Gefahren das sich versteckte Viren, Rootkits und Trojaner im System befinden oder ehr unwahrscheinlich. Denn mir gerade es jetzt gerade darum in dem Bereich ob ich nun wieder uneingeschränkt Mailing und Onlinebanking machen kann, oder ob da auch jetzt noch Gefahren bestehen. Dies ist eben derzeit noch ein Punkt der mir noch wenig Bauchschmerzen bereitet.

Würde mich freuen wenn du dich dazu noch mal äußern könntest.

Besten Dank...
Seitenanfang Seitenende
31.08.2009, 14:33
Moderator

Beiträge: 5694
#26 Hallo

Die Programme kannst du entfernen über Software. Malwarebytes würde ich behalten und ab und zu anwenden (vorher updaten)

Die blaue Schrift zeigt an, das der entsprechende Ordner komprimiert oder verschlüsselt ist.. (unter NTFS)

Man kann die blau dargestellten Ordner wieder in schwarz dargestellte "zurückverwandeln" indem man in den Ordneroptionen den Haken herausnimmt..

Dazu einfach eine beliebige Datei öffnen und unter Extras->Ordneroptionen->Ansicht, herunterscrollen bis zur Option:"verschlüsselte oder komprimierte NTFS Dateien in anderer Farbe anzeigen" und hier den Haken herausklicken..

Also wie bereits erwähnt, kann man nach einer solchen Verseuchung nicht 100% sicher sein, dass nicht irgendwelche Datein gestohlen wurden. Aber wenn Du ALLES Passwörter wechselts und nun auch auf etwaige Veränderungen achtest, dann bist Du auf der sicheren Seite.

Gruss Swiss
Seitenanfang Seitenende
24.09.2009, 17:08
Member

Themenstarter

Beiträge: 15
#27 Hallo Swisstreasure,
sorry das ich mich so lange nicht mehr gemeldet hatte.
Wollte mich bloß noch mal ganz herzlich bedanken für deine Hilfe und deine Mühe.
Und deine Hilfe wäre bestimmt nicht weiterkommen ohne das System komplett neu aufzusetzen.

Also vielen vielen dank noch mal.

Kannst du mir nur noch Tips mit auf den Weg geben, das ich mir nicht wieder solhce Sachen einfange.

Vielen Dank!

TommyXP08
Seitenanfang Seitenende
25.09.2009, 01:02
Moderator

Beiträge: 5694
#28 Danke für die Rückmeldung.

Bezüglich Deiner Frage gibt es hier eine gute Lektüre:
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/114329-paules-10-empfehlungen-zum-sicheren-surfen-im-internet.html

Gruss Swiss
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: