Neuaufsatz bei sdra64?

#0
30.12.2009, 20:09
...neu hier

Beiträge: 6
#1 Neu installieren sinnvoll bei SDRA64 Befall?

Guten Abend,

nach einem Update findet Avira den Schädling sdra64. und hat das in Quaratäne verschoben aber nicht beseitigt.
Nun habe ich mich mal vorab schlau gemacht was darunter zu verstehen ist. Das Ding greift auf das Online Banking zu . Natürlich sehr gefährlich.

Diese Bank- Anwendung wurde auf dem Rechner daher erstmal eingestellt. Bank ist informiert. Neue Tan Listen sind bestellt, alle diesbezüglichen Kennwörter von einem sauberem System aus geändert.

Meine Fragen:
Kann das Internet weiter benutzt werden um die Bekämpfung zu ermögliche, oder müsste das runterladen alles über einen Zweitrechner gehen? ?

Ist Beseitigung überhaupt sinnvoll bzw kriegt man alles weg. ? Oder wirklich knifflig wie ich hier gelesen habe.

Ist es nicht ggfs. zweckmäßig gleich WIN 7 aufzuspielen?Wird ja eigentlich empfolen .
Datensicherung könnte ich mit einer externer Maxtorplatte machen.

Desweiteren möchte ich fragen, wie igfxtray.exe zu behandeln ist. (in System 32) Einerseite liest man harmlos und dann wieder das sei auch ein Virus. Ich wird nicht ganz schlau draus.

Avira-scan mit den Betreffenden Stellen (sonst keine Meldungen) und Hijack anbei
Ich lese immer bei Hijack soll gefixt werden. Was bedeutet das?

Viele Grüße Micha

------Kurzfassung-----
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 30. Dezember 2009 18:02

Es wird nach 1488341 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HOME

Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 10:58:47
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 10:58:47
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 10:58:48
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 10:58:48
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 10:58:48
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 10:58:48
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 10:58:49
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 10:58:49
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 10:58:49
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 10:58:49
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 10:58:49
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 10:58:49
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 10:58:50
VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 10:58:52
VBASE015.VDF : 7.10.1.178 195584 Bytes 07.12.2009 10:58:54
VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 10:58:55
VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 10:58:57
VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 10:58:58
VBASE019.VDF : 7.10.2.63 187392 Bytes 24.12.2009 10:59:00
VBASE020.VDF : 7.10.2.64 2048 Bytes 24.12.2009 10:59:00
VBASE021.VDF : 7.10.2.65 2048 Bytes 24.12.2009 10:59:00
VBASE022.VDF : 7.10.2.66 2048 Bytes 24.12.2009 10:59:00
VBASE023.VDF : 7.10.2.67 2048 Bytes 24.12.2009 10:59:01
VBASE024.VDF : 7.10.2.68 2048 Bytes 24.12.2009 10:59:01
VBASE025.VDF : 7.10.2.69 2048 Bytes 24.12.2009 10:59:01
VBASE026.VDF : 7.10.2.70 2048 Bytes 24.12.2009 10:59:01
VBASE027.VDF : 7.10.2.71 2048 Bytes 24.12.2009 10:59:01
VBASE028.VDF : 7.10.2.72 2048 Bytes 24.12.2009 10:59:02
VBASE029.VDF : 7.10.2.73 2048 Bytes 24.12.2009 10:59:02
VBASE030.VDF : 7.10.2.74 2048 Bytes 24.12.2009 10:59:02
VBASE031.VDF : 7.10.2.91 208384 Bytes 30.12.2009 10:59:03
Engineversion : 8.2.1.122
AEVDF.DLL : 8.1.1.2 106867 Bytes 08.11.2009 06:38:52
AESCRIPT.DLL : 8.1.3.4 586105 Bytes 30.12.2009 10:59:17
AESCN.DLL : 8.1.3.0 127348 Bytes 30.12.2009 10:59:16
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 30.12.2009 10:59:15
AEPACK.DLL : 8.2.0.3 422261 Bytes 08.11.2009 06:38:40
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.189 2195833 Bytes 30.12.2009 10:59:13
AEHELP.DLL : 8.1.9.0 237943 Bytes 30.12.2009 10:59:07
AEGEN.DLL : 8.1.1.82 369014 Bytes 30.12.2009 10:59:06
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.9.1 180598 Bytes 30.12.2009 10:59:04
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +PFS,+SPR,



Beginn des Suchlaufs: Mittwoch, 30. Dezember 2009 18:02

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\sdra64.exe
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bad8861.qua erstellt ( QUARANTÄNE )
c:\windows\system32\lowsec\local.ds
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b9e886c.qua erstellt ( QUARANTÄNE )
c:\windows\system32\lowsec\user.ds
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4ba08870.qua erstellt ( QUARANTÄNE )
c:\windows\system32\lowsec\user.ds.lll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a353d01.qua erstellt ( QUARANTÄNE )
c:\windows\system32\lowsec
[INFO] Das Verzeichnis ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bb2886c.qua erstellt ( QUARANTÄNE )
Es wurden '56497' Objekte überprüft, '5' versteckte Objekte wurden gefunden.

Sonst keine Meldungen über Funde. Im Avira



Logfile of HijackThis v1.99.1
Scan saved at 19:28:48, on 30.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Maxtor\Maxtor Backup\MaxBackServiceInt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Maxtor\OneTouch\Utils\SyncServices.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
G:\Löffler\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe
O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [SfWinStartInfo] "C:\Programme\SFirm32\sfWinStartupInfo.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MaxBackServiceInt - Unknown owner - C:\Programme\Maxtor\Maxtor Backup\MaxBackServiceInt.exe
O23 - Service: MaxSyncService (NTService1) - - C:\Programme\Maxtor\OneTouch\Utils\SyncServices.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
Seitenanfang Seitenende
30.12.2009, 23:49
Moderator

Beiträge: 5694
#2 Hallo seiler991


Da Dein Computer mit einer sog. Backdoor (Hintertür) infiziert ist, lies Dir diesen Beitrag sehr aufmerksam durch. Eine Backdoor versteckt sich durch ein Rootkit. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen.

Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädling kann alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch Mitloggen der Tastatur-Eingaben ausspionieren. Mit diesem System auf keinen Fall mehr Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen.

Bitte trenne den Computer während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit eine Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen.

Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet.

Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss.


Da der Computer aktuell als komprimitiert eingestuft wird, unbedingt den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Mit diesem Computer keinesfalls Online-Banking, Filesharing, Mailing oder Messaging betreiben.
Keine Up- und Downloads, außer auf Security-Seiten.
Alle auf diesem System gespeicherten Passwörter von einem garantiert sauberen Rechner aus durch neue ersetzen.
Mehr Information zum Thema, siehe auch System-Sicherheit
.
Seitenanfang Seitenende
31.12.2009, 12:41
...neu hier

Themenstarter

Beiträge: 6
#3 Guten Tag,
danke für die klare Antwort.
ich habe da seinerzei eine sog. Restore Plus! CD von HP zum Rechner dazu bekommen. Dort steht, amn kann damit das Neuistallieren machen. Desweitren gibt es Operating System CD MS XP Sp 2 dazu.
Laut der Restore CD kann man vollständig neuspielen (mit Formation der Platte oder nur
XP neu spielen. Ich nehme mal an des erstere ist das richtige. Reicht das aus um das Ding sauber zu kriegen. ?


Eine CD direkt von Windows hab ich nicht

An Daten sind übliche Office dateien auf den Rechner, einige CAD daten und jpg udn PDF. Ausführbares ist nicht bei. Sicherkopien kann ich mit einer exteren Platte machen. Bestejt hier Gefahr was zu vercshleppen?
Die Progarmem hab ich ale CD da
DAs Internet geht über Mobilstick von Vodafone Ich würde den erst nach Neubau des system wieder anschließen.

Vielen dank und Guten Rutsch
Micha
Seitenanfang Seitenende
31.12.2009, 16:39
Moderator

Beiträge: 5694
#4 Genau, du musst das ganze formatieren. Halte Dich einfach an diese Anleitung.

Gruss und auch Dir einen guten Rutsch.
Seitenanfang Seitenende
01.01.2010, 19:25
...neu hier

Themenstarter

Beiträge: 6
#5 Also gut.
Bisher überschaubarer Reparaturaufwand.
Ich habe folgendes gemacht:
Daten gesichert
Rechner neu aufspielen lassen mit Restore CD
Admin und 1 Nutzer neu angemeldet
Vodafone mit Internetstick Verbindung hergestellt
Avira neu heruntergeladen
Scannen lassen und Highjack gemacht
Protecus aufgerufen .
Und anbei die beiden logs gesendet
Keine weiteren Seiten besucht.

Kann ich weitgehend, davon ausgehen das das Ding jetzt sauber ist?
Ich lese, bei Wechseldaten trägern soll auf eine Datei Autorun geachtet werden, die nicht da sein darf, damit keine
neue Verseuchung eintritt. Diese Datei gibt es bei meiner Externen Platte nicht, ist das damit sauber?
Ich lasse trotzdem Avira über die Daten drüberlaufen. Reicht dass aus? Sind Sonstige Maßnahmen für die Sicherheit der eigenen Anwendungsdaten nötig?
Anwendungen sind noch nicht neu installiert.
Wie ist weiter vorzugehen.?
Welche Virenprogramm soll ich kaufen, damit mir das nicht wieder passiert?
Gruß Micha


Logfile of HijackThis v1.99.1
Scan saved at 16:59:58, on 01.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\MAKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\MAKHKEY.EXE
C:\Dokumente und Einstellungen\Michael_Admin\Eigene Dateien\Diagnose\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [MAKTray] MAKTray.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 1. Januar 2010 18:39

Es wird nach 1493594 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HP87149453239

Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:38:23
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 17:38:23
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 17:38:23
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 17:38:23
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 17:38:24
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 17:38:24
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 17:38:24
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 17:38:24
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 17:38:25
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 17:38:25
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 17:38:25
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 17:38:25
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 17:38:27
VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 17:38:28
VBASE015.VDF : 7.10.1.178 195584 Bytes 07.12.2009 17:38:29
VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 17:38:31
VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 17:38:32
VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 17:38:33
VBASE019.VDF : 7.10.2.63 187392 Bytes 24.12.2009 17:38:35
VBASE020.VDF : 7.10.2.93 195072 Bytes 29.12.2009 17:38:36
VBASE021.VDF : 7.10.2.94 2048 Bytes 29.12.2009 17:38:36
VBASE022.VDF : 7.10.2.95 2048 Bytes 29.12.2009 17:38:37
VBASE023.VDF : 7.10.2.96 2048 Bytes 29.12.2009 17:38:37
VBASE024.VDF : 7.10.2.97 2048 Bytes 29.12.2009 17:38:37
VBASE025.VDF : 7.10.2.98 2048 Bytes 29.12.2009 17:38:37
VBASE026.VDF : 7.10.2.99 2048 Bytes 29.12.2009 17:38:37
VBASE027.VDF : 7.10.2.100 2048 Bytes 29.12.2009 17:38:37
VBASE028.VDF : 7.10.2.101 2048 Bytes 29.12.2009 17:38:38
VBASE029.VDF : 7.10.2.102 2048 Bytes 29.12.2009 17:38:38
VBASE030.VDF : 7.10.2.103 2048 Bytes 29.12.2009 17:38:38
VBASE031.VDF : 7.10.2.111 90624 Bytes 01.01.2010 17:38:39
Engineversion : 8.2.1.122
AEVDF.DLL : 8.1.1.2 106867 Bytes 08.11.2009 06:38:52
AESCRIPT.DLL : 8.1.3.4 586105 Bytes 01.01.2010 17:38:52
AESCN.DLL : 8.1.3.0 127348 Bytes 01.01.2010 17:38:50
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 01.01.2010 17:38:50
AEPACK.DLL : 8.2.0.3 422261 Bytes 08.11.2009 06:38:40
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.189 2195833 Bytes 01.01.2010 17:38:48
AEHELP.DLL : 8.1.9.0 237943 Bytes 01.01.2010 17:38:42
AEGEN.DLL : 8.1.1.82 369014 Bytes 01.01.2010 17:38:41
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.9.1 180598 Bytes 01.01.2010 17:38:40
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 1. Januar 2010 18:39

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '17375' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VMCService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MAKHkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MAKTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '48' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.


Ende des Suchlaufs: Freitag, 1. Januar 2010 18:45
Benötigte Zeit: 06:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

1642 Verzeichnisse wurden überprüft
93551 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
93549 Dateien ohne Befall
6371 Archive wurden durchsucht
2 Warnungen
2 Hinweise
17375 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Seitenanfang Seitenende
01.01.2010, 20:57
Moderator

Beiträge: 5694
#6

Zitat

Logfile of HijackThis v1.99.1
Schmeiss dein HJT in den Papierkorb der ist veraltete. Kannst bei Bedarf dann die neue Version installieren.

Nachsorge

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra ;).

Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich Ccleaner, (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe die Anleitung von Hijackthis-Forum.de. Bei Java (Sun) immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

• System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
Port-Scan-Test.
WLAN absichern.
Sichere Passwörter vergeben.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.
Seitenanfang Seitenende
01.01.2010, 23:25
...neu hier

Themenstarter

Beiträge: 6
#7 Hallo Swiss,
vorab, Daumen hoch, das Forum und die Beratung hier verdienen das dickste Lob weit und breit!!!
also ich geh mal davon aus , ich bin wieder sauber. Oder ?
Deine Vorschläge werd ich beherzigen.
Trotzdem hab ich noch einige kurze Fragen:
Spybot : Avira im Hintergrund und Spybot bei Bedarf und dann Avira temporär aus ?
Fire fox passt, muß ich noch machen. .
Messengersachen nutz ich nie.
Bei I-net Browswer muß ich noch konfig nach Deiner Anleitung machen
Was hälst Du von der Mobilen Vodafone Stick Sache, die ich habe. (nennt sich Huawei Stick) ?
Ist meine Ansicht richtig, das sich die Schädlinge, um die es hier geht, zum überwiegende Teil im
"Windows" SystemBereichm der Platten festsetzen und somit mit Anwendungssoftware selbst erstellte Dateien oder genutzte meist sauber sind bzw. bleiben. Ich hab Bammel das ich mir mir der Datenrücksicherung wieder was Auflade.
Ansonsten LOB!!!!
Gruß Micha
Seitenanfang Seitenende
01.01.2010, 23:34
Moderator

Beiträge: 5694
#8 Ja Dein System ist sauber nach dem Format. Genau, Avira als Antivirensoftware. Nebenbei Spybot ab und zu anwenden (Teatimer deaktiviert lassen). Und so jede Woche einmal mit Spybot überprüfen.

Ich kenn mich leider mit Sticks nicht so aus. Gehst Du dann aber nicht über einen Router?

Also es kommt natürlich auf die Infektions Art an. Aber meinstens bleiben die externen Platten oder Drittpartitionen verschont. Ausser man läd z.B. Lieder aus dem Netz und speichert diese dann in einer anderen Partition. Wenn nun das Lied kein Lied sondern ein trojaner war, dann ist natürlich die ganze Platte infiziert. Deshalb schau, dass diverese Autostarts untersagt werden auf deinem System.
Seitenanfang Seitenende
05.01.2010, 18:05
...neu hier

Themenstarter

Beiträge: 6
#9 Das mit dem Stick wird nur angestöpselt wie USB stick und dann geht Internet drahtlos über Mobilfunk , weil es bei mir kein DSL zu legen geht.
Fire fox hab ich drauf. Die Programme und die Daten weitsgehend auch wieder
Gruß Micha
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: