Nickles › Forum › Internet › Viren, Spyware, Datenschutz
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Windows XP SP2 und Antivir 7

elfiee am 12.04.2006, 16:47 / 16 Antworten / Baumansicht
Nachdem Norton Security 2005 letzte Woche komplett abgeschmiert ist
und auch die schlappen zwei Stunden bis zur hoffentlich kompletten
Deinstallation des Programms vergangen waren, habe ich auf Rat eines
Bekannten die XP- Firewall aktiviert sowie AntivirPE Classic 7 auf meinem Rechner installiert. Bin kompletter Neueinsteiger und wundere mich, weshalb nach jeder Session im Internet jede Menge Spyware und Trojaner auf meinem Rechner zu finden sind. Nutze Simon Tool AntiSpyware 2006 nachdem Ad-Aware sich beim Scan kurz nach Beginn
ohne Rückmeldung aufgehängt hat. Ist jetzt nun mein Rechner ausreichend geschützt oder nicht ?
    
        mmk elfiee „Windows XP SP2 und Antivir 7“
      
        12.04.2006, 17:46 Optionen
      
          Hallo elfiee!

          >Nachdem Norton Security 2005 letzte Woche komplett abgeschmiert ist

          Wie genau hat sich das bemerkbar gemacht?

          >und auch die schlappen zwei Stunden bis zur hoffentlich kompletten

          Deinstallation des Programms vergangen waren,

          Warst Du währenddessen online? Wie sieht es um den Patchstand, also die Aktualität Deines Systems aus? Wann hast Du zuletzt Windows-Updates eingespielt und welches Service-Pack ist installiert? Service-Pack 2?

          >habe ich auf Rat eines

          Bekannten die XP- Firewallbild aktiviert sowie AntivirPE Classic 7 auf meinem Rechner installiert.

          Wann genau hast Du die XP Firewall (genauer eigentlich: ICF, Interconnection-Firewall) eingeschaltet? Nachdem Du nach der Norton-Deinstallation schon eine Zeit lang online warst, oder unmittelbar nach der Deinstallation?

          >Bin kompletter Neueinsteiger und wundere mich, weshalb nach jeder Session im Internet jede Menge Spyware und Trojaner auf meinem Rechner zu finden sind.

          Dazu etwas zu sagen ist schwer, solange genauere Angaben fehlen. Schreib doch mal, was genau laut Meldungen wo gefunden wird, dann kann man weitersehen.

          >Nutze Simon Tool AntiSpyware 2006 nachdem Ad-Aware sich beim Scan kurz nach Beginn

          ohne Rückmeldung aufgehängt hat. Ist jetzt nun mein Rechner ausreichend geschützt oder nicht ?

          Das kann man annähernd erst sagen, wenn die anderen Rückfragen oben beantwortet sind. Mit den ganzen Anti-Tools ist er das jedenfalls nicht, dazu bedarf es zunächst grundlegenderer Maßnahmen.

          [Diese Nachricht wurde nachträglich bearbeitet.]
        
             bei Antwort benachrichtigen
        
        elfiee mmk „Hallo elfiee! Nachdem Norton Security 2005 letzte Woche komplett abgeschmiert...“
      
        13.04.2006, 09:34 Optionen
      
          Hallo mmk,

          vielen Dank für die schnelle Reaktion. Zu den Fragen:

          1.Beim Starten von Norton hat sich nur das Programmfenster geöffnet, alle Features

          waren nicht sichtbar, daher nicht zu bedienen. Im Taskmanager war die Meldung

          `keine Rückmeldung`angezeigt. Rechner hat sich dann komplett aufgehängt.

          2.Bei Deinstallation war ich offline. Windows - und Norton- Updates habe ich wöchentlich ausgeführt.

          3.Unmittelbar nach der Deinstallation habe ich die Firewall aktiviert.

          4.Die Datei c:\windows\system32\filesafer23.exe ist mit UnspyPC infiziert.

          Die Datei c:\windows\system32\pppcgm.exe ist mit Adware.WinProtect infiziert.

          Simon Tool AntiSpyware 2006 findet beim Scan Downloader.Agent.tc; Downloader.Agent.uj

          Trojan.Pakes; diverse TrackingCookie.$$$ sowie diverse Adware.$$$
        
             bei Antwort benachrichtigen
        
        mmk elfiee „Hallo mmk, vielen Dank für die schnelle Reaktion. Zu den Fragen: 1.Beim Starten...“
      
        13.04.2006, 10:54 Optionen
      
          >1.Beim Starten von Norton hat sich nur das Programmfenster geöffnet, alle Features

          waren nicht sichtbar, daher nicht zu bedienen. Im Taskmanager war die Meldung

          `keine Rückmeldung`angezeigt. Rechner hat sich dann komplett aufgehängt.

          Dann fürchte ich, Schädlinge waren bereits zu diesem Zeitpunkt aktiv und haben sowohl Norton AV als auch den Taskmanager manipuliert und blockiert.

          >Windows - und Norton- Updates habe ich wöchentlich ausgeführt.

          Norton AV bis Version 2005 bietet ja in der Regel auch nur wöchentlich - allerdings wären, wenn man schon einen Virenscanner einsetzt, heutzutage tägliche Updates der Signaturen erforderlich! Wöchentlich auf Windows-Updates hin zu prüfen, ist OK.

          >3.Unmittelbar nach der Deinstallation habe ich die Firewall aktiviert.

          OK, wie gesagt lag zu diesem Zeitpunkt eine Infektion wahrscheinlich bereits vor.

          >4.Die Datei c:\windows\system32\filesafer23.exe ist mit UnspyPC infiziert.

          Die Datei c:\windows\system32\pppcgm.exe ist mit Adware.WinProtect infiziert.

          Das allein ist schon nicht gut. Die Schädlinge sind auf jeden Fall aktiv, da sie sich im Systemverzeichnis befinden.

          >Simon Tool AntiSpyware 2006 findet beim Scan Downloader.Agent.tc; Downloader.Agent.uj

          Trojan.Pakes; diverse TrackingCookie.$$$ sowie diverse Adware.$$$

          Wenn das wirklich der Fall ist und kein Fehlalarm des Scanners, dann ist - insbesondere aufgrund des Downloader.Agent.uj - nicht mehr viel zu machen, da dieser Schädling in Verbindung mit einer Rootkit-Technologie steht:

          -> http://www.google.de/search?hs=czw&hl=de&q=Agent.uj+rootkit&btnG=Suche&meta

          Diese Schädlinge müssen aber irgendwelche Lücken gefunden haben. Surfst Du vielleicht mit dem Internet Explorer? In den letzten Wochen wurde eine nicht gepatchte Lücke zur Installation von Schädlingen genutzt. Oder vielleicht eine veraltete Java-, Flash-, Realplayer oder Winamp-Version? Oder einen veralteten Mozilla Firefox? Oder lädst Du Dateien aus Filesharing-Diensten? Hast Du zuletzt evtl. einen Multimedia-Codec installiert? Falls ja, woher hattest Du diesen?

          Viele Grüße,

          Markus
        
             bei Antwort benachrichtigen
        
        siebenkäs elfiee „Windows XP SP2 und Antivir 7“
      
        12.04.2006, 22:06 Optionen
      
          Hi,

          eine Neuinstallation von Windows nach vorheriger Datensicherung wäre wirklich angebracht:

          1. Norton gräbt sich tief in den Windows-Kernel ein und kann nicht mal eben "einfach so" deinstalliert werden.

          2. Das, was unter 1. gesagt wurde, gilt ebenso für Viren, Trojaner, etc.

          Für die Zukunft: bevor man Software installiert wie z.B. Norton, die das System tiefgreifend modifiziert, sollte unbedingt ein Image ("Abbild") der Systempartition erstellt werden, mit einer Software wie "Acronis True Image" oder "Norton Ghost".

          Gruß

          Siebenkäs

          [Diese Nachricht wurde nachträglich bearbeitet.]
        
         "Only one thing is impossible for God: To find any sense in any copyright law on the planet."Mark Twain
      
             bei Antwort benachrichtigen
        
        elfiee siebenkäs „Hi, eine Neuinstallation von Windows nach vorheriger Datensicherung wäre...“
      
        13.04.2006, 09:39 Optionen
      
          Hi Siebenkäs,

          hab schon eine gewisse Ahnung, dass ich um eine Neuinstallation nicht rumkomme.

          Bin halt ein faules Stück und wollte erstmal ausloten, obs nicht eine weniger zeitaufwändige

          Möglichkeit gibt. Vielen Dank mfG Elfiee
        
             bei Antwort benachrichtigen
        
        mmk elfiee „Hi Siebenkäs, hab schon eine gewisse Ahnung, dass ich um eine Neuinstallation...“
      
        13.04.2006, 11:20 Optionen
      
          >hab schon eine gewisse Ahnung, dass ich um eine Neuinstallation nicht rumkomme.

          Bin halt ein faules Stück

          Also _so_ faul bist Du Deinen eigenen Angaben zufolge aber nicht, immerhin hast Du regelmäßig Windows-Updates eingespielt. Allein schon das wird von vielen Nutzern unterlassen. ;-)

          >und wollte erstmal ausloten, obs nicht eine weniger zeitaufwändige

          Möglichkeit gibt.

          Ich sag mal so: Wenn man sich die ganzen vielen (!) aktiven Schädlinge ansieht und bedenkt, dass bereits jeder einzelne etliche weitere nachladen sowie Systemdateien verändern/manipulieren kann, stünde der Zeitaufwand einer "Bereinigung" in keinem sinnvollen Verhältnis zum Neuaufsetzen. Zudem kann eine Bereinigung nur dann sicher erfolgen, wenn man ein Vergleichssystem hätte, um die Prüfsummen der Systemdateien miteinander vergleichen zu können. Ich gehe aber mal davon aus, dass soetwas hier nicht vorliegt. ;)

          Zudem solltest Du auch immer darauf achten: "Zeitaufwendige Möglichkeit" contra "sichere Möglichkeit". Was nützt es Dir, wenn Du stundenlang bereinigst, Dir dann aber immer noch nicht sicher sein kannst, wieder ein sauberes System zur Verfügung zu haben?

          Oft werden Vergleiche gezogen in der Art: "Wenn Du einen platten Reifen am Auto hast, schmeißt Du ja auch nicht gleich das ganze Auto auf den Müll.", und versuchen damit eine Analogie zum Computersystem herzustellen. Nur: Man muss ja bedenken, dass ein Computersystem sehr komplex aufgebaut ist, und dass Schäden weniger offensichtlich sind als es vergleichsweise bei einem zerborstenen Reifen. Zudem muss ein defekter Reifen für sich genommen ebenfalls komplett erneuert werden... Was ich damit sagen möchte: Immer vorsichtig bei Vergleichen.

          Es lohnt nicht, Bereinigungen zu versuchen, das ist vergeudete Zeit. Vor allem bliebe dann für Dich immer ein Surfen "mit Bauchschmerzen", da ein einmal infiziertes System eben kein vertrauenswürdiges mehr ist. Nicht zuletzt auch deswegen, da solche Systeme immer häufiger für betrügerirsche / kriminelle Aktionen ausgenutzt werden. Du solltest aber auf jeden Fall analysieren, wo die Lücken sind/waren (siehe dazu meine Nachfragen in den anderen Postings).
        
             bei Antwort benachrichtigen
        
        Nörgler siebenkäs „Hi, eine Neuinstallation von Windows nach vorheriger Datensicherung wäre...“
      
        13.04.2006, 12:11 Optionen
      
          "ür die Zukunft: bevor man Software installiert wie z.B. Norton, die das System tiefgreifend modifiziert, sollte unbedingt ein Image ("Abbild") der Systempartition erstellt werden, ..."

          Das anlegen eines Images ist immer richtig und eine wichtige Aktion. Noch sehr viel wichtiger aber ist, dass man sich erst gar nicht solche Software wie Norton Security 2005 auf den Rechner holt! Und das kann nicht oft genug gesagt werden.
        
         Armes Deutschland!
      
             bei Antwort benachrichtigen
        
        Towa elfiee „Windows XP SP2 und Antivir 7“
      
        13.04.2006, 08:27 Optionen
      
          Hi

          schmeiß AntiVir runter und mach Avast! drauf! klick

          Eine Neuinstallation würde ich trotzdem empfehlen.
        
             bei Antwort benachrichtigen
        
        out-freyn elfiee „Windows XP SP2 und Antivir 7“
      
        13.04.2006, 10:30 Optionen
      
        wundere mich, weshalb nach jeder Session im Internet jede Menge Spyware und Trojaner auf meinem Rechner zu finden sind

        Da wäre interessant zu wissen, wo sich diese Plagegeister aufhalten. Sind sie irgendwo unter Temporary Internet Files, dann handelt es sich vermutlich um einen Fehlalarm, bei dem Dir jedes harmlose Cookie als Spyware (Tracking Cookie) gemeldet wird. 
      
         The conspiracy theory of society [...] comes from abandoning God and then asking: »Who is in his place?« (Sir Karl Popper, Conjectures and Refutations, 1963)
      
             bei Antwort benachrichtigen
        
        elfiee out-freyn „wundere mich, weshalb nach jeder Session im Internet jede Menge Spyware und...“
      
        13.04.2006, 11:04 Optionen
      
          Hallo out-freyn,

          habe die Scans immer nach Löschen der Cookies durchgeführt. Funde siehe Antwort an mmk.

          Kann aber noch weitere Fundorte benennen:

          Trojanisches Pferd TR/Small.HL in c:\system volume information\_restore{...}\...\A0055615.exe

          Trojanisches Pferd TR/Click.526 in c:\system volume information\_restore{...}\...\A0055616.exe

          Trojanisches Pferd TR/Click.Small.KG in c:\windows\system32\favset.exe

          Trojanisches Pferd TR/Small.HL in c:\windows\system32\howiper.exe

          Trojanisches Pferd TR/Click.526 in c:\windows\system32\sphlp32.exe

          Vielleicht kannste ja was mit anfangen. Denke ich warte noch bis morgen abend, dann bau ich meinen

          Rechner neu auf.

          MfG many thanx elfiee
        
             bei Antwort benachrichtigen
        
        mmk elfiee „Hallo out-freyn, habe die Scans immer nach Löschen der Cookies durchgeführt....“
      
        13.04.2006, 11:22 Optionen
      
          >Vielleicht kannste ja was mit anfangen. Denke ich warte noch bis morgen abend, dann bau ich meinen

          Rechner neu auf.

          Zwei Vorschläge zu Analysezwecken:

          1.) Poste mal bitte zusätzlich so ein LogFile.

          2.) Poste die Versionsnummern der von Dir genutzten Anwendungen (siehe dazu auch meine Frage oben zu der Aktualität Deiner Programme).
        
             bei Antwort benachrichtigen
        
        elfiee mmk „ Vielleicht kannste ja was mit anfangen. Denke ich warte noch bis morgen abend,...“
      
        13.04.2006, 11:35 Optionen
      
          Logfile of HijackThis v1.99.1

          Scan saved at 11:31:42, on 13.04.2006

          Platform: Windows XP SP2 (WinNT 5.01.2600)

          MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

          Running processes:

          C:\WINDOWS\System32\smss.exe

          C:\WINDOWS\system32\csrss.exe

          C:\WINDOWS\system32\winlogon.exe

          C:\WINDOWS\system32\services.exe

          C:\WINDOWS\system32\lsass.exe

          C:\WINDOWS\system32\svchost.exe

          C:\WINDOWS\system32\svchost.exe

          C:\WINDOWS\System32\svchost.exe

          C:\WINDOWS\system32\svchost.exe

          C:\WINDOWS\system32\svchost.exe

          C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

          C:\WINDOWS\Explorer.EXE

          C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

          C:\WINDOWS\system32\spoolsv.exe

          C:\WINDOWS\SOUNDMAN.EXE

          C:\Programme\QuickTime\qttask.exe

          C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

          C:\WINDOWS\system32\RUNDLL32.EXE

          C:\Programme\Multimedia Card Reader\shwicon2k.exe

          C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe

          C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

          C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

          C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

          C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

          C:\Programme\Real\RealPlayer\RealPlay.exe

          C:\Programme\T-Online\DSL-Manager\TODslMgr.exe

          C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

          C:\Programme\AntiVir PersonalEdition Classic\sched.exe

          C:\Programme\Messenger\msmsgs.exe

          C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe

          C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE

          C:\Programme\SimonTools\AntiSpyWare\AntiSpyPW.exe

          C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

          C:\WINDOWS\system32\nvsvc32.exe

          C:\WINDOWS\system32\svchost.exe

          C:\WINDOWS\system32\wdfmgr.exe

          C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

          C:\WINDOWS\System32\alg.exe

          C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe

          C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe

          C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE

          C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe

          C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE

          C:\DOKUME~1\JANAGR~1\LOKALE~1\Temp\Rar$EX01.328\HijackThis.exe

          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de

          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.shopping24.de/

          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de

          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

          O1 - Hosts: localhost 127.0.0.1

          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

          O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\larkl.dll (file missing)

          O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

          O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\larkl.dll (file missing)

          O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

          O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

          O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

          O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

          O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

          O4 - HKLM\..\Run: [{1290A33C-85F5-4164-A1BE-7DD299D4986A}] C:\Programme\CyberLink\PowerBackup\PBKScheduler.exe

          O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

          O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe

          O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart

          O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

          O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

          O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

          O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

          O4 - HKLM\..\Run: [Registry Compact] "C:\Programme\LOADSTREET\Systerac XP Tools 3\regcomp.exe" /Auto

          O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"

          O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

          O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

          O4 - HKCU\..\Run: [Power2GoExpress] "C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" /Startup

          O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash

          O4 - HKCU\..\Run: [AntiSpyWare RealTimeGuard] C:\Programme\SimonTools\AntiSpyWare\AntiSpyPW.exe

          O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

          O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

          O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

          O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

          O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

          O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

          O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

          O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll

          O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll

          O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll

          O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll

          O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll

          O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll

          O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de

          O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

          O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

          O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144826344578

          O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab

          O17 - HKLM\System\CCS\Services\Tcpip\..\{1165AE35-2A43-4B07-A287-AD69A01F5C3E}: NameServer = 85.255.116.104,85.255.112.200

          O17 - HKLM\System\CCS\Services\Tcpip\..\{C7F83A22-C315-4063-A05F-35689581DD8B}: NameServer = 85.255.116.104,85.255.112.200

          O17 - HKLM\System\CCS\Services\Tcpip\..\{D79DF669-B1C0-4048-BF95-45542402B2E0}: NameServer = 85.255.116.104,85.255.112.200

          O17 - HKLM\System\CCS\Services\Tcpip\..\{ED3BEC64-4BA7-4224-82E0-5FEB3B2C871A}: NameServer = 85.255.116.104,85.255.112.200

          O17 - HKLM\System\CS1\Services\Tcpip\..\{1165AE35-2A43-4B07-A287-AD69A01F5C3E}: NameServer = 85.255.116.104,85.255.112.200

          O17 - HKLM\System\CS2\Services\Tcpip\..\{1165AE35-2A43-4B07-A287-AD69A01F5C3E}: NameServer = 85.255.116.104,85.255.112.200

          O17 - HKLM\System\CS3\Services\Tcpip\..\{1165AE35-2A43-4B07-A287-AD69A01F5C3E}: NameServer = 85.255.116.104,85.255.112.200

          O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll

          O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

          O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

          O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

          O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe

          O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

          O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

          O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

          O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

             bei Antwort benachrichtigen
        
        mmk elfiee „Logfile of HijackThis v1.99.1 Scan saved at 11:31:42, on 13.04.2006 Platform:...“
      
        13.04.2006, 13:34 Optionen
      
          >C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe

          Du gehst also mit T-Online ins Netz. Das allerdings passt nicht mit den Namservereinträgen zusammen; diese führen in die USA:

          O17 - HKLM\System\CCS\Services\Tcpip\..\{1165AE35-2A43-4B07-A287-AD69A01F5C3E}: NameServerbild = 85.255.116.104,85.255.112.200

          O17 - HKLM\System\CCS\Services\Tcpip\..\{C7F83A22-C315-4063-A05F-35689581DD8B}: NameServer = 85.255.116.104,85.255.112.200

          O17 - HKLM\System\CCS\Services\Tcpip\..\{D79DF669-B1C0-4048-BF95-45542402B2E0}: NameServer = 85.255.116.104,85.255.112.200

          O17 - HKLM\System\CCS\Services\Tcpip\..\{ED3BEC64-4BA7-4224-82E0-5FEB3B2C871A}: NameServer = 85.255.116.104,85.255.112.200

          O17 - HKLM\System\CS1\Services\Tcpip\..\{1165AE35-2A43-4B07-A287-AD69A01F5C3E}: NameServer = 85.255.116.104,85.255.112.200

          O17 - HKLM\System\CS2\Services\Tcpip\..\{1165AE35-2A43-4B07-A287-AD69A01F5C3E}: NameServer = 85.255.116.104,85.255.112.200

          O17 - HKLM\System\CS3\Services\Tcpip\..\{1165AE35-2A43-4B07-A287-AD69A01F5C3E}: NameServer = 85.255.116.104,85.255.112.200

          Das heißt, Dein System wurde bereits weitergehend manipuliert, um Dir möglicherweise falsche Webseiten als die richtigen vorzutäuschen und daraus dann Vorteile zu ziehen.

          >C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

          Gut, Java ist aktuell, eine Infektion auf diesem Wege also eher unwahrscheinlich.

          >C:\Programme\Real\RealPlayer\RealPlay.exe

          Welche Version des Real-Players ist das genau?

          >C:\Programme\Messenger\msmsgs.exe

          Du nutzt also den Messenger. Das wäre eine weitere, mögliche Infektionsquelle, z.B. wenn Du eine manipulierte Nachricht erhältst bzw. auf einen dort enthaltenen Link klickst. War dahingenend zuletzt etwas zu beobachten? Hast Du eine "komische" Nachricht auf diesem Wege erhalten, evtl. sogar scheinbar von einem Dir bekannten User?

          >O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\larkl.dll (file missing)

          O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\larkl.dll (file missing)

          Das sind Schädlingseinträge, die als BHO-Objekte geladen werden (Internet Explorer).

          >O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab

          Das ist eine Adware, die als Active-X-Steuerelement geladen wurde. Hast Du Dir von Dir aus aktiv einen neuen Bildschirmschoner laden wollen, oder sagt Dir der Eintrag bzw. die Webseite nichts?
        
             bei Antwort benachrichtigen
        
        bigmolly mmk „ Vielleicht kannste ja was mit anfangen. Denke ich warte noch bis morgen abend,...“
      
        13.04.2006, 13:12 Optionen
      
          wenn das system schon von viren und trojanern befallen ist... notfalls im abgesichterten modus die genannten files :

          Trojanisches Pferd TR/Small.HL in c:\system volume information\_restore{...}\...\A0055615.exe

          Trojanisches Pferd TR/Click.526 in c:\system volume information\_restore{...}\...\A0055616.exe

          Trojanisches Pferd TR/Click.Small.KG in c:\windows\system32\favset.exe

          Trojanisches Pferd TR/Small.HL in c:\windows\system32\howiper.exe

          Trojanisches Pferd TR/Click.526 in c:\windows\system32\sphlp32.exe

          löschen. dann systemwiederherstellung mit datum an dem der virus noch nicht zugeschlagen hatte..

          funktioniert ... aber nicht immer und dann ist eine neuinstallation nötig ...
        
             bei Antwort benachrichtigen
        
        mmk bigmolly „wenn das system schon von viren und trojanern befallen ist... notfalls im...“
      
        13.04.2006, 13:16 Optionen
      
          >funktioniert ... aber nicht immer und dann ist eine neuinstallation nötig ...

          Es ist in solchen Fällen immer zu einer Neuinstallation oder dem Zurückspielen eines Images zu raten. Auch auf der Festplatte befindliche ausführbare Dateien (Programme, etc.) sind zu löschen. Das heißt, selbst dann, wenn eine Systemwiedehrerstellung funktionieren würde, befinden sich noch immer nicht vertrauenswürdige Dateien auf der Festplatte.
        
             bei Antwort benachrichtigen
        
        Waldo311 mmk „ funktioniert ... aber nicht immer und dann ist eine neuinstallation nötig ......“
      
        17.04.2006, 18:31 Optionen
      
          ...dazu gäbe es (falls wieder mal jemand die gelbe Gefahr ;) installiert) ein Removal-Tool von Microsoft, das ich momentan nicht finden kann; helfen sollte aber auch dieses tool: http://norton-removal-tool.softonic.de/ie/43087

          Tatsächlich eine Zumutung, dass Symantec keine brauchbare Deinstallationsroutine mit dem NAV/NIS mitverkauft, hat mich auch schon mal Zeit und Nerven gekostet.

          Von der xp "Firewall", die bei Microsofts Deusch übrigens männlich ist ("der Wall", klingt nach Wagner), würde ich abraten. Gratis-Software wie Zone Alarm ist besser und sehr benützerfreundlich (auch für Anfänger mit Tutorial). Noch besser wäre natürlich eine Hardware-Firewall-Lösung...

          Im Übrigen schließe ich mich den anderen an: Neuinstallation plus Image-Sicherung muss sein, etwa mit Acronis True Image (auch ältere Versionen wie 7 oder 8 sind für 95% der Systeme ausreichend).
        
             bei Antwort benachrichtigen