Gassner

Tag liebe Forengemeinde

Ich habe zurzeit ein seltsames Problem mit meinem CCleaner oder dem Antivir, zumindest nehme ich an, dass es an einen von beiden liegt. Ich benutze nun schon seit einiger Zeit den CCleaner um Gebrauchsspuren auf meinem PC zu vernichten. In letzter Zeit findet Antivir während des Löschvorgangs immer wieder Trojaner im Firefox-Cache (Datei X enthält eine Signatur des Trojaners Y). Wenn ich sie lösche, sind sie beim nächsten Mal wieder da. Soweit so gut, aber: Ich surfe eigentlich immer nur auf denselben vertrauenswürdigen Seiten herum, und während des Surfens reagiert Antivir nicht. Wenn ich probehalber vor dem CCleaner-Durchgang den Cache-Ordner mit Antivir durchsuche, findet er keine Trojaner. Starte ich dann aber CCleaner, findet er prompt wieder dieselben Trojaner, die er schon beim letzten Mal angeblich gefunden hat (Urlbot, HackB1, Boodo.3), und nach dem Löschen sind sie auch bei einem zweiten Durchgang von CCleaner nicht mehr zu finden oder auch nach einer generellen Suchdurchlauf von Antivir nicht. Ich frage mich daher: Ist das ein Bug von Antivir, von CCleaner, oder habe ich tatsächlich irgendwelche Trojaner an Board, die ich nicht mehr wegkriege? Hatte jemand evtl. schon mal dasselbe Problem?

ReinMan

Hmm manche Viren etc können sich so tief in dein System eingenistet haben das du sie eigendlich nur schwer weggkriegst. Haste es denn mal mit einem anderen Antivirenprogramm untersuchen lassen??. Ich hab auch CCleaner und bei mir macht er aber problemlose Arbeit.

Ostseesand

Hi,

starte die anwendungen mal im abgesicherten modus.
lade dir auch mal den kaspersky und scanne damit deinen pc.

was sagt eigentlich antispy und spybot sowie das logfile von hijackthis nach der inspektion deines pc`s ?

hamster bobby

hi!
Zum Thema Kaspersky...
Das ist der größte Mist allerzeiten,
Viele Bekannte von mir hatten das und bei JEDEM war danach der Computer schrott, also nicht mehr zu gebrauchen!

ReinMan

Nee auf keinen Fall zurzeit ist Kaspersky einer der 3 besten Antivirenprogramme überhaupt. Mist kannst du da nicht behaupten. Vielleicht war der Pc vorher schon zugemüllt etc

Svenley

Hi
wenn du den Scan im abgesicherten Modus ausführst dann vergess nicht
vorher die Systemwiederherstellung zu deaktivieren sonst könnte es sein das sie beim nächsten Start wieder da sind 8)

nach der Durchsuchung Systemwiederherstellung wieder einschalten

wolfheart

@hamster bobby
Das lag dann aber mehr an Deinen Bekannten und/oder Ihrer Computerkonfiguration!! Du arbeitest nicht zufällig bei Norton, oder?

@Gassner

Herzlich Willkommen im Board :]

Aber da ich hier nicht nur blöd spammen und auch keinen neuen Thread aufmachen will mit dem Thema "Welches ist das beste Antivirenprogramm" (Hatten wir glaub ich ja noch nie ), hier die Tipps von Ostseesand, Svenley und ReinMan in gebündelter Form verbunden mit ein paar Links

- Du deaktivierst Deine Systemwiederherstellung und gehst in den abgesicherten Modus.
Das geht so:
http://www.bsi.de/av/texte/wiederher_xp.htm
- dann läßt Du Kaspersky und Spybot mal Deine Festplatte checken.
Hier die Testversion von Kaspersky (am besten die KIS 6.0 nehmen)
http://www.kaspersky.com/de/downloads?chapter=146440558
Hier der Link zu Spybot
http://www.chip.de/downloads/c1_downloads_13001443.html
- Und wenn Du willst, dann auch noch dieses Programm unter diesem Link laden und auch checken lassen, was auf Deinem System zu finden ist
http://www.emsisoft.de/de/software/free/
- das was gefunden wird löschen
- dann Neustart
- Systemwiederherstellung unbedingt wieder aktivieren

Wichtig ist die Sache mit der Systemwiederherstellung. Wenn Du die nicht deaktivierst und dann infizierte Dateien löschst, dann werden manchmal von der Systemwiederherstellung zusammengebastelt, weil die denkt es wären defekte Dateien!

Gassner

So. Erstmal danke für eure Bemühungen.

Ich habe jetzt den Scan auch mal mit Kaspersky durchgeführt, der befand - wie AntiVir - dass mein PC topsauber sei. Das Problem tritt wirklich nur auf, wenn CCleaner auf die Dateien zugreift, bzw. sie überschreiben will.

Hier mal das HiJackThis-Log, vielleicht erkennt da jemand etwas:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Eraser\eraser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\A1\Desktop\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://blueadit.bluewin.ch/adsl/router/index_d.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Policies\Explorer\Run: [{2C163FFD-0960-2055-1024-030916200029}] "C:\Programme\Gemeinsame Dateien\{2C163FFD-0960-2055-1024-030916200029}\Update.exe" mc-110-12-0000103
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {1BE7B301-ED56-4E47-BCA8-68D80A44DCB8} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Me.../bridge-c9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/04965008...p/RdxIE601.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1153845286234
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1153845278359
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O20 - AppInit_DLLs: c:\windows\system32\jkhhfcd.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Brother Industries Ltd. - (no file)
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Brother Industries Ltd. - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Steganos Live Encryption Engine 12 [Service] (SLEE_12_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE12.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (file missing)
O23 - Service: FireDaemon Service: system (system) - Unknown owner - C:\WINDOWS\Temp\FireDaemon.EXE (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

mfsto

Hi,
topsauber ist dein Pc vermutlich nicht..da hilft auch Kaspersky nicht...

Fixe mit Hijackthis folgende Einträge:

Wie fixe ich?
--->Nach dem Scan erscheint die Auflistung aller Browser Helper(..O2 usw.)
Haken bei den beiden Einträgen und auf "Fix checked".


Der Prozess gefällt mir nicht ..
Mach bitte ma folgendes:
Lad die Datei bitte beim Onlinescanner(>>VirusTotal<<)
hoch und poste das vollständige Ergebnis des Scans!
Ich vermute ma dahinter steckt der Win32.Rbot.H Wurm...

Das Gleiche machst du mit folgenden Dateien:
Der Eintrag deutet daraufhin ,dass dein System nicht gepatcht ist!

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Geh auf die Microsoft Seite und downloade dir die Sicherheitsupdates für das Service Pack2! Dein System ist offen wie ein Scheunentor..

Mfg

Gassner

Hallo,

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Me.../bridge-c9.cab

hab ich mal gefixt, danke, den medionshop.de-Eintrag auch, wobei das eigentlich schon okay war, mein PC ist von Medion.

igfxtray.exe gehört zu Intel, ich habs raufgeladen bei Virus Total, es wurde nichts gefunden, ebenso bei browseui.dll, das offenbar zum IE gehört.

Bei

O20 - AppInit_DLLs: c:\windows\system32\jkhhfcd.dll

könnte allerdings tatsächlich ein Problem vorliegen, denn die Datei ist nicht aufzufinden. Soll ich das Ding einfach mal fixen und schauen, obs dann weggeht?

Bezüglich der Windowsupdates: Eigentlich hab ich meinen PC so eingestellt, dass er Updates automatisch runterlädt...