kaliope

Beim heutigen Scan hat Malwarebytes 3 infizierte Dateien gefunden. Hier mal das Ergebnis:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1948
Windows 5.1.2600 Service Pack 3

07.04.2009 21:09:39
mbam-log-2009-04-07 (21-09-35).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 94459
Laufzeit: 41 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Meine Frage dazu: Was muss ich jetzt tun?

Vielen Dank schon mal für eure Hilfe!

Gruß, kaliope

heinzl

Nichts, alles in Ordnung

Wer läßt solche Programme nur auf die Menschheit los?

kaliope

Hm. Es wurde mir hier empfohlen, meinen PC regelmäßig mit Malwarebytes zu scannen. Bis jetzt hat er noch nie was gefunden, lief immer ohne Warnungen. Heute das erste Mal.

Ist da wirklich alles in Ordnung?

Leonixx

Meinst du etwas Malwarebytes? Dann solltest du wissen, dass der TO nur vergessen hat auf Auswahl entfernen zu klicken, wenn du schon über das Proggi abfällig schreibst.

@Kaliope
Die Einträge deuten darauf hin, dass irgendetwas versucht oder versucht hat deine Firewall etc. abzuschalten. Klicke auf Auswahl entfernen. Danach bitte Hijackthis Logfile für ersten Überlick posten.

Malwarebytes gehört zu den guten Programmen mit guter Erkennungsrate bzw. Entfernungsmöglichkeit. Lass dir nichts erzählen.

kaliope

So, alles entfernt. Hier das HJT-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:34:39, on 07.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = :
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Block This Image (ABP) - C:\Programme\Adblock Pro\blockimg.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1215361543268
O17 - HKLM\System\CCS\Services\Tcpip\..\{49583F80-58C0-46AF-B283-3CC7C88DCAC1}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

--
End of file - 5365 bytes

heinzl

Ich meine nur, daß diese Auswertung unkommentiert für Verwirrung beim unbedarften Anwender (Menschheit 8) ) sorgt
Gegen das Programm an sich habe ich nichts, ganz im Gegenteil. :thumbup:

Leonixx

Hättest dich einfach nur deutlicher ausdrücken sollen. Allerdings läßt fast jedes AV-Proggi den User mit dem Ergebnis alleine. Schon das Angebot "In Quarantäne Schieben, Löschen" überfordert manche schon, weil sie nicht genau wissen, wo die Unterschiede liegen.

@Kaliope
Das Logfile ist sauber. Allerdings würde ich dir empfehlen Combofix (wie im Link in meiner Sig.) anzuwenden. Das irgendetwas dein Schutzsystem abschalten wollte, würde mir doch zu denken geben. Poste das Logfile.

Gruss

kaliope

So, spät aber doch hab ich jetzt endlich Combofix drüberlaufen lassen. Hier das Logfile:

ComboFix 09-04-23.02 - Martina 22.04.2009 20:52.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.239.96 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Martina\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\i
c:\windows\system32\wmsoft00271.exe
c:\windows\system32\wmsoft36276.exe
c:\windows\system32\wmsoft54467.exe
c:\windows\system32\wmsoft83807.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-23 bis 2009-04-23 ))))))))))))))))))))))))))))))
.

2009-04-16 19:00 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-16 19:00 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-16 19:00 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-16 19:00 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-16 19:00 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-16 19:00 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-16 19:00 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-16 18:59 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-16 18:59 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-16 18:55 . 2009-03-27 06:49 1203922 -c----w c:\windows\system32\dllcache\sysmain.sdb
2009-04-16 18:55 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2009-04-22 18:37 . 2009-04-22 18:37 -------- d-----w c:\programme\CCleaner
2009-04-11 21:11 . 2008-07-06 18:18 4917 ---ha-w C:\ffastun.ffa
2009-04-11 21:11 . 2008-07-06 18:18 827392 ---ha-w C:\ffastun0.ffx
2009-04-11 21:11 . 2008-07-06 18:18 61440 ---ha-w C:\ffastun.ffo
2009-04-11 21:11 . 2008-07-06 18:17 122880 ---ha-w C:\ffastun.ffl
2009-04-11 20:10 . 2008-07-13 21:13 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-04-07 19:09 . 2008-07-14 15:41 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-04-06 13:32 . 2008-07-29 19:04 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2008-07-14 15:41 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-03-31 19:07 . 2008-07-23 16:06 -------- d-----w c:\programme\Java
2009-03-31 19:06 . 2001-08-18 13:00 48354 ----a-w c:\windows\system32\perfc007.dat
2009-03-31 19:06 . 2001-08-18 13:00 316924 ----a-w c:\windows\system32\perfh007.dat
2009-03-09 03:19 . 2008-12-10 19:44 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-06 14:19 . 2008-07-06 16:12 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2008-07-06 16:13 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2008-07-07 18:42 78336 ------w c:\windows\system32\ieencode.dll
2009-02-10 17:03 . 2001-08-18 04:28 2068352 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 14:04 . 2001-08-18 13:00 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2001-08-18 13:00 2191360 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2001-08-18 13:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2008-07-06 16:12 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2001-08-18 13:00 736768 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2001-08-18 13:00 678400 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2001-08-18 13:00 740352 ----a-w c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2001-08-18 13:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 19:57 . 2008-07-06 16:12 56832 ----a-w c:\windows\system32\secur32.dll
2008-07-15 15:30 . 2008-07-06 14:39 18400 ----a-w c:\dokumente und einstellungen\Martina\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"NBKeyScan"="c:\programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe" [2008-02-21 1647912]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\j usched.exe" [2009-03-09 148888]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft-Indexerstellung.lnk - c:\programme\Microsoft Office\Office\FINDFAST.EXE [1997-9-4 111376]
Office-Start.lnk - c:\programme\Microsoft Office\Office\OSA.EXE [1997-9-4 51984]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"wuaurpl.exe"= wuaurpl.exe:SYSTEM
"c:\\Programme\\aon\\aonController\\aonController\ \aonController.exe"=
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: &Block This Image (ABP) - c:\programme\Adblock Pro\blockimg.html
TCP: {49583F80-58C0-46AF-B283-3CC7C88DCAC1} = 195.3.96.67 195.3.96.68
FF - ProfilePath - c:\dokumente und einstellungen\Martina\Anwendungsdaten\Mozilla\Fire fox\Profiles\wjt13klo.default\
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-22 20:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************** ************************
.
Zeit der Fertigstellung: 2009-04-22 20:56
ComboFix-quarantined-files.txt 2009-04-22 18:56

Vor Suchlauf: 9 Verzeichnis(se), 35.083.763.712 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 35.074.523.136 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Professional" /fastdetect /NoExecute=OptIn

118 --- E O F --- 2009-04-16 19:18

Leonixx

Hi,

na da war mal allerhand los auf deinem System. Die Änderungen weisen auf
W32/Sality.Y. Du musst in der Registry einige Werte wieder verändern bzw. löschen. Start, Ausführen, Regedit eingeben. Dann durch die Ordner navigieren. Im rechten Fenster nach dem Eintrag suchen.

Diese Werte wurden verändert.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

Diese Werte wieder einstellen bzw. ändern.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

Dann diese Einträge löschen. Damit wird die Windows Firewall umgangen.

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplicati ons\List]
• "c:\\%filename%"="c:\\%filename%:*:Enabled:ipsec"
• "c:\windows\\system32\\ctfmon.exe"="c:\windows\\sy stem32\\ctfmon.exe:*:Enabled:ipsec"

Danach nochmal neues Combofix Logfile.

Gruss

kaliope

Die beiden Werte hab ich wieder auf 0 geändert.

Allerdings find ich die beiden Dateien nicht, die ich löschen soll.