Hilfe! Malware und Avast haben was gefunden

taxi · 18.01.2010, 18:05

Auweia,
folgende Meldung von avast:
C/Windows/System 32/spool/Drivers/xczweb.exe
und
C/Windows/System 32/spool/Drivers/w32x86/lxcz....
und
C/System Volume Inf/ A 0043326.exe
und
C/System Volume Inf/ A 0043327.exe

ausserdem bei Malware:

rogue controlcenter registry key HKEY local machine/Software

und hier mein hijack- Jedöns:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:03, on 18.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Lexmark 1200 Series\lxczbmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lexmark 1200 Series\lxczbmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/registrierung
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 4667 bytes

**stockcarpilot** · 18.01.2010, 18:16

Hallo taxi

Dein Log sieht eigentlich sauber aus. Wurde die Datei von Avast in Quarantäne gesteckt?

Gruß stockcarpilot

Puma45 · 18.01.2010, 19:05

Würde mal Avast und Malwarebytes updaten und dann im abgesicherten Modus hochfahren und nochmal scannen lassen - alle Funde vorerst nur in die Quarantäne verschieben.

taxi · 18.01.2010, 19:38

Avast läuft ständig und updatet sich von selber. Malware update ich täglich. Allerdings werde ich beide jetzt nochmal laufen lassen und melde mich dann nochmal, ob sie was finden.
Ich habe die Mistdinger bei malware in Quarantäne, bzw. bei avast in den Viren-Container verschoben.

Das mit dem "abgesicherten Modus" ist bei mir ne ganz heikle Sache und ich hoffe, daß ich drumrumkomme, denn bei den beiden letzten Malen ist das schiefgegangen. Das heisst, daß es bei ca. 33 % stoppte und nichts mehr ging. Danach musste alles neu gemacht werden.
Ähem.... und wieder mal ein kleiner Hinweis von mir: Tut mir leid, wenn ich mich so selten doof ausdrücke, aber mir fehlt da echt die Ahnung :-)

**stockcarpilot** · 18.01.2010, 20:05

Hallo Taxi

Puma45 hat schon alles richtig erklärt. Denn es kann sich um einen Fehlalarm handeln. Erst in den Container verschieben. Wenn du ihn sofort löschen würdest, kannst du Probleme bekommen.

Gruß stockcarpilot

**Leonixx** · 18.01.2010, 20:21

Hi Taxi,

was treibst du denn schon wieder?

So, jetzt machst du mal das, was Onkel Leonixx hier vorschlägt:

Bei den von Avast als Schädling identifizierten Dateien handelt es sich hauptsächlich um Treiberkruscht. Sollte harmlos sein.

Die Dateien auf keinen Fall löschen, das sonst Programme oder Hardware nicht mehr sauber funktionieren könnten.

Damit du das mal querchecken kannst, Malwarebytes runterladen, installieren, updaten und Komplett Scan durchführen. Wird nichts gefunden, kannst du ins Bett gehen und schlafen.

Den Malwarebyteskruscht findest du in meiner Sig. unter Tutorials.

Ciao

taxi · 18.01.2010, 20:26

avast findet beim zweiten Durchlauf nichts mehr.
malware hat wieder das gleiche angezeigt, also hab´ ich´s wieder in Quarantäne geschickt.

Muß das wirklich sein mit dem abgesicherten Modus? Denn wie schon gesagt, bekomme ich komischerweise Schwierigkeiten bei so was... hmmm..

Kann ich noch anders feststellen, ob es ein Fehlalarm war?

Erstmal wieder ganz lieben Dank und ich melde mich dann morgen wieder

Grüßchen vom Taxi

och, guck ma.... da isser ja wieder, der Leonixx.... Tachchen !!

Also erstens gehe ich jetzt sowieso ins Bett (oder so) und zweitens hab ich doch das malwarebytes. Hab´ ich doch oben schon geschrieben, daß ich das immer fein update und gerade nochmal durchlaufen lassen.....

Wie gesagt: er hat es wieder gefunden

**Leonixx** · 18.01.2010, 21:47

Joo, da bin ich noch, ne...

Malwarebytes erstellt nach dem Scan ein Logfile. Das hier als Anhang posten, dann schauen wir mal ob das wirklich nur Fehlalarme sind.

taxi · 19.01.2010, 09:38

Guten Moooorgäähn

So, da bin ich wieder und kann nur hoffen, daß bei mir alles "sauber" ist.
Ich habe den Eindruck, daß diese Meldungen erst gekommen sind, nachdem ich meine Bankseite aufgerufen habe wegen online-banking..... hmmm.. ist aber nur ne Vermutung

So, nun guck´ mal :

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3597
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
19.01.2010 10:34:37
mbam-log-2010-01-19 (10-34-37).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 152254
Laufzeit: 12 minute(s), 31 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)