Ist mein System jetzt wieder wirklich sauber?

[DiGiTaT]

Hallo...

Nach einen Virus TR/Dropper.Gen hab ich AntiVir drüber laufen lassen. Virus entfernt.

Ist mein system jetzt wieder 100% Funktionsfähig?

Hier das Logfile von Haijck This

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:36:06, on 12.05.2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Steam\Steam.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Acer\Hotkey Utility\HotkeyUtility.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
C:\program files (x86)\avira\antivir desktop\avcenter.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\Alexander\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_m3802&r=17361209qn06973e54865uh8j10l21
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_m3802&r=17361209qn06973e54865uh8j10l21
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_m3802&r=17361209qn06973e54865uh8j10l21
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files (x86)\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Program Files (x86)\softonic-de3\tbsoft.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files (x86)\Orbitdownloader\GrabPro.dll
O3 - Toolbar: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Program Files (x86)\softonic-de3\tbsoft.dll
O4 - HKLM\..\Run: [BackupManagerTray] "C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -h -k
O4 - HKLM\..\Run: [Hotkey Utility] C:\Program Files (x86)\Acer\Hotkey Utility\HotkeyUtility.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files (x86)\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgntt] C:\Windows\system32\1037\winped.exe
O4 - HKCU\..\Run: [Steam] "c:\program files (x86)\steam\steam.exe" -silent
O4 - HKCU\..\Run: [RGSC] C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [avgntt] C:\Windows\system32\1037\winped.exe
O4 - HKLM\..\Policies\Explorer\Run: [winped] C:\Windows\system32\1037\winped.exe
O4 - HKCU\..\Policies\Explorer\Run: [winped] C:\Windows\system32\1037\winped.exe
O4 - Startup: UltimateZip Quick Start.lnk = C:\Program Files (x86)\UltimateZip\uzqkst.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files (x86)\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files (x86)\ICQ7.0\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files (x86)\avmwlanstick\WlanNetService.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GRegService (Greg_Service) - Acer Incorporated - C:\Program Files (x86)\Acer\Registration\GregHSRW.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - C:\Program Files\nHancer\nHancerService.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
O23 - Service: NTI IScheduleSvc - NewTech Infosystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Updater Service - Acer - C:\Program Files\Acer\Acer Updater\UpdaterService.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10946 bytes

 

[Trackballfan]

Ich würde dem System nicht mehr über den Weg trauen, das beste ist bei soetwas immer die Festplatte zu formatieren.

 

[Sleipnir]

Wenn Du Gewißheit möchtest, dann setze Dein System neu auf.

http://sicher-ins-netz.info/analyse/entfernen.html

 

[DiGiTaT]

na toll... system nicht mal halbes jahr alt und schon muss ich es formatieren

 

[Quackmoor]

Warum laden Leute Hijackthis runter und finden nicht die automatische Logfileauswertung auf Hijackthis.de
Der wepad-Eintrag wurde als aüßerst schädlich deklariert, also musst du dein System neu aufsetzen.

 

[Oli_P]

na toll... system nicht mal halbes jahr alt und schon muss ich es formatieren

Da lernt man von

Aber du bist echt auf der sicher(re)en Seite, wenn du dein System neu aufsetzt... Das ist am Ende weniger Arbeit, als alle Spuren der Infektion zu beseitigen... wenn dies überhaupt möglich ist.

@Quackmoor: Dafür fragt er ja... Er kann wahrscheinlich nicht alle Einträge im Logfile richtig deuten und ist auf die Spezialisten hier angewiesen...

 

[DiGiTaT]

Ok dann muss ich wohl meine Privaten DAten sichern und anschließend werd ich meine Platte formatieren

 

[Oli_P]

Aber pass auf, daß du keine Schadsoftware mitsicherst, welche du dann später wieder auf das neu aufgespielte System überträgst

Ein guter Tipp von mir wäre: Mach dir ein neues System und dann direkt ein Backup... z.B. mit TrueImage (kostet was) oder auch Clonezilla (kostet nix, ist eine Linux LiveCD). Wenn du dein System schrottest, dann formattierst du dein System und spielst das saubere Backup wieder ein. Das Backup legst du natürlich auf einem externen Datenträger, welches nur diesem Zweck dient.

Und dann lies dich auch mal ein in das Sicherheits-Tutorial von Boogeyman... Der hat das ganz plausibel dargelegt. Dann sinken die Chancen rapide, dein System zu kontaminieren

 

[DiGiTaT]

Andere Frage noch:

Sollte ich bei AntiVir Free bleiben oder zu einem kostenplfichtigen Antiviren Programm greifen? (Norton; GDATA...)?

 

[Oli_P]

Du kannst bei Antivir bleiben oder einen der anderen kostenlosen Alternativen probieren (Avast, AVG, MSE, ...). Die sind aber kein vollkommener Schutz, du mußt schon aufpassen beim surfen. Ein korrekt konfigurierter Browser und ein aktuelles System (neueste Updates immer installiert) sind da schon eine Hilfe. Aber ich verweise nochmals auf das Tutorial von Boogeyman. Da ist vieles erklärt.

So eine ISS wie von Norton oder GDATA kannst du unter Umständen nutzen, wenn du ohne Router online gehst... also dein PC direkt mit dem Internet verbunden ist. Dann hast du auch eine integrierte Software Firewall (deren Nutzen allerdings umstritten ist). Es gibt aber auch hier kostenlose Alternativen wie die Lösung von Comodo. So eine Software musst du aber auch bedienen können. Ist diese nicht korrekt konfiguriert, dann kann diese mehr schaden als nutzen.

 

[HisN]

Wenn Du Dein Verhalten gegenüber Software aus undurchsichtigen Quellen änderst (Du weißt bestimmt ganz genau woher Dein Schädling gekommen ist) reicht ein freien AV völlig aus. "Einfach so" kommt glaub ich nur sehr wenig schädliche Software auf den eigenen Rechner.

Edit: zu lahm.

 

[Rulf]

tja...antivir bringt häufig fehlalarme...besonders wenn man die heuristic zu scharf einstellt(steht so auch in der hilfe)...dann kommen so virenmeldungen wie deine...bevor du nun dein ganzes system neu aufsetzt kannst du dich ja mal im net zu den angeblich betroffenen dateien informieren(zb hier > http://www.file.net/prozess/index.html < oder einfach per google)...dann kannst du das gefährdungspotenzial schon mal besser einschätzen, ob sich der ganze aufwand einer kompletten neuinstallation mit dem damit verbundenen datenverlust wirklich lohnt(wenn du 1000% sicher gehen willst mit kompletter neupartitionierung der festplatten damit du auch rootkits/bootsektorviren los wirst, nur formatieren reicht dann nicht)...homebanking würde ich jedenfalls nur in einer absolut sicheren umgebung betreiben(linux-livecd oder so) ansonsten gilt: bei jedem virenalarm erst mal tief durchatmen und hirn einschalten...durch blinden aktionismus richtet man am ende nur mehr schaden an als nutzen...umsonst haben nicht(fast) alle scanner ne reparaturfunktion(die wiederum mit verstand eingesetzt werden sollte)...

 

[Oli_P]

Ich hab nie Probleme mit Fehlalarme bei Antivir... Hab aber auch schon oft gelesen, daß es hier zu Problemen kommen kann. Nutze Antivir auf meinem Netbook, auf meinem PC hab ich Avast. Die Kisten rennen wie Sau

 

[DiGiTaT]

Problem: Bei kauf des PCS waren keinerlei System CDS dabei. wie soll ich dann win7 neu installieren?
Backup DVDs hab ich am Anfang gebrannt. Kann damit aber nichts anfangen.