Problem: -Popups ohne Aufruf des Browsers (Zumeist sehr unangenehme Seiten)
-Ad-Aware / Antivir finden einen Trojaner "scsiusr4.dll", können diesen aber nicht beheben und stürzen ab!
Anschießend habe ich einen Hijackthis-log gemacht und dabei folgendes herausbekommen:
Logfile of HijackThis v1.99.1
Scan saved at 16:04:04, on 12.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Program Files\PViever\pviever.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Christine\Desktop\Vir\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://x4al.com/?lang={SUB_RFC1766}&id=170201055066900177
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://x4al.com/?lang={SUB_RFC1766}&id=170201055066900177
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://x4al.com/?lang={SUB_RFC1766}&id=170201055066900177
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://x4al.com/?lang={SUB_RFC1766}&id=170201055066900177
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://x4al.com/?lang={SUB_RFC1766}&id=170201055066900177
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\msdun.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Programme\MediaRing Talk\register.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [udc6cw] "C:\Programme\DriveCleaner 2006 Free\udc6cw.exe" -c
O4 - HKLM\..\Run: [PViever] "C:\Program Files\PViever\pviever.exe" hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{C730F778-6F52-4C4F-AA4E-F708596EF580}: NameServer = 85.255.116.39,85.255.112.105
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.39 85.255.112.105
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.39 85.255.112.105
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.39 85.255.112.105
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: scsiusr4 - C:\WINDOWS\SYSTEM32\scsiusr4.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe
---------------------------------------------------
Ich habe diesen Log über die kostenlose Website Auswerten lassen und folgenden Eintrag als negativ eingestuft gefunden:
O20 - Winlogon Notify: scsiusr4 - C:\WINDOWS\SYSTEM32\scsiusr4.dll
"scsiusr4.dll" ist auch genau der Trojaner, der bei Antivir/Ad-Aware gefunden wird und der beide Programme zum Absturz bringt!
Frage: Lohnt es sich noch diesen Computer zu scannen/den Virus, bzw. Trojaner zu entfernen, oder ist Formatieren hier schon Pflicht?
-->"scsiusr4.dll" Bei den Kommentaren der kostenlosen Auswertungsseite werden Finanzdaten erwähnt, die ausspioniert werden von diesem Trojaner. Dieser Fakt beunruhigt mich natürlich am meisten! Deshalb würde ich gern wissen, ob es überhaupt eine Möglichkeit gibt die Gefahr durch Antivirenprogramme vollständig zu bannen.
Tuffi Gast |