Anti-Bot-CD von Computer-Bild

Probier es mit einem weiteren Scan aus. Evtl werden die nochmal gefunden, sofern die nur umbenannt und nicht in eine von diesem Tool eigene Quarantäne verschoben wurden.

Kannst Du Dich wenigstens noch in etwa erinnern wo und was diese Funde waren?
Malwarebytes war aktuell und ein Vollscan?  

Danke für die Antwort.
Ich werde mit der Anti-Bot-CD nochmals einen Scan machen - Info folgt.
Das Logfile sieht wie folgt aus:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:33:42, on 22.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\Ati2evxx.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\Ati2evxx.exe
J:\WINDOWS\Explorer.EXE
J:\WINDOWS\system32\spoolsv.exe
J:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
J:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
J:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe
J:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe
J:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe
J:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
J:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
J:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
J:\Programme\F-Secure Internet Security\Common\FSHDLL32.EXE
J:\Programme\Java\jre6\bin\jqs.exe
J:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
J:\Programme\F-Secure Internet Security\Common\FSM32.EXE
J:\WINDOWS\Dit.exe
J:\Programme\OO Software\Defrag\oodtray.exe
C:\Eigene Dateien\Eigene Dokumente\Handy\SupServ.exe
J:\Programme\OO Software\Defrag\oodag.exe
D:\Programme\Geburtstagsmanager\burz.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
J:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
J:\WINDOWS\system32\ctfmon.exe
J:\Programme\HDD Health\hddhealth.exe
J:\WINDOWS\System32\svchost.exe
J:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe
J:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Programme\PSI\psi.exe
J:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
J:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
J:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
J:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
J:\Programme\Outlook Express\msimn.exe
J:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kabelbw.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - J:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: LitmusBHO - {C6867EB7-8350-4856-877F-93CF8AE3DC9C} - J:\Programme\F-Secure Internet Security\NRS\iescript\baselitmus.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - J:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - J:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - J:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - J:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Browsing Protection Toolbar - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - J:\Programme\F-Secure Internet Security\NRS\iescript\baselitmus.dll
O4 - HKLM\..\Run: [F-Secure Manager] "J:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "J:\Programme\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [NeroFilterCheck] J:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [OODefragTray] J:\Programme\OO Software\Defrag\oodtray.exe
O4 - HKLM\..\Run: [Adobe ARM] "J:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [GeburtstagsManager] D:\Programme\Geburtstagsmanager\burz.exe /silent
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "J:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] J:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HDDHealth] J:\Programme\HDD Health\hddhealth.exe -wl
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI.lnk = C:\Programme\PSI\psi.exe
O4 - Global Startup: Denk Dran!.lnk = J:\Programme\DATA BECKER\Denk Dran!\BdR.exe
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///C:/Eigene%20Dateien/Eigene%20Videos/Weinlese_2009/components/hidinputmonitorx.ocx
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://L:\content\include\XPPatchInstaller.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file:///C:/Eigene%20Dateien/Eigene%20Videos/Weinlese_2009/components/wmvhdrating.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - J:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - D:\Programme\PhotoshopElementsFileAgent.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - J:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - J:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - J:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DATA BECKER Update Service (DBService) - DATA BECKER GmbH & Co KG - J:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe
O23 - Service: Emma Device Management (EmmaDevMgmtSvc) - Sony Ericsson Mobile Communications - J:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe
O23 - Service: Emma Update Management (EmmaUpdMgmtSvc) - Sony Ericsson Mobile Communications - J:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - J:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\Programme\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - J:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - J:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - J:\Programme\F-Secure Internet Security\ORSP Client\fsorsp.exe
O23 - Service: Google Update Service (gupdate1c9857e706f0ace) (gupdate1c9857e706f0ace) - Unknown owner - J:\Programme\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - J:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - J:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Eigene Dateien\Eigene Dokumente\Handy\SupServ.exe
O23 - Service: O&O Defrag (OODefragAgent) - O&O Software GmbH - J:\Programme\OO Software\Defrag\oodag.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - J:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - J:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: UPnPService - Magix AG - J:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 10032 bytes

Mit Malwarebytes habe ich auch nochmals gescannt:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4669

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.09.2010 10:27:38
mbam-log-2010-09-22 (10-27-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|J:\|)
Durchsuchte Objekte: 284537
Laufzeit: 1 Stunde(n), 2 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{89A389D5-C26D-47D0-BB99-12F7B602DB33}\RP249\A0063547.dll (Adware.WidgiToolbar) -> No action taken.
J:\System Volume Information\_restore{89A389D5-C26D-47D0-BB99-12F7B602DB33}\RP239\A0061995.dll (Adware.WidgiToolbar) -> No action taken.

WidgiToolbar hatte ich schon einmal und war der Meinung, dass ich diese eliminiert hätte - was soll ich hier tun?

Gruß
Bosco



 

No action taken.

Neustart , MBAM mit Update wiederholen ...

http://free.antivirus.com/hijackthis/

Aktualisieren ...

Man sollte auch schon mal die Pfade beachten. System Volume Information ist der Ordner für die Systemwiederherstellung und wenn sich in einem oder allen Punkten ein Schädling breitgemacht hat, sollte man alle Punkte löschen, damit nicht das System erneut infiziert wird, falls man einen Wiederherstellungspunkt zurückspielt...

MBAM erledigt das m.E. beim Restart ... daher mein Vorschlag ..
 

Es werden einzelne Dateien aus den Wiederherstellungspunkten gelöscht. Ich halte das nicht für sinnvoll. Wiederherstellungspunkte zu einem Zeitpunkt wo der Computer infiziert war sind unbrauchbar.

System Volume Information ist der Ordner für die Systemwiederherstellung und wenn sich in einem oder allen Punkten ein Schädling breitgemacht hat, sollte man alle Punkte löschen, damit nicht das System erneut infiziert wird, falls man einen Wiederherstellungspunkt zurückspielt...

Ist das so zu verstehen, dass ich alle bisherigen Systemwiederherstellungspunkte löschen soll und dann einen neuen Punkt setze? Das scheint mir sinnvoll und werde ich wohl tun.

Wie aber finde ich, entsprechend meiner Eingangsfrage, den gespeicherten Scan-Bericht von der Anti-Bot-CD? Der PC wurde von dieser CD gestartet - wo könnte denn der Bericht zu finden sein? Es war blöd von mir, dass ich da nicht aufgepasst habe, aber ich dachte, dass, wenn die CD erneut eingelegt wird, der Speicherplatz zu finden ist.
Wie schon gesagt, werde ich in den nächsten Tagen einen erneuten Scan damit machen, in der Hoffnung, dass auch die fraglichen und umbenannten Dateien wieder erscheinen, damit ich dann klären kann, was es damit auf sich hat.
Gruß
Bosco
 

 

Ist das so zu verstehen, dass ich alle bisherigen Systemwiederherstellungspunkte löschen soll und dann einen neuen Punkt setze? Das scheint mir sinnvoll und werde ich wohl tun.

Naja, Du kannst auch alle jetzigen (manuell) löschen und jetzt einen aktuellen setzen. Eigentlich empfehle ich immer, bei Infektion die SWH komplett auszuschalten (das löscht auch alle Punkte) und bei abgeschlossener Bereinigung wieder zu aktivieren. Sofern erwünscht, denn besonders viel halte ich von der SWH nicht. In vielen Fällen versagte sie, da mach ich lieber Images von Systemen (Abbilder der Systempartition) und speicher diese extern weg.

Spar dir erstmal den Scan mit Malwarebytes, mach lieber Logs mit OTL. Am besten zipst Du alle Logs in eine (ZIP-)Datei und lädst sie bei http://www.file-upload.net hoch und verlinkst das ganze hier.

Eine Anleitung OTL findest Du notfalls auch im TB:

http://www.trojaner-board.de/85104-otl-otlogfile-oldtimer.html

Es werden einzelne Dateien aus den Wiederherstellungspunkten gelöscht. Ich halte das nicht für sinnvoll. Wiederherstellungspunkte zu einem Zeitpunkt wo der Computer infiziert war sind unbrauchbar.

Solange ich nicht weiß , ob ich nicht wegen veränderter REG noch einen Punkt der S-W brauche , lasse ich sie in Ruhe ...
Denn ich kann ggf dann das System hochfahren , um den gröbsten weiteren Müll VOR einer Datensicherung beseitigen .

Ansonsten war MBAM in der Hinsicht immer sehr zuverlässig ....

 

Ansonsten war MBAM in der Hinsicht immer sehr zuverlässig ....

Ähm, sonst wird bei jedem Fund formatiert aber die SWH ist heilig wenn in ihr was gefunden wird? 

 

um den gröbsten weiteren Müll VOR einer Datensicherung beseitigen .

Mit dem Ziel format c: => da braucht es keine Bereinigung, damit der gröbste Müll wegkommt. Selektives Sichern relevanter Daten - reiner Datendateien, nicht Ausführbares - und gut ist. Dann kann plattgemacht werden.