Schlimme Funde?

Hallo miteinander!
Bei einem Suchlauf mit Malwarebytes' bekam ich Meldungen gem. angehängter Textdatei.
Was ist zu tun?

Gruß Cliff

 

Ich kann noch nachtragen, daß eine Prüfung der infizierten Dateien bei Virustotal folgendes Ergebnis brachte:
Programme\agfull.dll = kein Befund
Programme \ogg.dll = mehrheitlich kein Befund, nur eSafe meldet "suspicious file"
Programme \vorbis.dll = wie vorstehend
Programme\vorbisenc.dll = wie vorstehend
Programme\vorbisfile.dll = mehrheitlich kein Befund, nur eSafe meldet "suspicious file" und Trend Micro vermerkt "PAK Generic.001"
Ist alles doch nur ein Fehlalarm?

Gruß Cliff

 

Hast du das SecurityCenter von XP selbst deaktiviert?

Code:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Welches OnlineGame ist installiert?

Die angebliche Spyware lässt sich vielleicht über das Entfernen eines Autostarteintrags lahm legen. --> www.pcwelt.de/forum/showthread.php?t=134046

 

Hallo deoroller!

Installation eines Online-Games habe ich nicht vorgenommen, auf meinem PC gibt es keine Spiele.
Das Security-Center wurde von einem PCWelt -Tool im Zuge nach der Suche für unbenötigte Dienste deaktiviert.
Hijackthis-Log ist angehängt.

Cliff

 

Hallo cliff madison

Soweit ich das beurteilen kann, sieht das Logfile sauber aus.

Gruß
Nevok

 

@Nevok
Danke für die Prüfung. Welche Schlußfolgerung ergibt sich jetzt?
Fehlalarm oder nicht?

Cliff

 

Ich würde sagen, die von Malwarebytes "bemängelten" Dateien sind harmlos. Wenn sich dein Rechner nicht irgendwie merkwürdig verhält, würde ich mir keine Sorgen machen.

Gruß
Nevok

 

Du kannst die DLL-Dateien unter C:\Programme\ suchen und in ein eigenes Verzeichnis zur Aufbewahrung verschieben. Ohne passendes Programm sollte das keine Auswirkungen haben und falls sich eins meldet, das eine DLL vermisst, kannst du dich noch einmal melden oder das Programm deinstallieren, falls es nicht erwünscht ist.
Dazu dann noch die Ansicht in den Ordneroptionen umstellen, damit sie auch angezeigt werden:

• Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
• Geschützte Systemdateien ausblenden deaktivieren
• Versteckte Dateien und Ordner: Alle Dateien und Ordner anzeigen aktivieren

 

Dank an alle für die Stellungnahmen.
Ein Scan mit Avira Antivir Premium, neueste Version 9, hat keine Funde angezeigt. Ist das nicht ein weiterer Hinweis, daß hier doch ein Fehlalarm vorliegt?

Gruß Cliff

 

Ist in den in den Erweiterten Gefahrenkategorien Security Privacy Risk (SPR) aktiviert?

 

@deoroller
Wo kann ich das nachsehen? Kenne mich leider nicht so gut aus.

Cliff

 

Extras-Konfiguration(F8)
Exptertenmodus aktivieren
Allgemeines-Erweiterte Gefahrenkategorien
Wenn du Hilfe brauchst, kannst du einfach F1 drücken und die Hilfe öffnet dann das Thema, das auch im Avira Menü gerade geöffnet ist.

 

Hallo, deoroller!
Jetzt habe ich die beanstandeten 5 Dateien in einen neuen Ordner zur "Zwischenlagerung" verschoben.
Ordneroptionen wurden gem. Deinem Hinweis gändert
In Avira habe ich den SPR-Modus aktiviert bzw habe alles aktiviert.
Jetzt ganz direkt gefragt: kann ich auf ein Neuaufsetzen verzichten?

Gruß Cliff

 

Ja, es gab ja ansonsten keine Anzeichen eines Schädlingbefalls.
Die Frage bleibt offen, wie die Dateien dahin kamen.
Normalerweise werden DLLs unter system32 (geschützte Systemdateien noch zusätzlich unter \system32\dllcache) oder im Ordner des Programms gespeichert. Der Speicherort direkt unter c:\programme ohne Unterverzeichnis ist ungewöhnlich.

 

Hallo, deoroller!
Deine Antwort beruhigt mich jetzt schon. Trotzdem habe ich noch einmal einen Scan mit Malwarebytes' gemacht, Ergebnis im Anhang.
Da bereits darauf hingewiesen wurde Bad1) und Good0) habe ich die drei genannten Schlüssel in der Registry von 1 in 0 geändert. Als ich in der Registry das Security Center/ Monitoring aufgerufen habe, war ich aber doch sehr erstaunt, wieviele Firmen dort aufgeführt sind: u. a. Kaspersky, Mc Afee, Panda , Symantec usw. Einige sowohl als Antivirus und auch als Firewall.
Ist das in Ordnung? Habe Produkte dieser Firmen bis auf Kaspersky nie benutzt.

Gruß Cliff

 

Bad1) und Good0) heißt, dass Malwarebytes' selbst nicht weiß, ob der Eintrag gut oder schlecht ist und die Entscheidung dem Anwender lässt. Da du das Sicherheitscenter selbst deaktiviert hast, ist der Eintrag gut, also nicht schädlich.
Hättest du das Sicherheitscenter nicht selbst deaktiviert, ist er eher schlecht, da er von einem Schädling herbeigeführt sein kann. Oder es kann von einem Tuningtool geändert worden sein. Dann sollte man aber davon wissen.

Du kannst das Security Center zurücksetzen. Dann fängt es wieder bei Null an.

1) Den Dienst "Windows-Verwaltungsinstrumentation" beenden.
2) Im Pfad C:\windows\system32\wbem\ den ganzen Ordner "Repository" löschen.
3) Den Dienst "Windows-Verwaltungsinstrumentation" wieder aktivieren.
4) Computer neu starten.

Beim Hochlauf erstellt Win XP den Ordner Repository wieder.

 

Hallo, deoroller!

Ich habe alles so durchgeführt, wie von Dir vorgeschlagen. Mit Deiner tatkräftigen Hilfe bin ich wohl noch einmal davongekommen. Dafür danke ich Dir sehr.
Ein neuer Scan zeigt keine Funde mehr an.

Viele Grüße

Cliff