Hallo zusammen,

und erst mal großes Lob an Euch. Es war für mich schon öfter sehr aufschlußreich sich hier zu informieren, wie man das eine oder andere Problem (nicht nur von mir) wieder in den Griff bekommt.

Jetzt hat es bei mir zugeschlagen.
Was bisher geschah:

Habe mir beim Besuch von Seiten mit sagen wir mal eher spärlich bekleideten Menschen mit eindeutigen Beschäftigungen diesen Wiederling eingfangen: XP Total Security
Ja, Strafe muß sein!
Avira hatte diverse Funde gemeldet und diese in Quarantäne verschoben. Exdoer.BE.2, TR/Drop.Softomat.AN, JAVA/MundGura.D usw.. Neben bei hat sich XP Total Security eingenistet.

Nannte sich im taskmanager hne.exe , konnte da auch kurzfristig gestoppt werden, bis man eine Aktion wie ein Programm starten gemacht hat und schwupps - da war er wieder.
Über die Suchfunktion konnte die hne.exe schnell im temp-Verzeichnis des zum Infektionszeitpunkt aktiven (eingeschränkten) Benutzers lokalisiert werden.
Andere Benutzerkonten waren offensichtlich nicht betroffen. Keinerlei Aktivität und augenscheinlich alles normal.

Also flugs gelöscht und Ende mit dem Spuk. Von wegen! Kein Programmstart mehr über Desktopikons, START/PROGRAMME ect. . Einige gingen trotzdem, Outlook z.B.. Denke mal weil die Verknüpfung auf C:\Dokumente und Einstellungen\All Users\Startmenü\Programme zeigt.

Somit dann mal fleißig Informationen gesammelt über Entfernung von XP Total Security / XP Total Security 2011 und Freunden.
z.B. bei Euch (http://www.trojaner-board.de/95835-x...entfernen.html)

Also rkill + malwarebytes (aktualisiert) angewendet und Funde dann auch beseitigen lassen.
Logs:
rkill 03.06.2011.log
mbam-log-2011-06-06 (07-58-01).txt
mbam-log-2011-06-03 (16-00-07).txt
mbam-log-2011-06-03 (17-12-42).txt


Weiterhin keine Programmstarts.

Nächste Idee: Versuch mit Adminrechten (anderes,bestehendes Konto / abgesicherter Modus) Systemwiederherstellung auf 2 Tage vor Befall. Ja, hab dann später auch gelesen, daß das eher nicht der Bringer ist. Muß sagen: stimmt!
Folgende Meldung: Ordner wurden umbenannt
C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\p0nmvvq1.default\Cache(2)
C:\Dokumente und Einstellungen\user2\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\p0nmvvq1.default\Cache(2)
(beides eingeschränkte Benutzer, Daten sind noch vorhanden falls benötigt)

wieder fleißig gegoogelt

Anschließend das Problem der nicht startenden exe Dateien Schritt für Schritt manuell beseitigt. Soll heißen erst mal registry gesichert und dann anhand von z.B. rkill.reg (C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temp\RarSFX0\rkill.reg) und anderen Beispielen aus dem Netz alle Schlüssel und Werte entfernt / korregiert, die eindeutig mit XP Total Security (z.B. regedit - STRG+F - hno.exe) in Zusammenhang stehen, bzw. das Ausführen von exe Dateien ermöglichen.
Weiter aus den temp Ordnern + Papierkorb offensichtlich dazugehörigen Schrott gelöscht.


So weit - so gut. User1 läuft wieder.


Dann umgehend das XP SP3 Update Pack 3.32 (Voll) von WinFuture (ich hoffe das ist so korrekt genannt, sonst bitte entfernen) laufen lassen. Lief sauber durch.

trotzdem solche Meldungen Ereignisanzeige:

Ereignistyp: Fehler
Ereignisquelle: HotFixInstaller
Ereigniskategorie: Keine
Ereigniskennung: 5000
Datum: 05.06.2011
Zeit: 19:07:06
Benutzer: Nicht zutreffend
Computer: PC1
Beschreibung:
EventType visualstudio8setup, P1 microsoft .net framework 3.5-kb2418240, P2 1031, P3 1605, P4 msi, P5 f, P6 9.0.40302.0, P7 install, P8 x86, P9 xp, P10 0.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp.

mehrere Male mit wechselnder 3.5-kb24**** bzw. 2.0-kb24****
und

Ereignistyp: Fehler
Ereignisquelle: NativeWrapper
Ereigniskategorie: Keine
Ereigniskennung: 5000
Datum: 05.06.2011
Zeit: 19:06:53
Benutzer: Nicht zutreffend
Computer: PC1
Beschreibung:
Die Beschreibung der Ereigniskennung ( 5000 ) in ( NativeWrapper ) wurde nicht gefunden. Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. Möglicherweise müssen Sie das Flag /AUXSOURCE= zum Ermitteln der Beschreibung verwenden. Weitere Informationen stehen in Hilfe und Support. Ereignisinformationen: visualstudio7x80update; msiexec.exe; 1.0.1686.5002; kb2416447; 1031; 66a; f; install; x86; 5.1.2600.2.3.0.768; 0.

und so was:

Ereignistyp: Informationen
Ereignisquelle: MSDTC
Ereigniskategorie: TM
Ereigniskennung: 2444
Datum: 07.06.2011
Zeit: 22:56:27
Benutzer: Nicht zutreffend
Computer: PC1
Beschreibung:
MS DTC wurde mit den folgenden Einstellungen gestartet:

Sicherheitskonfiguration (AUS = 0 und EIN = 1):
Netzwerkverwaltung von Transaktionen = 0,
Netzwerkclients = 0,
Eingehende verteilte Transaktionen mithilfe des systemeigenen MSDTC-Protokolls = 0,
Ausgehende verteilte Transaktionen mithilfe des systemeigenen MSDTC-Protokolls = 0,
Transaction Internet Protocol (TIP) = 0,
XA-Transaktionen = 0

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp.

Habe da aber noch nicht weiter nach geschaut, was das so zu sagen hat.


Weiter mit Update auf Firefox 4.0.1 (vorher 3.*** , akteller Stand)


Avira AntiVir Personal - FREE Antivirus
aktueller Stand:
Produktversion 10.0.0.648 01.04.2011
Suchengine 8.02.05.12 01.06.2011
Virendefinitionsdatei 7.11.09.91 07.06.2011
Control Center 10.00.12.29 02.08.2010
Config Center 10.00.13.16 02.08.2010
Luke Filewalker 10.00.04.02 30.04.2011
AntiVir Guard 10.00.01.58 16.03.2011
Filter 10.00.08.07 23.11.2010
Planer 10.00.00.21 30.04.2011
Updater 10.00.00.37 30.04.2011

automatische Updates laufen auch wieder problemlos nach Benutzeranmeldung selbstständig
Habe nach weiterer Infosuche zwecks Trojaner ect. 2 Suchläufe nach Angaben aus dem avira forum durchgeführt.
Logs:
AVSCAN-20110607-225612-85AB8FD8.LOG
AVSCAN-20110607-021113-6429F904.LOG

zusätzlich noch die letzten Ereignisse von Avira
Log:
avira free Ereignisse seit 03.06.2011.txt


Wie Ihr schon richtig sagt unter Punkt 6 der 7 goldenen Regeln: Das Verschwinden der Symptome bedeutet nicht, dass der PC auch wirklich sauber ist.

Somit möchte ich nun ganz nett um Hilfe bitten bei der weiteren Überprüfung/Reinigung, sofern machbar.

Habe mich dann nach dieser Anleitung von Euch: "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?"- Punk 2, weiter vorbereitet und auch diese Logs beigefügt.

Schritt 1- defogger: meldet Fehler + kein Neustart. Ausgeführt als eingeschränkter Benutzer (user1) oder "auführen als" aktueller Benutzer (user1) + Haken weg bei: .... nicht autorisierter Programmaktivität..... , bei "auführen als" -mein administratives Konto- (user0) läuft er zwar durch, verlangt aber auch keinen Neustart.
Schritt 2 - OTL: keine Probleme
Schritt 3 - gmer: läuft nur unter administrativem Konto, also auch nicht mit "ausführen als". Log ist recht kurz.

Begebe mich jetzt vertrauensvoll in Eure Hände und hoffe auf Hilfe.

Sollten mir unbeabsichtigte Fehler unterlaufen bei meinen Angaben wäre ich für einen freundlichen Hinweis dankbar. Dann kann ich es beim nächsten mal bestimmt besser machen.


Was dann noch interressant wäre: Handy (Win mobile 6.1pro) wird per per activesync (4.5.0) mit outlook synchronisiert und manchmal auch als mobiler Datenträger verwendet. Bitte entsprechende Infos zum Infektrisiko in diesem Fall geben.

Zitat:

'D:\Prog_D\****\****\****.RET\****.RET.ISO\***8.iso'

Hm was mag das sein und aus welcher Quelle stammt es?

Hallo Arne

Vielen Dank erst mal, daß Du dich meinem Problem angenommen hast. Der Eintrag war von einem Versuch 2007 eine selbergebastelte Wiederherstellungs CD zu erstellen. Habe das iso wegen der Avirameldung dann gelöscht. Die Meldung kam auch erst, als ich die Rekursionstiefe bei Archiven gem. Anleitung im Avira Forum nicht mehr eingeschränkt habe. Vorher war Standard 20 eingestellt. Die * enthielten meinen Namen + einen Firmennamen.
Grüße

Zitat:

NOT logged in as Administrator.

Das OTL-Log kannst du so vergessen. Sollte eigentlich klar sein, dass man für Analysezwecke immer Adminrechte braucht.

Hallo Arne
Nee, war mir so nicht klar. Es wird in der Anleitung immer nur bei Vista und Win7 User mit Rechtsklick "als Administrator starten" geschrieben.
Werde also noch mal ein Log machen mit administrativem Konto.

Grüße

Hallo Arne

So, hier noch mal OTL log + defogger log

Grüße

Zitat:

Hallo Arne
Nee, war mir so nicht klar.

Liegt aber eigentlich auf der Hand. Um das System zu analysieren braucht man volle Rechte, viele Tools laufen ohne Adminrechte garnicht. Für Vista/7 hat man nur den Hinweis, weil es dort die UAC gibt, die dafür sorgt dass trotz Adminrechte Programme nicht mit vollen Rechten laufen, das hat man nur bei deaktivierter UAC oder eben per Rechtsklick => als Admin ausführen.

Das OTL-Log sieht unauffällig aus.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Hallo Arne

2x durchlaufen lassen. 1.x avira guard aktiv, 2.x deaktiviert. Beide male nichts.
Start dauerte recht lange. (>30sec) bis zur Frage ausführen oder nicht.

Das hier: Avira -
automatische Updates laufen auch wieder problemlos nach Benutzeranmeldung selbstständig

aus meinem Eröffnungsbeitrag muß ich revidieren! War 2x, jetzt nicht mehr. Manuelle Updates werden ausgeführt.

Irgend was beschäftigt den Rechner auch gerade. Lüfter läuft permanent. Mitlerweile gute 20Min. War unter administrativem Konto für TDSSkiller Durchlauf nicht. Das kommt sonst nur beim anschauen von Clips ect. manchmal vor.
Werden doch nicht dei 25 Smilies sein hier rechts neben dem Eingabefeld.
Taskmanager tat sich beim öffnen grade ebenfalls schwer. Ging erst im Hintergrund auf, nachdem ich über die Taskleiste ein Explorerfenster angezeigt habe.
Aktuell 1x Firefox Eure Antworten Seite, 1x Explorer und taskmanager.
Leerlauf bei 99 - 30%
FF 3 - 70%
hin und wieder
system.exe mit 2- 5 %
jqs.exe mit 6%

Systemleistung dauerhaft bei ca. 75% ±10%


Grüße

Hallo Arne

So, Antwort abgeschickt - und Ruhe ist nach 5 sec. Waren wohl doch die Smilies.

Grüße

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne

Hier das combofix log


Viele Grüße

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Arne

So, alles erledigt. Gmer lief sauber durch, log ist abr auch nicht länger als das aus dem Eröffnungsppost.
OSAM + MBRCheck auch keine Probleme.
Alle Logs beigefügt.

Viele Grüße


Nebenbei: Respekt, an die 60 posts / Tag, da kommst ja kaum weg vom Rechner. Vor allem auch noch alles auswerten.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne

Hier die weiteren logs wie angegeben. Mir fällt auf, das einige Funde von offensichtlich seriösen Programmen stammen. Tourenplaner, CAD ect.. Wie kommt so was?

Viele Grüße