Hallo Board,

hatte vor den Feiertagen unerfreuliche Post von der Telekom mit dem Hinweis mein Rechner sendet Spam mails. Das anschließende Update von McAffee auf AntiVir brachte einen Befall an den Tag. Das gefundene wurde in Quarantäne gesetzt, allerdings lies sich bei AV der Echtzeit- und Browserschutz nicht aktivieren. Auffällig auch, daß die Windows firewall nicht mehr zu aktivieren ist.
Hab dann hier im Boad nachgelesen und einen Scan mit Malewarebytes durchgeführt und weitere Probleme an den Tag gebracht. Das Logfile findet Ihr anbei.

Ist der Rechner noch zu retten oder sollte er besser neu aufgesetzt werden?
Hab dies als letzte Konsequenz bei anderen Posts schon gelesen, kann aber mein Logfile nicht abschließend analysieren.

Als Betriebssystem läuft Win XP mit Servicepack 3.

Schon mal vielen Dank für Eure Hilfe



Hier das Logfile:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2012.12.28.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Doris :: DALLMAIER [Administrator]

28.12.2012 12:37:18
mbam-log-2012-12-28 (12-37-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 492072
Laufzeit: 1 Stunde(n), 23 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SYSHOST32 (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKLM\SYSTEM\CurrentControlSet\Services\syshost32|ImagePath (Trojan.Agent) -> Daten: "C:\WINDOWS\Installer\{4D506B2D-35B3-F947-D3D6-B7DFB385599D}\syshost.exe" /service -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 4
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-3517319079-639493732-2454822723-1005\$ff24043d55f85ce9a20a8337d9b4b888\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\RECYCLER\S-1-5-21-3517319079-639493732-2454822723-1005\$ff24043d55f85ce9a20a8337d9b4b888\n (Trojan.0Access) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\n (Trojan.0Access) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U\800000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{4D506B2D-35B3-F947-D3D6-B7DFB385599D}\syshost.exe (Trojan.Agent) -> Löschen bei Neustart.

(Ende)

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

• Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast.
• Nur Scanns durchführen zu denen Du aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor). Nicht anhängen ausser ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
• Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
• Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
• Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
• Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
• Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Wir fangen erst an zu bereinigen, wenn du mir das hier bestätigst und dich anschliessend daran hälst.

Gelesen und verstanden?


Schritt 1:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2:
Scan mit MBAR

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo Ryder,

habs gelesen und hoffentlich verstanden.
Vielen Dank für die Unterstützung!
Hier das Logfile von AdwCleaner:
## AdwCleaner v2.103 - Datei am 28/12/2012 um 16:25:14 erstellt
# Aktualisiert am 25/12/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Doris - DALLMAIER
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Doris\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FZBHLW3G\adwcleaner[1].exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Programme\Mozilla Firefox\.autoreg
Ordner Gelöscht : C:\DOKUME~1\Doris\LOKALE~1\Temp\AskSearch
Ordner Gelöscht : C:\Dokumente und Einstellungen\Doris\Eigene Dateien\Software

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\NCTAudioCDGrabber2.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\91E7904B9D0FA179D13E0278C96B2EE1D5DBD5C7
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.ask.com?o=10148&l=dis&tb=AVR-4 --> hxxp://www.google.com

*************************

AdwCleaner[S1].txt - [2756 octets] - [28/12/2012 16:25:14]

########## EOF - C:\AdwCleaner[S1].txt - [2816 octets] ##########
#

Weiteres folgt sogleich.

Gelesen und verstanden?

verstanden!

Hallo Ryder,

hier das Logfile von Malwarebytes-Anti-Rootkit:
#
Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org

Database version: v2012.12.28.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
:: DALLMAIER [administrator]

28.12.2012 17:00:32
mbar-log-2012-12-28 (17-00-32).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 28297
Time elapsed: 22 minute(s), 24 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.

Registry Values Detected: 2
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD|CDBurn (Hijack.Trojan.Siredef.C) -> Data: {fbeb8a05-beee-4442-804e-409d6c4515e9} -> Delete on reboot.
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD|CDBurn (Hijack.Trojan.Siredef.C) -> Data: -> Delete on reboot.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 6
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-3517319079-639493732-2454822723-1005\$ff24043d55f85ce9a20a8337d9b4b888\U (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\L (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-3517319079-639493732-2454822723-1005\$ff24043d55f85ce9a20a8337d9b4b888\L (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888 (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-3517319079-639493732-2454822723-1005\$ff24043d55f85ce9a20a8337d9b4b888 (Trojan.Siredef.C) -> Delete on reboot.

Files Detected: 3
C:\WINDOWS\system32\drivers\d19e0b9677a86cb.sys (Rootkit.Necurs) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\@ (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-3517319079-639493732-2454822723-1005\$ff24043d55f85ce9a20a8337d9b4b888\@ (Trojan.Siredef.C) -> Delete on reboot.

(end)
#

habs anschließend nochmals gestartet und dann keine Meldungen mehr erhalten. Hier das Logfile:
#
Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org

Database version: v2012.12.28.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Doris :: DALLMAIER [administrator]

28.12.2012 17:29:24
mbar-log-2012-12-28 (17-29-24).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 28427
Time elapsed: 22 minute(s), 23 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
#

Vielen Dank

Das war schon mal gut.

Scan mit Combofix

Zitat:

WARNUNG:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo ryder,

der Scan mit Combofix ist gelaufen. Datei wurde auf Desktop gespeichert und ausgeführt. Allerdings hab ich jetzt die Situation das Logfile Combofix.txt und C:/combofix/combofix.txt zu finden. Auf das File kann ich allerdings nicht zugreifen (weder öffnen noch kopieren). Unter C:/ direkt ist keine Datein combofix.txt zu finden.
Soll Combofix nochmals gestartet werden?

Das Logfile befindet sich entweder direkt auf C: oder in c:\qoobox

in CQoobox hab ich nur die Ordner BackEnv, LastRun, Quarantine, Test und TestC. Keine Dateien

Dann lass es bitte nochmals laufen.

Hallo ryder,

es ist nochmals durchgelaufen. Hatte dann einen BlueScreen. Rechner ist jetzt neu gestartet und wieder "funktionsfähig". Allerdings finde ich in C: und C:/Qoobox keine Combofix.txt. Die Datei Combofix.txt in C:/Combofix ist allerdings aktualisiert worden. Zugriff hab ich aber noch immer nicht.
Soll ich vorsichtshalber erstmal den Festplatteninhalt auf ne externe Platte sichern, auch wenn evtl Malware drauf ist?

Probiere bitte folgendes:

Benenne die Combofix.exe um in NoMBR.exe und probiere es nochmals.

Hallo Ryder,

habs nochmals versucht mit geändertem Dateinamen. Der Scan läuft dann durch bis Stufe 50. Dann kommt kurz "Lösche Dateien", dann BlueScreen und Neustart. Wieder kein Logfile.
Sieht für mich so aus, als würde er den Durchlauf nicht abschließen können....

Und das ist ein Konto mit Administratorrechten?

ja.