Hallo,

Habe jetzt den AntiVir und die SUPERAntiSpyware laufen,

Es gelang außerdem die Sygate lokale Firewall zu installieren. Kurz nach dem Neustart des PC und dem Starten der Firewall kam jedesmal der Absturz. Habe bereits einen Deadlock befürchtet. Doch glücklicherweise gelang es mir, die lokale Firewall mit Hilfe des RegCleanr wieder zu deinstallieren.

Jetzt läuft der PC wieder mit den erwähnten Einschränkungen und Abstürzen.

Werde die Eintragungen im Bluescreeen bei Benutzung von BartPE auch noch nachliefern.

Gruß,

Christian124

Hallo,
ich hab mich bzgl. eurem Thema noch nicht gemeldet, daher meine Frage:
Hast du schon chkdsk ausprobiert?
Falls ja, dann war ich wohl zu langsam

Falls nein, dann schau mal hier => Link

mfg

Hallo,

Werde das auch noch ausprobieren,
Habe aber die Festplatte C:\ defragmentiert ohne dass Probleme oder Fehlermeldungen auftraten.

Bin gespannt, ob chkdsk etwas gebracht hat.
Lass es uns dann wissen

mfg

Vielen Dank,

Werde das Alles ausprobieren !

An dieser Stelle noch eine Frage:

Was muss man bein Posten eines autoruns Log-Files beachten ?

Gruß,

Christian124

Diese Athlons verbrauchen viel Strom und werden entsprechend heiß. 67°C ist zwar noch ok, falls das aber im Leerlauf gemessen ist, befürchte ich, dass die Temperatur unter Last wohl zu hoch wird. Ich hab ein Athlonsystem das unter voller Last ca. 65 °C erreicht, Leerlauf ca. 40 °C.

Die Plattentemperaturen sind zu viel hoch. Alles jenseits von 40 °C ist schlecht, weniger ist deutlich besser.

Autoruns: Vor allen Dingen dass es vollständig und unverändert ist. Ich persönlich benutze eine Auswertungssoftware, die alles andere nicht mag. Außerdem ist die Länge eines Beitrags hier im Forum stark begrenzt, zu sehr für ein solches Log. Das Log aus diversen Beiträgen rekonstruieren ist Extraarbeit, da lädst Du es besser bei File-Upload hoch und bringst hier den Download-Link.

Hallo,

Chkdsk hat auch nichts gefunden !

Aber Malwarebytes Anti-Malware fand 10 Malware des Typs RogueSmart und Rogue.Multiple. Habe diese Malware beseitigt.
Nach Systemneustart wurde nur noch Rogue.Multiple gefunden. Habe dieses erneut beseitigt. Nach ca. 1 Stunde fand der Scan erneut Rogue.Multiple.

Sieht man im Internet unter Rogue und Malware nach findet man u.A. den Gozi-Trojaner, der sich durch MS Sicherheitslücken auf dem System installiert. Die Beschreibung passt sehr gut auf das, was ich auf meinem befallenen PC erlebt habe:

Die meisten gängigen auf Basis von Virensignaturen arbeitenden Virenscanner können nur mit geringer Wahrscheinlichkeit die Installation dieses Trojaners verhindern und finden ihn meistens nicht.
Der Trojaner ist überhaupt schwierig zu identifizieren, da er sehr gut getarnt ist !
Hat einen Keylogger.
Kann Systemabstürze verursachen.
Ist ansonsten aber eher unauffällig

Was kann man weiter tun ?

Zitat:

Habe seit Ende April,Anfang Mai einen hartnäckigen Trojaner

Also ein viertel Jahr bist Du jetzt schon fast am basteln. Der Thread hier läuft auch schon einige Zeit, ich denke wir haben jetzt alles durch, was man hier im Rahmen eines Forums probieren kann. außer vielleicht: einmal gründlich das System neu aufsetzen. Inklusive löschen und neuanlegen aller Partitionen. wenn es wirklich kein Trojaner wäre, müsste er dann weichen. Aber das willst Du ja aus irgendwelchen Gründen nicht.

Jetzt schlag ich vor, dass Du dir eine Fachwerkstatt suchst, denen den Computer auf den Tisch stellst, ihnen genau berichtest, was los ist und ihnen den Auftrag erteilst, den Computer fit zu machen. Da sind die richtigen Pferdeflüsterer, Psychoanalytiker und Exzorzisten. Eventuell spart es ihnen etwas Arbeitszeit (und dir damit Geld) wenn Du ihnen einen Link auf diesen Thread gibst.


Man bekommt kaum die Informationen hier zu sehen, die man bräuchte, sondern im wesentlichen Geschwafel von der Psyche eines Trojaners. Ich hab einfach keine Lust mehr.

Endlich hat ein Malware-Scanner-Programm eine konkrete Malware gefunden: Rogue.Multiple

Rogue.Multiple kommt in anderen Threads des Trojaner-Boards vor und auch im Internet.

Wer hat schon einmal mit einem solchen Problem zu tun gehabt ?

ui, hier gehts ja weiter...

also wenn ich einen trojaner mit keylogger, der Daten nach Rußland schickt, drauf hätte, würde ich as soon as possible meine daten sichern und neu installieren.

aber abgesehen davon tippe ich bei den C°-werten auf ein Temperaturproblem.

Hast du Malwarebytes aktualisiert?

Hallo,

Habe Malware-Bytes aktualisiert ! Malware-Bytes hat schließlich zum erstenmal wirklich eine Malware gefunden und mit Rogue.Multiple bezeichnet.

Beseitigt man die Malware mit Malware-Bytes und wartet man eine Zeitlang (habe ca. eine Stunde gewartet ) und wiederholt den Scan, so wird Rogue.Multiple erneut gefunden. Das Gleiche geschieht nach einem Systemneustart.

Gruß,

Christian124

systemwiederherstellung ist deaktiviert?

Ja, ist deaktiviert.

Auch die Einstellungen in "Systemeigenschaften" sind o.k.

Übrigens, die Bemerkung bzgl. des Gozi-Trojaners war nur ein Beispiel, wollte damit nicht behaupten, dass es genau der Gozi-Trojaner ist.

Fein, dass Malwarebytes was gefunden hat. Jeder andere Mensch hier mit einem Problem wird das Log in seinen Thread kopieren, Du hast es aber nicht nötig. Auf der Basis kannst Du hier noch Jahre rummachen ohne dass was dabei rauskommt. Ich denk Du solltest erstmal das hier verinnerlichen.

Hallo,

Hier das Malwarebytes Logfile:

Malwarebytes' Anti-Malware 1.22
Datenbank Version: 982
Windows 5.1.2600 Service Pack 2

15:48:11 25.07.2008
mbam-log-7-25-2008 (15-47-43).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 51275
Laufzeit: 8 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Install (Rogue.Multiple) -> No action taken.



Anbei der Link, wo ich das Autoruns log-file hochgeladen habe:

http://www.file-upload.net/download-...bearb.txt.html




Hier das aktuelle HijackThis log-file:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:37:12, on 25.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HJT\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos Bertelsmann
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.lycos.de/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136650100445
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1216647403515
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - h**p://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7978 bytes


Gruß,

Christian12446