eine schönen guten abend,

ich verbringe jetzt etwa 2 tage damit zu herauszufinden, warum diese symptome oben auftreten.

ich habe viele viele dinge probiert .. aber das meiste endete im titel

problematik:

ich habe ende november mein system neu aufgesetzt. mir bitdefender runtergeladen, als testversion, wollt mir zu weihnachten die original version schenken lassen und dachte, dass ich es 2 wochen ohne firewall schaffen würde - tja - war nicht so ... ich weiss ich weiss, das ist sehr fahrlässig, idiotisch und jeder würde einem das sagen ... ich wäre eine von den personen die bei diesen aussagen ganz weit vorne mitreiten würden .. normalerweise .. aber es ist wie mit den ärzten ... behandeln können sie, aber sich behandeln lassen nicht

zurück zur problematik ...

firewall .. virus drauf .. anschneind ..

jedenfalls stellt sich jetzt folgen problematik, nachdem ich bemerkt hatte, dass mein internet massiv an geschwindigkeit, die ganze rechnerleistung sogar, an geschwindigkeit verloren hat, wollt ich meinen guten freund spybot starten .. hah .. ging net ... kannte dieses problem schon vom rechner meiner freundin und machte mich auf die suche nach der gängigen software um diese problem zu beheben ...

hijack download ging noch ... der programmstart wurde aber schon gecancelt. umbenannte datei ging dann ... ich finde da nix, daher unten das logfile

Malwarebytes Antimalware download wird geblockt .. bei chip.de runtergeladen ... programmstart geblockt

Blacklight .. download geblockt

ComboFix .. programmstart geblockt

Avenger .. download geblockt

bitdefender.de
trendmicro.com
symantic.com
etc etc ...

alle geblockt

das einzige was ging war avira antivir .. aber das war nicht sonderlich hilfreich .. *wie komisch*

hab auch hier im forum schon ordentlich rumgelesen, aber bin noch zu keinem ergebnis gekommen ...

bin davon etwas genervt und frustiert ... hab bis jetzt immer meinen rechner wieder hinbekommen ... und auch die der anderen ... sogar den meiner informatiklehrerin vor 3 jahren ... is aber ne andere geschichte ...

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:12:28, on 15.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\ibmpmsvc.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\AGRSMMSG.exe
C:\Programme\BitDefender\BitDefender 2008\bdagent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINXP\System32\svchost.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\VideoLAN\VLC\vlc.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\system32\taskmgr.exe
C:\WINXP\regedit.exe
C:\Dokumente und Einstellungen\Admin\Desktop\qlketzd.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
F2 - REG:system.ini: Shell=Explorer.exe ctfnom.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [muBlinder] C:\Dokumente und Einstellungen\Admin\Desktop\muBlinder.exe -startup
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [ctfmom] C:\WINXP\system32\ctfnom.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225958076478
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1225958053165
O16 - DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} (Navigram Control) - http://www.navigram.com/engine/v911/Navigram.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{31F241A5-E4C8-4810-A340-4F1CFBD0B1D2}: NameServer = 62.77.203.10 213.163.34.66
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (antivirscheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINXP\system32\ibmpmsvc.exe
O23 - Service: ICF - Unknown owner - C:\WINXP\system32\svchost.exe:ext.exe (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 6714 bytes
         

Hab noch nen filelisting gemacht:

Listing.txt

Silentrunners ging auch .. kann damit aber nix anfangen:

Klick hier

Hallo,

kannst du diese Datei

Code: Alles auswählenAufklappen

ATTFilter

C:\WINXP\system32\ctfnom.exe
         

bei Virustotal hochladen und auswerten? Nicht verwechseln mit C:\WINXP\system32\ctfmon.exe! Ergebnisse komplett hier posten!

Deine Logs schaue ich mir später genauer an.

www.virustotal.com wird auch geblockt ...

finde zusätzlich zu der sache auch keine ctfnom.exe nur die ctfmon.exe

im hijack steht sie ja drin .. aber im ordner find ich sie net (systemdateien anzeigen, versteckte ordner und dateien anzeigen an); suche hat auch nix ergeben:

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Policies\Explorer\Run: [ctfmom] C:\WINXP\system32\ctfnom.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
         

escan ging .. hab ich gerade durchlaufen lassen (im abgesicherten) ...

find.bat drüber und hier das ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2008.03.07 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal 
  
eScan Version: 10.0.60 
Sprache: German 
C:\DOKUME~1\Admin\LOKALE~1\Temp\MWAV.LOG
 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
Datei C:\WINXP\System32\drivers\9b2d313.sys infiziert durch den Virus "Rootkit.Win32.Agent.fkl"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
Datei C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P1N0BUZ2\nww32[1].exe markiert als "not-a-virus:AdWare.Win32.SuperJuan.ezc". Maßnahme ergriffen: Keine Maßnahme ergriffen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
Offending file found: C:\WINXP\system32\autorun.inf 
~~~~~~~~~~~ 
~~~~ Spyware (Vorsicht: Oft Fehlalarm!) 
~~~~~~~~~~~ 
Scannen Spyware: Aktiviert 
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft ***** 
Indexed Spyware Databases Successfully Created... 
System found infected with combo Spyware/Adware (autorun.inf)! Action taken: Keine Maßnahme ergriffen. 
System found infected with Backdoor (IRCBot) Trojans Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\FCI)! Action taken: Keine Maßnahme ergriffen. 
System found infected with combo Spyware/Adware (HKLM\SYSTEM\CurrentControlSet\Services\icf)! Action taken: Keine Maßnahme ergriffen. 
System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/KernelFaultCheck)! Action taken: Keine Maßnahme ergriffen. 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
laufende Prozesse - commandline 
~~~~~~~~~~~~~~~~~~~~~~ 
System Idle Process - 
System - 
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe - 
winlogon.exe - winlogon.exe
services.exe - C:\WINXP\system32\services.exe
lsass.exe - C:\WINXP\system32\lsass.exe
svchost.exe - C:\WINXP\system32\svchost -k DcomLaunch
svchost.exe - 
svchost.exe - C:\WINXP\system32\svchost.exe -k netsvcs
explorer.exe - Explorer.exe ctfnom.exe
mexe.com - "C:\DOKUME~1\Admin\LOKALE~1\Temp\mexe.com" 
ScanningProcess.exe - 
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Admin\Desktop\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo 
wmiprvse.exe - 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
ERROR!!! Invalid Entry ctfmom = C:\WINXP\system32\ctfnom.exe (in key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run). No Action Taken. 
ERROR!!! Invalid Entry muBlinder = C:\Dokumente und Einstellungen\Admin\Desktop\muBlinder.exe -startup (in key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken. 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Admin\Desktop\mwav.exe 
ERROR(2)!!! ScanFile Fails for C:\WINXP\system32\DRIVERS\atapi.sys... 
ERROR!!! Invalid Entry \??\C:\WINXP\System32\drivers\ati8lpxx.sys in HKLM\SYSTEM\CurrentControlSet\Services\ati8lpxx. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry C:\WINXP\system32\svchost.exe:ext.exe in HKLM\SYSTEM\CurrentControlSet\Services\ICF. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry \??\C:\WINXP\system32\drivers\restore.sys in HKLM\SYSTEM\CurrentControlSet\Services\restore. Action Taken: No Action Taken. 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Thunderbird\Profiles\0rqq9i1f.default\Mail\pop.googlemail.com\Inbox 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Thunderbird\Profiles\0rqq9i1f.default\Mail\pop3.web-1.de\Inbox 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Admin\Desktop\mwav.exe 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Admin\ntuser.dat 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Admin\ntuser.dat.LOG 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\QuickTime 7.55.90.70\QuickTime.msi 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}\Skype.msi 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG 

~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINXP\System32\drivers\etc\hosts:
C:\WINXP\System32\drivers\etc\hosts:127.0.0.1       localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Zahl der gescannten Objekte: 69281 
Zahl der kritischen Objekte: 3 
Zahl der desinfizierten Objekte: 0 
Zahl der umbenannten Objekte: 0 
Zahl der gelöschten Objekte: 0 
Zeit verstrichen: 00:15:54 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Speicherüberprüfung: Aktiviert 
Überprüfung der Registrierungsdatenbank: Aktiviert 
Überprüfung des Startordners: Aktiviert 
Überprüfung des Systemordners: Aktiviert 
Überprüfung der Dienste: Aktiviert 
Überprüfung der Laufwerke: Aktiviert 
Überprüfung aller Laufwerke:Deaktiviert 
Die Überprüfung der Ordner: Deaktiviert 
 
Batchstart: 19:46:44,79 
Batchende: 19:46:56,11
         

Kurze Zwischenfrage: Dein Internetverkehr läuft über Ungarn. Ist das richtig so?

ja befinde mich in ungarn ...

studiere hier atm

Versuche Folgendes:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.