Guten Tag allerseits,

nachdem ich nun über die Google-Suche versucht habe eine Problemlösung zu finden, jedoch keine genauen Ansätze für eben dieses Problem gefunden habe, hoffe ich darauf, dass ich hier Hilfe erhalten kann.

Vor ca. zwei Wochen haben sich unsere beiden Laptops mit einem Trojaner infiziert. Über die Suchmaschine konnte ich eine Lösung finden, wie die Burschen vertrieben werden können und habe die Schritte befolgt. Danach war erstmal alles super. Dann geschah folgendes:

Laptop Nr. 1:
Zirka zwei Tage nach der Trojaner-Aktion, ließ sich der eine Rechner nicht mehr hochfahren. Über den BIOS hinweg kam ich noch, gelangte dann in das Auswahlmenü indem man wählen kann, ob man Windows im abgesicherten Modus, mit letzter funktionierender Konfiguration oder what ever starten möchte. Egal, welche Auswahl getroffen wurde, es erschien für den Bruchteil einer Sekunde ein Bluescreen, danach wurde wieder neugestartet. Immer und immer wieder und nur dadurch abzubrechen, das die Powertaste betätigt wurde. Nach neuerlichem Einschalten dasselbe Phänomen. Wenige Tage später, als ich mich durchgerungen hatte Windows neu zu installieren, blieb der Bildschirm schwarz. Einem Bekannten gelang es dann irgendwie die Wiederherstellungskonsole zu nutzen. Bei der Ausführung von Checkdisk ging der Rechner dann unvermittelt aus. Eine Prüfung des Arbeitsspeichers ergab, dass dieser okay war, die Festplatte wurde mittels external Case an einem anderen Rechner geprüft und "low level" Formatiert. Anschließend sollte Windows neu installiert werden. Dabei ging die Maschine wieder unverhofft aus. Erst das Aufmachen des Laptops und Aussaugen der Lüftereinheit sorgte dafür, dass der Rechner wieder stabil lief. Nach der Neuinstallation war alles wieder in Ordnung.

Nun zum eigentlichen Problem: Laptop Nr. 2 zeigt jetzt dieselben Symptome, allerdings mit kleinen Unterschieden.

* Der Trojaner wurde nach Anleitung entfernt
* Seitdem geht der Laptop in unregelmäßigen Abständen aus (keine aufwendigen Graphik-Anwendungen, Games o.ä.) und scheint damit überfordert zu sein, Sykpe und ein Worddokument gleichzeitig geöffnet zu haben (nein, wer hier daran denken mag, dass einfach die Performance dafür nicht ausreicht, liegt falsch, da bis vor dem Trojaner alles sauber lief)
* Vor zwei Tagen führte ein Fehler im Benutzerkonto dazu, dass ein neues eingerichtet werden musste.
* Seit heute bootet der Rechner nur in der oben beschriebenen Dauerschleife

Punkt 2 und 3 lagen bei Laptop Nr. 1 nicht vor. Kann das noch andere Ursachen haben?

Wie bekomme ich nun das System wieder stabil zum Laufen? Gibt es eine Möglichkeit irgend etwas zu retten? Es liegt nämlich das altbekannte Problem vor, dass auf dem Rechner gestern Seiten für eine Examensarbeit geschrieben und noch nicht extern gesichert wurden. Ich frage mich zudem, ob es sein kann, dass zwei Rechner zur gleichen Zeit wegen Übehitzungsproblemen einfach ausgehen oder ob es ebenfalls mit dem Trojaner zu tun hat. Ich würde mich bei diesem Rechner sehr schwer tun einfach alles platt zu machen.

Edit: Der Trojaner hat auf allen Partitionen die Dateien autorun.inf, sowie in einem Ordner "Resycled" die Datei boot.com hinterlegt. Die Anweisungen zur Entfernung des Trojaners beinhalteten das Löschen dieser Dateien.

Wir haben leider nur Grundkenntnisse im Umgang mit PCs, wären also froh und dankbar über jede From der Hilfe.

Gruß Koisa

Hallo Koisa und

Wir werden uns zuerst dem ersten Laptop widmen, danach dem zweiten, dass wir nicht durcheinander kommen!

Alle Punkte immer nach der Reihe ausführen:


==== Punkt 1 ====

Fertige nun ein HijackThis Log Deines Systems an (solltest du HijackThis schon installiert haben, kannst du den Punkt 1 übersprigen):

1.) Lade dir HijackThis von Trend Micro herunter, indem du auf "HijackThis Installer herunterladen" klickst! Danach installierst du das Programm in einem eigenen Ordner! Das ist wichtig, damit evtl. falsch gefixte Einträge rückgängig gemacht werden können.

2.) Nun startest du HijackThis und drückst im Hauptmeü auf "Do a system scan and save a log file". Das vollständige Log hier in Code-Tags posten.

Hallo und danke für das Willkommen!

Der erste Laptop läuft ja wieder. Da haben wir kurzerhand alles platt gemacht. Der zweite bereitet mir größere Sorgen. Sicher ist es dennoch besser, wenn ich mein Logfile hier poste. Nicht, dass noch irgendwas nicht stimmt:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:39:05, on 16.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
D:\Bluetooth-Adapter\bin\btwdins.exe
D:\VPN\cvpnd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Softex\OmniPass\Omniserv.exe
C:\Programme\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Softex\OmniPass\scureapp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\Bluetooth-Adapter\BTTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
D:\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
D:\Total Commander\TOTALCMD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\Adobe Reader\Reader\AcroRd32.exe
D:\Highjack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [OmniPass] C:\Programme\Softex\OmniPass\scureapp.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "D:\NortonAntiVirus 2008\osCheck.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [PDFPrint] "G:\Tools\Pdf-Maker\PDFBackend.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - D:\Bluetooth-Adapter\btsendto_ie_ctx.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Bluetooth-Adapter\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Bluetooth-Adapter\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231281880600
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Bluetooth-Adapter\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\VPN\cvpnd.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Programme\Softex\OmniPass\Omniserv.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 7609 bytes
         

Ich hoffe, dass zumindest bei der Maschine wieder alles sauber ist. EDIT: Leider kann ich von Laptop 2 keine Logfile erstellen, da der dieser ja nicht vernünftig - also quasi gar nicht - bootet.

Vielen Dank schonmal.

Koisa

Hallo Koisa,

Um welchen Laptop handelt es jetzt, also das Log? Vom 2ten??
Dann spezialisieren wir uns auf den:

Bevor mit einer eventuellen Bereinigung anfangen, bitte ich dich das hier zu machen:

Zitat:

Internet Explorer 6

Dein Internet Explorer, den du auf deinem Rechner installiert hast, ist veraltet. Der neue Internet Explorer 7 ist weit sicherer, schneller und es sind die wichtigen Sicherheitsupdates enthalten! Besuche nun die Hersteller Seite und downloade dir die neue Version! Anschließend installierst du sie!

Also, das Logfile ist von Rechner 1. Da der zweite in Dauerschleife bootet, gibts von dem auch kein Logfile. Laptop 1 arbeitet wieder stabil und dürfte ansonsten clean sein. Aber es kann ja nicht schaden, trotzdem die Logfile durchzusehen.

Ich kann den IE 7 gern installieren, nutze aber fast ausschließlich den Firefox 3.0.5.

Gruß
Koisa

Hallo Koisa,

Dein Logfile ist sauber, also der 1. Rechner ist dann fertig, oder? Gibt es noch Probleme?
Ja bitte den Internet Explorer installieren, auch wenn du ihn nicht verwendest!

Kannst du den 2. Rechner im Abgesicherten Modus starten und ein HijackThis Logfile erstellen?

Hey Crusader,

Maschine 1 läuft - und zwar sauber. Danke dafür.

Maschine 2 bootet nur in Dauerschleife, egal ob ich den abgesicherten Modus oder die letzte funktionierende Konfig. auswähle. Ich komme nicht ins Betriebssystem und kann demnach auch keine Logfile erstellen. Schade eigentlich.

~Christian

Ich vermute, dass sich der Trojaner über meine ext. Festplatte weiterverbreitet, da nun auch Maschine 1 wieder Probleme verursacht hat. Wie bekomme ich denn meine ext. Festplatte wieder sauber, ohne die Daten (.jpg, .doc usw.) in den Wind schießen zu müssen?

Hallo Koisa,

Ich würde dir raten, das du die Festplatte am besten mit Malwarebytes' Anti-Malware durchscannst und dann alles entfernst!
Natürlich ist das auch nicht 100%ig sicher, das hilft nur formatieren!

Hallo!

ich habe zunächst via Ubuntu (Live-Session) die nicht ausführbaren Dateien von der ext. Platte auf den Rechner rübergezogen und die externe daraufhin formatiert. Jetzt liegen meine Dateien wieder auf der externen und ich bin mir noch nicht so ganz sicher, was passiert, wenn ich diese nun anschließe, da ich unter Ubuntu auch den Rechner nochmal leer gemacht habe, um Windows neu zu installieren. Ich wüsste zunächst gern, wie es mit Dokumenten und Pdf-Files aussieht. Einige Quellen sagen, dass es sich dabei um ausführbare Dateien handelt, andere geben an, dass das Risiko zu vernachlässigen sei. Kann ich nun meine Dokumente retten oder nicht? Und wie sieht es aus mit Dateien, die in Zip- oder Rar-Archiven gepackt sind?

Das System läuft nach dem Komplettabschuss m.E. momentan sauber, aber vielleicht ist doch jemand so nett und schaut mal auf das Logfile. Dann weiß ich wenigstens, dass das System zumindest ohne ext. Platte wieder stabil steht.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:42:14, on 22.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Java\jre6\bin\jqs.exe
E:\CDBurnerXP\NMSAccessU.exe
C:\Programme\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
E:\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
E:\HighjackThis 2.0\HijackThis.exe
E:\Firefox 3.0.6\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton AntiVirus\Engine\16.2.0.7\IPSBHO.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Adobe Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "E:\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Update Service (gupdate1c99492dce2b1b0) (gupdate1c99492dce2b1b0) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - E:\CDBurnerXP\NMSAccessU.exe
O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Programme\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7419 bytes
         

An Malwarebites' werde ich mich dann bei Gelegenheit mal ranbegeben.

Sehr dankbare Grüße!
Koisa

Hallo nochmal!

Ich habe nun Malwarebytes' Anti-Malware meinen Rechner überprüfen lassen und wie es scheint ist alles sauber. Jetzt bleibt abzuwarten was passiert, wenn ich die externe Platte anschließe. Wenn ich daran denke wird mir ein bißchen warm.

Hier mal das Scan-Ergebnis der vollständigen Prüfung ohne externe Festplatte - darauf sei ausdrücklich hingewiesen:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1792
Windows 5.1.2600 Service Pack 3

22.02.2009 18:11:54
mbam-log-2009-02-22 (18-11-54).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 114208
Laufzeit: 59 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Jetzt mache ich mich an die ext. Festplatte. Wünsche mir jemand Glück, bitte.

Gruß
Koisa

Hier die Malwarebytes'-Auswertung meiner externen Festplatte. Das klingt ja schon ganz vernünftig.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1792
Windows 5.1.2600 Service Pack 3

22.02.2009 21:52:09
mbam-log-2009-02-22 (21-52-09).txt

Scan-Methode: Vollständiger Scan (H:\|)
Durchsuchte Objekte: 85269
Laufzeit: 25 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Jetzt lasse ich Malwarebytes' nochmal übers Gesamtsystem laufen, poste dann nochmal die Auswertung und ein HijackThis-Log und dann hoffe ich, dass ich es endlich überstanden habe.

Gruß
Koisa

Hier zunächst der Bericht von F-Secure, welches ich als erstes durchlaufen ließ:

Code: Alles auswählenAufklappen

ATTFilter

Scanning Report
Sunday, February 22, 2009 22:05:40 - 23:25:25

Computer name: CK
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\ E:\ H:\
Result: 0 malware found
Statistics
Scanned:

    * Files: 24739
    * System: 3007
    * Not scanned: 12 

Actions:

    * Disinfected: 0
    * Renamed: 0
    * Deleted: 0
    * None: 0
    * Submitted: 0 

Files not scanned:

    * C:\PAGEFILE.SYS
    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
    * C:\WINDOWS\SYSTEM32\CONFIG\SAM
    * C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
    * C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
    * C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
    * C:\DOKUMENTE UND EINSTELLUNGEN\CHRISTIAN\LOKALE EINSTELLUNGEN\TEMP\ETILQS_8PJFEWKNIUPQNJD15500
    * C:\DOKUMENTE UND EINSTELLUNGEN\CHRISTIAN\LOKALE EINSTELLUNGEN\TEMP\ETILQS_8PJFEWKNIUPQNJD15500-JOURNAL
    * C:\DOKUMENTE UND EINSTELLUNGEN\CHRISTIAN\LOKALE EINSTELLUNGEN\TEMP\ETILQS_HBS5Q1FPEVY1BT0F8YYT
    * C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NORTON\COMMON CLIENT\_LCK\_AVPAPP_{BB639333-810A-4BF8-85F5-C537857F55FC}0
    * C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NORTON\COMMON CLIENT\_LCK\_ISDATAPR_{E8EFD4CD-DE52-4444-9511-EFF3B158724B}0
    * C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NORTON\COMMON CLIENT\_LCK\_ISDATAPR_{FF9AC67A-E394-46AE-B150-B3365343F166}G
         

Ich frage mich allerdings, wieso F-Secure meint einfach irgendwelche Dinge auszulassen!?

Hier nun das Mbam-Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1792
Windows 5.1.2600 Service Pack 3

23.02.2009 01:48:12
mbam-log-2009-02-23 (01-48-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 144073
Laufzeit: 2 hour(s), 14 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Im Moment sieht es, denke ich, ganz gut für mich aus.