Häufige Systemabstürze nach diversen Malwarefunden

Tina_und_Maenne · 28.02.2009, 02:34

Hallo Trojanerboarder,

mein Rechner stürzt in den letzten Tagen immer häufiger und für mich völlig unberechenbar ab.

Hier erstmal die Infos aus "msinfo32":

Code:

ATTFilter

Betriebssystemname    Microsoft Windows XP Professional
Version    5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller    Microsoft Corporation
Systemname    ***
Systemhersteller    FUJITSU SIEMENS
Systemmodell    P5GD1-FM
Systemtyp    X86-basierter PC
Prozessor    x86 Family 15 Model 4 Stepping 1 GenuineIntel ~3591 Mhz
BIOS-Version/-Datum    American Megatrends Inc. 1004.001, 10.01.2005
SMBIOS-Version    2.3
Windows-Verzeichnis    C:\WINDOWS
Systemverzeichnis    C:\WINDOWS\system32
Startgerät    \Device\HarddiskVolume1
Gebietsschema    Deutschland
Hardwareabstraktionsebene    Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername    ***
Zeitzone    Westeuropäische Normalzeit
Gesamter realer Speicher    1.024,00 MB
Verfügbarer realer Speicher    381,10 MB
Gesamter virtueller Speicher    2,00 GB
Verfügbarer virtueller Speicher    1,96 GB
Größe der Auslagerungsdatei    2,91 GB
Auslagerungsdatei    D:\pagefile.sys

CCleaner hab ich durchgeführt.

Code:

ATTFilter

Hier die relevanten Reports von Malwarebytes-Anti-Malware:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1689
Windows 5.1.2600 Service Pack 3

24.01.2009 23:12:35
mbam-log-2009-01-24 (23-12-35).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 468093
Laufzeit: 2 hour(s), 32 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/uninst.bat (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\uninst.bat (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Antispy (Rogue.AntiSpy) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Antispy\MicrosoftAntiSpywareInstall.exe (Rogue.AntiSpy) -> Quarantined and deleted successfully.
C:\WINDOWS\Downloaded Program Files\uninst.bat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\explorer.ini (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

______________________________

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1792
Windows 5.1.2600 Service Pack 3

22.02.2009 13:28:39
mbam-log-2009-02-22 (13-28-39).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 492520
Laufzeit: 2 hour(s), 16 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\MDM.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\MDM.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.

______________________________


der heutige Report:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1809
Windows 5.1.2600 Service Pack 3

27.02.2009 19:08:08
mbam-log-2009-02-27 (19-08-08).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 471436
Laufzeit: 1 hour(s), 58 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

HJT Logfiles:

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 01:48:10, on 28.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SSC Service Utility\ssc_serv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
C:\Programme\TimeLeft3\TimeLeft.exe
C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\ansyslmd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Flexlm\lmgrd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Flexlm\SW_D.EXE
C:\Programme\EDS\License Servers\UGNXFLEXlm\lmgrd.exe
C:\Programme\EDS\License Servers\UGNXFLEXlm\uglmd.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSC Service Utility] C:\Programme\SSC Service Utility\ssc_serv.exe /s
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O4 - Startup: TimeLeft.lnk = C:\Programme\TimeLeft3\TimeLeft.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: h**p://player.eurosport.de
O15 - Trusted Zone: h**p://support.fujitsu-siemens.de
O15 - Trusted Zone: h**p://www.kaspersky.com
O15 - Trusted Zone: h**p://*.windowsupdate.microsoft.com
O15 - Trusted Zone: h**p://www.pandasecurity.com
O15 - Trusted Zone: h**p://as.photoprintit.de
O15 - Trusted Zone: h**p://fotoservice.schlecker.de
O15 - Trusted Zone: h**p://housecall65.trendmicro.com
O15 - Trusted Zone: h**p://download.windowsupdate.com
O15 - Trusted Zone: h**p://*.windowsupdate.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138476530359
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - h**p://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - h**p://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - h**p://www.commandondemand.com/eval/cod/cabs/cssweb.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - h**p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4484/mcfscan.cab
O20 - Winlogon Notify: LBTWlgn - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ANSYS FLEXlm license manager - Macrovision Corporation - C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ITI Quantity Service - ITI GmbH - C:\Programme\ITI-Software\SimulationX 2.0\QuantityService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SolidWorks SolidNetWork License Manager - Macrovision Corporation - C:\Programme\Flexlm\lmgrd.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Unigraphics License Server (uglmd) - Macrovision Corporation - C:\Programme\EDS\License Servers\UGNXFLEXlm\lmgrd.exe

Teil 2 folgt, der Text war zu lange...

Tina_und_Maenne · 28.02.2009, 02:37

Online Scans waren nicht durchführbar. Entweder wurde der IE einfach geschlossen nach wenigen Minuten (bei Panda) oder der Rechner stürzte nach spätestens 30 Minuten wieder ab.

________________________

Beim Neustart erscheint seit einigen Tagen ein Meldung von Spybot:

Kategorie: Session Manager
Änderung: Wert geändert
Eintrag: Boot Execute
Alte Daten: autocheck autochk*\SsiEfre.e
Neue Daten: autocheck autochk*\SsiEfre.e\lsdelete\

Da mir das nichts sagt, hab ich das bisher immer verweigert.

Antivir hat heute nichts gefunden.

allerdings in früheren Scans.
hier die Funde:

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 8. Februar 2009  01:19

Es wird nach 1322990 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     Christina
Computername:     BLAUBAER

Versionsinformationen:
BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  26.11.2008 07:41:04
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  18.07.2008 04:19:25
LUKE.DLL      : 8.1.4.5       164097 Bytes  18.07.2008 04:19:26
LUKERES.DLL   : 8.1.4.0        12545 Bytes  18.07.2008 04:19:26
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 00:56:57
ANTIVIR1.VDF  : 7.1.1.113    2817536 Bytes  14.01.2009 13:12:13
ANTIVIR2.VDF  : 7.1.1.207    1359360 Bytes  30.01.2009 13:16:09
ANTIVIR3.VDF  : 7.1.1.239     314880 Bytes  06.02.2009 13:12:34
Engineversion : 8.2.0.76 
AEVDF.DLL     : 8.1.1.0       106868 Bytes  31.01.2009 13:16:27
AESCRIPT.DLL  : 8.1.1.43      344442 Bytes  07.02.2009 13:12:36
AESCN.DLL     : 8.1.1.6       127348 Bytes  31.01.2009 13:16:23
AERDL.DLL     : 8.1.1.3       438645 Bytes  07.11.2008 07:36:40
AEPACK.DLL    : 8.1.3.8       397684 Bytes  05.02.2009 13:12:35
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  12.12.2008 07:40:22
AEHEUR.DLL    : 8.1.0.90     1573237 Bytes  05.02.2009 13:12:34
AEHELP.DLL    : 8.1.2.0       119159 Bytes  19.11.2008 07:38:08
AEGEN.DLL     : 8.1.1.14      332148 Bytes  07.02.2009 13:12:35
AEEMU.DLL     : 8.1.0.9       393588 Bytes  15.10.2008 13:58:39
AECORE.DLL    : 8.1.6.4       176501 Bytes  02.02.2009 23:20:42
AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 13:58:38
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  18.07.2008 04:19:25
AVPREF.DLL    : 8.0.2.0        38657 Bytes  18.07.2008 04:19:25
AVREP.DLL     : 8.0.0.2        98344 Bytes  01.08.2008 06:37:27
AVREG.DLL     : 8.0.0.1        33537 Bytes  18.07.2008 04:19:25
AVARKT.DLL    : 1.0.0.23      307457 Bytes  14.04.2008 22:14:33
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  18.07.2008 04:19:25
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  14.04.2008 22:14:36
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  18.07.2008 04:19:26
NETNT.DLL     : 8.0.0.1         7937 Bytes  14.04.2008 22:14:36
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  18.07.2008 04:19:22
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  18.07.2008 04:19:22

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: quarantäne
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Dateierweiterungsliste verwenden
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Sonntag, 8. Februar 2009  01:19

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'uglmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lmgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SW_D.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lmgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TimeLeft.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPUVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spamihilator.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ewidoctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ansyslmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLacsd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lmgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ssc_serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PRISMSTA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLDial.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '52' Prozesse mit '52' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD6
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '72' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Festplatte C>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Festplatte D>
D:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
D:\Downloads\MatLab\MATLab2006b\MATHWORKS Matlab 2006b CD1\ACME\matlab_kg.exe
    [FUND]      Ist das Trojanische Pferd TR/Horse.BYC
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a02347a.qua' verschoben!


Ende des Suchlaufs: Sonntag, 8. Februar 2009  02:32
Benötigte Zeit:  1:13:00 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  29485 Verzeichnisse wurden überprüft
 668625 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 668622 Dateien ohne Befall
   3602 Archive wurden durchsucht
      7 Warnungen
      1 Hinweise

_________________

Meldungen des Guard:

23.2.2009
In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\31ap6sxt.default\Cache\4FCC3BF3d01'
wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei löschen


vom 22.2.2009
ie Datei 'C:\System Volume Information\_restore{9105577E-8465-42FE-BBF0-8F7EA6116322}\RP1242\A0365144.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3a276.qua' verschoben!

Ich hoffe ich habe alles richtig erledigt. Schon beim Sammeln dieser Daten ist der Rechner sicher 5 mal abgestürzt.
Falls ich was überlesen oder falsch gemacht habe bitte ich um Entschuldigung. Ich komme kaum zum Nachlesen auf Eurem Board, weil der PC dauernd neu hochfährt.

Danke im Voraus!!!

Christina

myrtille · 28.02.2009, 03:07

Hi,

stelle bitte mal folgende Einträge aus der Quarantäne von Malwarebytes wieder her:

Zitat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\MDM.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\MDM.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.

Es gab vor ein paar Tagen einen Fehlalarm und es könnte sich um eine legitime Windowsdatei handeln.

Zitat:

D:\Downloads\MatLab\MATLab2006b\MATHWORKS Matlab 2006b CD1\ACME\matlab_kg.exe

Finger weg von Keygens!

Erstens ist es unmoralisch, zweitens gefährlich.

Für die allermeisten Dinge reichen dann auch Alternativen, mit denen man kostenlose rechnen kann.
Wer meint sein Leben hänge vom Besitz dieser Software ab, sollte sie sich kaufen.

Zitat:

Beim Neustart erscheint seit einigen Tagen ein Meldung von Spybot:

Kategorie: Session Manager
Änderung: Wert geändert
Eintrag: Boot Execute
Alte Daten: autocheck autochk*\SsiEfre.e
Neue Daten: autocheck autochk*\SsiEfre.e\lsdelete\

Da mir das nichts sagt, hab ich das bisher immer verweigert.

Spybot blockiert die Installation von Ad-Aware. Der TeaTimer ist sinnlos, die Hälfte der Zeit weiß der Betroffene nicht was er tun soll, die andere Hälfte übersieht TeaTimer die Änderungen.

Am besten Ad-Aware und Spybot deinstallieren und gelegentlich mit Malwarebytes oder SUPERAntiSpyware scannen.

lg myrtille

Tina_und_Maenne · 28.02.2009, 03:26

Hi myrtille,

danke für die schnelle Antwort zu später Stunde!

Zitat:

Zitat von myrtille

stelle bitte mal folgende Einträge aus der Quarantäne von Malwarebytes wieder her:

Es gab vor ein paar Tagen einen Fehlalarm und es könnte sich um eine legitime Windowsdatei handeln.

Wenn ich auf die Quarantäne von Malwarebytes klicke ist da nichts zu sehen.
Hab ich das in meinem Reinigungswahn fälschlicherweise löschen können?
Bzw. kann es sein, dass da was Wichtiges falsch erkannt und gelöscht wurde?

Zitat:

Zitat von myrtille

Finger weg von Keygens!

Erstens ist es unmoralisch, zweitens gefährlich.

Für die allermeisten Dinge reichen dann auch Alternativen, mit denen man kostenlose rechnen kann.
Wer meint sein Leben hänge vom Besitz dieser Software ab, sollte sie sich kaufen.

Dein Wort in meines Gatten Ohr!!!

Wir hatten ein ähhh... Gespräch darüber und ich bin mir ziemlich sicher, dass sowas nicht mehr auf unserem Rechner landet.

Immerhin darf ich mir jetzt die Tage und Nächte um die Ohren schlagen mit der Beseitigung von diesem Mist!

Zitat:

Zitat von myrtille

Spybot blockiert die Installation von Ad-Aware. Der TeaTimer ist sinnlos, die Hälfte der Zeit weiß der Betroffene nicht was er tun soll, die andere Hälfte übersieht TeaTimer die Änderungen.

Ich hatte den Teatimer eigentlich abgestellt, aber das hat wohl nicht nachhaltig funktioniert.

Zitat:

Zitat von myrtille

Am besten Ad-Aware und Spybot deinstallieren und gelegentlich mit Malwarebytes oder SUPERAntiSpyware scannen.

Ok, wenn Du das empfiehlst, schmeiß ich sie wieder runter.
Und mach mich erstmal schlau, was SUPERAntiSpyware ist...

myrtille · 28.02.2009, 03:33

Hi,

hast du die Quarantäne selbst geleert? Wenn ja wär das ärgerlich.

Hast du die Windows-CD greifbar? Wenn ja, diese bitte einlegen, dann unter start ->ausführen -> sfc /scannow eingeben. (auf das leerzeichen achten).
Dann sollten alle Windowsdatein geprüft und fehlende ersetzt werden.

lg myrtille
EDIT: und gute nacht.

Tina_und_Maenne · 28.02.2009, 03:44

CD verträgt er überhaupt nicht gerade, da schmiert er sofort ab.

Naja, vielleicht gehts ja morgen weiter...

danke nochmal und gute Nacht!

Häufige Systemabstürze nach diversen Malwarefunden

Plagegeister aller Art und deren Bekämpfung: Häufige Systemabstürze nach diversen Malwarefunden