Hallo,

ich habe ordentlich Probleme mit meinem Rechner. Vor kurzen meldete Antivir bei einem vollständigem Scan mehrere Funde.

PurityScan.EN.1 --> windows/system32/ati2evxx.dll
Softomate.AC.3 --> gemeinsame dateien/{...}/system.dll
Maxifiles.S --> programme/dns/catcher.dll
Virtumon.v.17 --> vundofix backups/rqroo.dll.bad (wahrscheinlich ne alte infektion, mit vundofix.exe gefunden/gelöscht und noch im backup)

Ich hatte an dem Tag das "neue" antivir 9 installiert und die achter Version runtergehauen..

Am nächsten Tag hängte sich der Rechner beim Hochfahren (beim Laden der benutzerdefinierten Einstellungen kurz nach Passworteingabe) auf.
Seitdem kann ich nur im abgesicherten Modus auf den Rechner zugreifen. Ich habe schon verschiedene Online Scans (ESET, Kapersky) laufen lassen und auch Spybot. Gefunden habe ich nichts.

Trotzdem hängt er sich regelmäßig auf, wenn ich einen normalen Boot mache...

Bin für jeden Rat dankbar.

Hallo,

nachdem ich nun nur im abgesicherten Modus Zugriff hatte, startete der Rechner zwischendurch (nichts geändert) auch wieder im "normalen" Modus. Dabei habe ich gleichmal ein hijackthis-scan gemacht...

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:21:09, on 07.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\xxxxxxxx\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://home.microsoft.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200597099854
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
         

Da dachte ich schon, ich wär überm Berg...Aber nichts da! Jetzt hängt er sich jedes Mal beim Hochfahren (s.o.) wieder auf.

Hat da jemand ne Idee?

äm bei mir war das auch mal immer nach pw abfrage hat er sich aufgehangen

hast du schon im abgesicherten modus mal nen scan gemacht mit Avira,SuperAntySpyware und Malwarebytes dan müstest du wens daran nicht liegt dan hast du entwerder zu fihl müll auf deinen rechner der beim starten dan sich aufhängt oder du hast zu fihle autostarts die dan alle mit einmal gestartet werden

da muste dan mal wen du in abgeshicherten modus bist auf start ---- ausführen ----msconfig ----systemstart und da die häckchen weg von den pros die du niht mehr brauchst

aber wen es was mit deinen uto start ist naja dan hat es nen virus naja kaput gemacht da weis ich nicht weiter ^^

MFG Andy

Hi,

das HJ-Log gibt nichts her...

Versuche mal im abgesicherten Modus MAM zu installiere und RSIT laufen zu lassen...

Hast Du eine Original XP-CD zur Verfügung? Ev. Reperaturinstallation versuchen (könnte wegen den unterschiedlichen Servicepacks problematisch sein...)

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-a...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread

chris

Hallo zusammen,

also bei den Autostarts waren nur 5 Programme drin. Daran kanns nicht gelegen haben..

Hier mal das Log vom MAM-Scan:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2394
Windows 5.1.2600 Service Pack 3

08.07.2009 20:12:17
mbam-log-2009-07-08 (20-12-17).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 156682
Laufzeit: 27 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\sysmgr64 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Die beiden anderen Logs würde ich als Dateien anhängen, weil die etwas zu groß sind...

Viele Grüße.

Morgen!

Also heute morgen ist der Gute dann auch ordnungsgemäß hochgefahren, nach ungefähr ner halben Stunde aber war der Spass wieder vorbei. Da hat er sich eingefroren.

Anscheinend ist da noch immer was am köcheln. Rootkit?

Viele Grüße.

mir ist weiterhin aufgefallen, dass ich plötzlich drei laufwerke angezeigt bekomme, was vorher nicht der fall war.

grüße

hallo mir ist zudem aufgefallen, dass mir plötzlich drei laufwerke angezeigt werden die vorher nicht da waren....?

grüße

na da war ja was doppelt jemoppelt..

Hi,

schaue es mir morgen gleich an, war heute den ganzen Tag unterwegs...
(ca. 1.000 km gefahren... röchel)...
chris

Hi,

du hat ein paar interessante Mountpoints auf dem Rechner (auch der Ort ist interessant, ev. brauchen wir noch CF):

Code: Alles auswählenAufklappen

ATTFilter

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3209fd0-4347-11db-8bf8-0000f0849cb6}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3e6bfc0-c99a-11db-8d12-da6140f1a080}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d6430f90-c8e1-11db-8d11-8d04e9f413e9}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ecfbacd0-9b59-11db-8c85-b94eab94727a}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f7915a90-34e9-11db-8bd5-e1054dfb4280}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
shell\Open(&0)\command - Recycled\ctfmon.exe
         

sowie noch ein VisualBasic-Script, was wahrscheinlich da auch nicht hin gehört:

Code: Alles auswählenAufklappen

ATTFilter

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ac345820-f6d2-11dd-909b-000b3b25baa3}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe uc.vbs
         

Schau mal ob Du das VB-Script findest, wahrscheinlich in c:\windows oder im Unterordner system32.

Lass bitte mal diese Datei online untersuchen:
C:\Dokumente und Einstellungen\Kerstin Droske\Desktop\Kerstin Droske.exe
wie folgt prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Kerstin Droske\Desktop\Kerstin Droske.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Wir killen den Autorun in den Mountpoints mal per Hand:

Das hier in Notepad kopieren und auf dem Desktop unter autorunweg.reg speichern (nicht TXT), danach Doppelklick drauf und die Sicherheitsabfragen abnicken (im abgesicherten Modus):

Code: Alles auswählenAufklappen

ATTFilter

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b3209fd0-4347-11db-8bf8-0000f0849cb6}\Shell\Autorun]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c3e6bfc0-c99a-11db-8d12-da6140f1a080}\Shell\Autorun]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d6430f90-c8e1-11db-8d11-8d04e9f413e9}\Shell\Autorun]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ecfbacd0-9b59-11db-8c85-b94eab94727a}\Shell\Autorun]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f7915a90-34e9-11db-8bd5-e1054dfb4280}\Shell\Autorun]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ac345820-f6d2-11dd-909b-000b3b25baa3}\Shell\Autorun]
         

Avira:
Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...stellungen.htm
Führe einen Systemscan durch und poste das Ergebnis!

chris

hallo,

also kerstindroske.exe ist auf dem desktop erschienen, als ich RSIT hab laufen lassen..kann ich aber nochmal scannen.

die seite mit der anleitung zu avira bringt ein page_not_found error....gehts da um den heuristikscan?

grüße

Hi,

ja und hier ist die richtige URL:
http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html

Lass bitte auch online das VB-Script prüfen...

chris

ich hab erst ab montag wieder i-net an dem betroffenen rechner, wird also noch dauern bis zur antwort.

soweit schönes wochenende....