Hallo liebes TB-Team,
Ich habe mir auf meinem Rechner scheinbar den selben Mist eingefangen, wie die Mitglieder in diesen beiden Beiträgen:

http://www.trojaner-board.de/88320-i...eregelung.html
und
http://www.trojaner-board.de/88363-l...ickcycler.html

Die Symptome decken sich zu 100%.

Aus meiner Google-Recherche zu der Problematik und meinem bestenfalls bescheidenen Fähigkeiten im Umgang mit meiner Kiste, weiß ich, dass Dell-PCs "besonders" sein können.

Meine Frage: Kann ich die oben gegebenen Hilfestellungen einfach übernehmen oder braucht mein Rechner "besondere" Zuwendung/Hilfe?
Falls dem so ist, bräuchte ich wirklich eine Schritt-für-Schritt-Anleitung.
vorab.

LG
Heiner

P.S. Mir ist klar, dass "Format C:\"die sicherste Methode wäre. Da ich den Zirkus aber erst vor kurzem hatte, würde ich das gerne vermeiden.

Infos:
Dell Dimension 5000 (ja, die gibt's noch)
Betriebssystem: WinXP SP3
Prozessor: Pentium 4 (3,2 Ghz)
Ram: 2GB

Malwarebytes' Anti-Malware 1.46
w*w.malwarebytes.org

Datenbank Version: 4327

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

20.07.2010 07:37:18
mbam-log-2010-07-20 (07-37-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Durchsuchte Objekte: 417906
Laufzeit: 2 Stunde(n), 14 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
F:\backup\Eigene Dateien PC alt\Aufräumen\Desktop räum mich auf\sg-dso\Voyager.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP905\A0220598.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

bitte
esage lab - resources
herunterladen.
entpacke das archiv in einen eigenen ordner.
doppelklick in dem ordner auf remove.exe.
Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im
MBR suchen.
poste das ergebniss.

Hi,
Danke für die schnelle Antwort.
Der Remover hat was gefunden.
(Anm.: F:\ ist eine externe USB-Platte, die ich eigentlich nur fürs Backup verbinde ... und halt jetzt für diese Diagnose)


Gruß
Heiner

Servus nochmal,
Habe noch nichts weiter unternommen (s. .jpg im oberen Post) und warte auf weitere Instruktionen.
Nebenbei: In vorauseilender Panik - hier schon mal mein hijackthis-log. (Hoffe ich habs richtig editiert).

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:51:24, on 21.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AVG\AVG9\avgchsvx.exe
C:\Programme\AVG\AVG9\avgrsx.exe
C:\Programme\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Citrix\ICA Client\ssonsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVG\AVG9\avgwdsvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\AVG\AVG9\avgnsx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Heiner\Eigene Dateien\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG9\Toolbar\IEToolbar.dll
R3 - URLSearchHook: (no name) - *{00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: (no name) - *{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG9\Toolbar\IEToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG9\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10e.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10e.exe (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1257118787562
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7094 bytes
         

LG
Heiner

kannst du mal anstelle des bildes den text posten?

Morgääääähn

Klar, tschuldigung - hatte die Editor-Datei übergesehen und wusste mir nicht anders zu helfen.
Also bitte: Habe inzwischen zwei unterschiedliche Aussagen von dem Programm: Zum einen die allgemeine vom Bild (alt) und nun die konkrete (neu) hier (scheint valide zu sein - habe das Ergebnis drei mal in Folge genau so bekommen):

Code: Alles auswählenAufklappen

ATTFilter

MBRCheck, version 1.1.1

(c) 2010, AD



\\.\C: --> \\.\PhysicalDrive0

\\.\F: --> \\.\PhysicalDrive1



      Size  Device Name          MBR Status

  --------------------------------------------

    149 GB  \\.\PhysicalDrive0   Known-bad MBR code detected (Whistler / Black Internet)!

    465 GB  \\.\PhysicalDrive1   Error reading raw MBR!





Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit: 

Options:

  [1] Dump the MBR of a physical disk to file.

  [2] Restore the MBR of a physical disk with a standard boot code.

  [3] Exit.



Enter your choice:
         

LG
Heiner

was ist das für ne festplatte?
465 GB \\.\PhysicalDrive1

Das ist die HD im PC - Betriebssystem, Anwendungen und eigene Dateien. Von hier wird gebootet.

und die hier?
149 GB \\.\PhysicalDrive0 ist nicht eher diese festplatte die, von der gebottet wird?

Oh, Mann. Die Hitze. Du hast natürlich Recht. Die Kleine mit ihren 150GB ist C:
Die andere mit ihren 500 GB ist ein externes Zwischenarchiv (F.
Dann ist da noch G: (nicht verbunden) mit 1TB. Das ist die Endlagerstätte für meine Bilder (bin Fotograf).
Dann müssten wir alles haben

Code: Alles auswählenAufklappen

ATTFilter

MBRCheck, version 1.1.1

(c) 2010, AD



\\.\C: --> \\.\PhysicalDrive0

\\.\F: --> \\.\PhysicalDrive1

\\.\G: --> \\.\PhysicalDrive2



      Size  Device Name          MBR Status

  --------------------------------------------

    149 GB  \\.\PhysicalDrive0   Known-bad MBR code detected (Whistler / Black Internet)!

    465 GB  \\.\PhysicalDrive1   Error reading raw MBR!

    931 GB  \\.\PhysicalDrive2   Error reading raw MBR!





Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit: 

Options:

  [1] Dump the MBR of a physical disk to file.

  [2] Restore the MBR of a physical disk with a standard boot code.

  [3] Exit.



Enter your choice:
         

Gruß
Heiner

ja du musst die 2 wählen und dann die 0 dann startet der fix, dann pc neu starten und das neue ergebniss von dem mbr tool posten, also erneut ausführen.

Erledigt:

Code: Alles auswählenAufklappen

ATTFilter

MBRCheck, version 1.1.1

(c) 2010, AD



\\.\C: --> \\.\PhysicalDrive0

\\.\F: --> \\.\PhysicalDrive1

\\.\G: --> \\.\PhysicalDrive2



      Size  Device Name          MBR Status

  --------------------------------------------

    149 GB  \\.\PhysicalDrive0   Windows XP MBR code detected

    465 GB  \\.\PhysicalDrive1   Error reading raw MBR!

    931 GB  \\.\PhysicalDrive2   Error reading raw MBR!





Done!  Press ENTER to exit...
         

Und weiter?

jetzt instaliere erst mal den internet explorer 8, auch wenn du nen andern browser verwendest, berichte wie der pc läuft.

Hey Leute, hey markusg,
Ich will nicht vorschnell sein, aber bis jetzt sind die Probleme nicht wieder aufgetreten. Ich habe gestern Abend vier Stunden Bilder bearbeitet und dabei Musik gehört. Kein verstellter Wave-Regler, keine IExplorer-Werbe Popups mehr. Sollte das so bleiben:


GANZ GROSSES KINO!!!!

Danke markusg! Danke TB-Team.
1000 Dank. Ich wäre ohne Dich/Euch aufgeschmissen gewesen.


Aber was nun?
Ich brauche die Kiste um Geld zu verdienen. So eine Woche kann ich nicht noch einmal gebrauchen. Ich sage diesem Viehzeug den Kampf an.
-Wie schütze ich meinen Rechner künftig vor solchen und anderen Angriffen?
-Ich habe zur Zeit AVG-Antivirus - ist das empfehlenswert? Schießt der mir sicher die Viren raus? Gibt's besseres?
-Was kann ich sonst noch tun (abgesehen von der regelmäßigen Endlösung Format C:? )

LG
Heiner


P.S. nochmal drei Daumen hoch

das sollte man umsetzen
http://www.trojaner-board.de/74052-s...-internet.html
comodo ist zu empfehlen, wenns ne desktop firewall sein soll, da comodo nen verhaltensschutz mitbringt, dass heißt, nicht auf signaturen für malwareerkennung angewiesen ist.
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
http://www.trojaner-board.de/71542-a...sandboxie.html
dieses programm ist freeware.
man sollte aber trotzdem, da nach ner weile immer ne meldung aufpopt, ne lizenz besorgen, die kostet 25 € ist lebenslang gültig und du kannst die auf allen deinen pcs verwenden
dieses programm ist höchst sinnvoll. nehmen wir an, du surfst in der sandbox auf einer internet seite, die einen trojaner enthällt,, dieser gelangt in die sandbox, du kannst dir zu 99 % sicher sein, dass er dort nicht raus kommt, dass heißt, mit leeren der sandbox ist der trojaner nicht mehr auf dem pc. so
wenn du online banking betreibst, solltest du diich über alternative sicherere verfahren beraten lassen, heutige trojaner werden immer gerissener. ich denke man sollte da ein wenig geld ausgeben, dafür aber am ende auf der sicheren seite sein, besser als dem geld nachzurennen.
schon nen avg scan gemacht nach update?