Hallo zusammen,

vor kurzer Zeít habe ich mir den Trojaner "Antimalware Doctor" eingefangen. Nach einer Recherche hier im Forum habe ich zunächst die Prozesse mit rkill - beendet und danach einen Such- und Reinigungslauf mit Malwarebytes "Anti Malware" gestartet. Ein weiterer Suchlauf ergab keine "Verunreinigungen" mehr.

Dennoch habe ich folgende weitere Probleme mit meinem System (die davor nicht vorhanden waren):

• Norton Internet Security meldet regelmäßig "Ein Angriff wurde abgewehrt". Im Protokoll sind unter anderem folgende kürzliche Einträge: "Ein Eindringversuch von 91.216.75.59 wurde blockiert / HTTP Tidserv Request" sowie "Nicht autorisierter Zugriff blockiert (Angreifer C:\WINDOWS\SYSTEM32\SERVICES.EXE")

• Nach einer gewissen Laufzeit des Computers erscheint die Meldung "Hostprozess für Windows-Dienste wurde beendet und geschlossen". Danach ist die Anzeige von Windows leicht verändert.

• Beim Anklicken von Google-Suchergebnissen im Internet-Explorer werden teilweise andere seltsame Seiten angezeigt

Ich gehe daher davon aus, dass der "Schädling" nicht richtig beseitigt ist. Über Eure Hilfe, was ich nun unternehmen sollte freue ich mich.

Einen Hijack-Log habe ich gerade erstellt und angehängt. Die Windows-Hosts Datei konnte nicht geöffnet werden!!!

Vielen Dank schon mal im Voraus!

Grüße, Thomas

Zitat:

beendet und danach einen Such- und Reinigungslauf mit Malwarebytes "Anti Malware" gestartet. Ein weiterer Suchlauf ergab keine "Verunreinigungen" mehr.

Du musst auch schon die Logs posten, wo die Funde dokumentiert wurden. Hijackthis ist heute so gut wie unbrauchbar!

Hallo cosinus,

danke für Deine Antwort!

Hier das AntiMalware-Log mit den Funden!

Grüße, Thomas

Zitat:

Datenbank Version: 4413
10.08.2010 20:07:57

mbam-log-2010-08-10 (20-07-57).txt

Der Scan ist aber schon zwei Wochen her. Starte Malwarebytes, mach ein Update über den entsprechenden Button und wieder nen Vollscan.

Hallo Arne,

hier das neueste Logfile! Keine Ergebnisse, dennoch treten die oben genannten Probleme weiter auf. Gerade kam wieder die Melding der Internetsuite "Ein Angriff wurde abgewehrt" sowie von Windows "Der Host-Dienst wurde beendet"!.

Vielen Dank für die Hilfe!

Grüße, Thomas

Zitat:

Internetsuite "Ein Angriff wurde abgewehrt" sowie von Windows "Der Host-Dienst wurde beendet"!.

Von Norton IS? Vergiss es, ignorier diese Schwachsinnsmeldungen, am besten Norton IS komplette deinstallieren!

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen...

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Hallo Arne,

danke für die entsprechenden Links.

Für die Zukunft werde ich mir das merken! Allerdings muss ich auch jetzt mein System wieder in Ordnung bringen.

Die Meldung "Hostprozess für Windows-Dienste wurde beendet und geschlossen" ist eine eigene Vista-Meldung, die seit des Systembefalls auftritt. Danach funktioniert die grafische Anzeige jeweils nicht mehr richtig!

Bei den anderen Meldungen handelt es sich in der Tat um solche das Norton-Programms.

Grüße, Thomas

Hallo Arne,

ich werde immer mehr bestärkt, dass von dem Angriff noch ein unentdecktes Rootkit übriggeblieben ist, dass die Fehler (siehe erste Nachricht) versursacht.

Denn auch Windows Update funktioniert z.B. nicht. Es erscheint der Fehler "Es konnte nicht nach Updates gesucht werden / Code: 80072EFE", obwohl die Internetverbindung etc. steht. Eine Google-Suche hat ergeben, dass dieses Problem bei Rootkits auftritt.

Wie soll ich weiter vorgehen?

Grüße, Thomas

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hier die Dateien OTL.txt und Extras.txt - die Datei OTL.txt war zu groß für den Upload, deshalb habe ich sie geteilt!