Hallo,
So, ich habe es tatsächlich, nach nun geschätztes zwei Jahren ohne nennenswerte Probleme geschafft mir was einzufangen, was ich einfach nicht mehr ins Lot bekomme.
Zur Geschichte - Letztes Wochenende bin ich leider etwas unvorsichtig im Netz unterwegs gewesen und auch auf mehreren unseriösen Seite, sodass die eine zur nächsten Seite geführt hat und irgendwann hat sich der Windows Media Player geöffnet und wollte etwas abspielen (lizenztechnisch). Ich natürlich alles sofort ausgemacht und gehofft, dass nichts passiert ist, aber... denkste. Irgendwas hat sich da eingenistet, was man schon am Festplatten-rötern gemerkt hat.

So, was kann ich dazu sagen:

- Spybot S&D und Malwarebytes lassen sich im normalen Windowszustand nicht mehr ausführen (passiert nichts) - im abgesichterten Modus S&D ja
- Der Prozess alg.exe existiert nicht mehr im Taskmanager
- Die Windows-Firewall geht nicht mehr (Grund: Der Internet Connection Sharing (ICS) konnte nicht gestartet werden, was wohl mit der Firewall zu tun hat (Über cmd sagt er Systemfehler 2 - er konnte die Datei nicht finden
- Google ist sehr langsam bei öffnen der Links (10-15s, sonst 1), bei jedem 3. Mal kommen komische alternative Suchmaschinenen wie ask.com oder k-Directory.

Was habe ich gemacht:

- Bitdefender Online Scanner drüberlaufen lassen (Hat geschätzt 5 Sachen gefunden, afaik alles mit Trojan.Generic, weiß es aber nicht mehr genau) und hat beim ersten mal alles bis auf eins und beim zweiten Mal alles entfernt.

- Spbot S&D im abgesicherten Modus, hat aber afaik nur weniger relevante Sachen wie verfolgende Cookies usw. gefunden.

- Highjackthis: Hat 5 Einträge mit bestimmten IP zur Ukraine angehackt, die ich dann auch entfernen konnte. Jetzt auch nichts.

- Den Internet Connection Sharing Dienst über die Kommando-Konsole zu starten. Der Dienst konnte aber nicht gestartet werden, da die Datei nicht existiert (Systemfehler 2)

Ich kenne mich eigentlich recht gut aus und konnte in der Regel Infektionen bis jetzt immer säubern, allerdings schaffe ich es hier nicht ganz. Denn zum Einen geht die XP-Firewall nicht mehr (und ich habe keine Routerfirewall!), sowie die Google-Suche ist nervend, weil dort, wie gesagt, ständig anderen obszöne Suchmaschinen die eigentlich geöffneten Link ersetzen.

Ich habe mich schon etwas informiert und laut anderen sehr ähnlichen Anliegen anderer User aus diesem Forum, kann es gut sein, dass da noch etwas im System ist. Leider weiß ich jetzt nicht mehr, wie ich weiter vorgehen soll. Wichtig ist mir, dass ich das System nicht unbedingt Neuaufsetzen muss, jedenfalls nicht zu dem jetzigen Zeitpunkt, da es einfach nicht geht. Es funktioniert ja auch alles, bis auf die Sicherheitsprogramme, die Firewall und die Google-Suche (mehr ist mir zumindest nicht aufgefallen).

Ich habe schon versucht über die Kommando-Konsole (CMD) mit dem Befehl sfc.exe \scannow fehlede oder beschädigte Systemdateien, bezogen auf den Internet Connection Sharing-Dienst, wiederherzustellen. Allerdings ohne Erfolg (es passiert einfach nichts).

Im Anhang nochmal der HighJackThis-Log.

Ihr seid defintiv meine letzte Hilfe, denn ich weiß einfach nicht mehr weiter. Und eins garantiere ich auch, im Punkt Sicherheit werde ich mich auch ändern (müssen), denn es ist einfach zum Kotzen, wenn eine einzige präperierte Seite mir hier alles kaputt macht...

Gruß

Mod

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:23:53, on 21.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Eigene Dateien\Sonstige Dateien\HijackThis 2.0.2\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: ATI Tray Tools.lnk = C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2122557-15EE-44A4-8224-B908B1F721E6}: NameServer = 213.191.74.18 62.109.123.6
O19 - User stylesheet: E:\Eigene Dateien\Sonstige Dateien\Keine.Kaestchen.beim.IE8.css
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
 
--
End of file - 5026 bytes
         

Ich habe danke der Umbenennungs-Methode für Malwarebytes doch einen Scan durchführen können:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
 
Datenbank Version: 4666
 
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
 
21.09.2010 22:59:20
mbam-log-2010-09-21 (22-59-20).txt
 
Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 262856
Laufzeit: 36 Minute(n), 29 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
C:\Programme\Cryptload\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken.
C:\Programme\Cryptload\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken.
C:\System Volume Information\_restore{ABEE12BD-9A49-400B-8004-2D522C0EA243}\RP421\A0051671.exe (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{ABEE12BD-9A49-400B-8004-2D522C0EA243}\RP469\A0053697.exe (Rogue.Installer) -> No action taken.
C:\System Volume Information\_restore{ABEE12BD-9A49-400B-8004-2D522C0EA243}\RP470\A0053794.exe (Rogue.Installer) -> No action taken.
C:\WINDOWS\RegGenieOnUninstall.exe (Spyware.Passwords) -> No action taken.
E:\Eigene Dateien\Sonstige Dateien\Adobe.Photoshop.CS5.Extended.v12.0.Multilanguage-TIw\keygen.exe (Malware.Packer.Gen) -> No action taken.
E:\Eigene Dateien\Sonstige Dateien\Keygens\adobe-keygen.exe (Hacktool.Keygen) -> No action taken.
E:\Eigene Dateien\Sonstige Dateien\Keygens\adobecs5-keygen.exe (Malware.Packer.Gen) -> No action taken.
E:\Eigene Dateien\Sonstige Dateien\Keygens\keygen.exe (Trojan.Agent.CK) -> No action taken.
         

Die ersten zwei und die letzten sechs Einträge dürften aber definitiv keine Infizierungen sein.

Ich brauche Hilfe!

Jetzt habe ich auch nochmal mit dem OTL-Tool einen Scan durchgeführt. Da aber die eine Textdatei relativ groß ist, habe ich beide gezippt und als Anhang hinterlegt.

Bitte helft mir!

Hat denn keiner eine Idee? Komme ich ums neuformatieren nicht herum?

Hallo und

Führ doch mal CF aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.