Hallo!

Ich habe mir leider irgendwo irgendwie ein ziemlich hartnäckigen Plagegeist eingefangen. Ich habe hier im Board schon von gleichartigen Problemen gelesen. Da der Helfer immer darauf hingewiesen hat, dass die Hilfe nur für das individuelle Problem gilt, habe ich davon abgesehen der Anleitung zu folgen und sende nun einen eigenen Hilferuf.

Nach Herstellung der Internetverbindung und Arbeiten mit Firefox öffnet sich mal früher mal später ungefragt ein Tab und stellt irgendeine Verbindung her. Schaffe ich es schnell das Tab zu schließen, kann ich in der Regel eine Weile ungestört weiter arbeiten, aber igendwann, meist nach 1-2 Stunden kommt die Fehlermeldung. "Generic Host Process for Win32 Services hat ein Problem festgestellt und muss beendet werden." Ich kann dann noch einige Minuten arbeiten, aber dann bricht die Verbindung zusammen und ich muss den Rechner neu starten bevor ich wieder ins Internet kann. Während der 1-2 Stunden öffnet sich auch ab und an immer mal wieder ein Tab. Schließe ich das Tab schnell, kann ich weiter arbeiten. Ansonsten werden irgendwelche dubiosen Verbindungen aufgebaut und der Rechner arbeitet, so als ob irgendetwas im Hintergrund installiert wird. Er wird dann immer langsamer und Firefox hängt sich meistens auf. Beim Internet Explorer ist es übrigens ähnlich. Allerdings öffnet sich dort kein Tab, sondern die Verbindungen werden beim Öffnen z.B. eines Google Suchergebnisses hergestellt. Ich komme dann nicht zu der gewünschten Seite.

Ich habe Malwarebytes und Avira Antivir durchlaufen lassen. Es wurden auch Schädlinge gefunden und gelöscht / repariert. Aber: Auch wenn beide Programme nichts mehr finden, tritt das oben genannte Problem auf.

Ich hoffe sehr, mir kann jemand helfen!? Eine Neuaufsetzung des Systems möchte ich unbedingt vermeiden.

Dankeschön schon einmal im Voraus!

Hier meine 4 Protokolle von Malwarebytes: Wie gesagt, mal wird etwas gefunden - mal nicht (mehr). Das Problem ist aber immer akut.

------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4691

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.09.2010 17:07:22
mbam-log-2010-09-25 (17-07-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 163342
Laufzeit: 25 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\avs.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Casino Tropez (Adware.Casino) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\59t4 (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\avs.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\hotfix.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\jfgjjhhgh.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\PAV\filrewall.log (Malware.Trace) -> Quarantined and deleted successfully.

------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4691

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.09.2010 00:38:12
mbam-log-2010-09-26 (00-38-12).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 163479
Laufzeit: 25 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

------------------------------------------------------------------------


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4691

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.09.2010 00:34:26
mbam-log-2010-09-29 (00-34-26).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 163820
Laufzeit: 2 Stunde(n), 9 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\ciif.exe (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\owxupo.exe (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\chkntfs.exe (Trojan.Downloader) -> Delete on reboot.

------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4691

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.09.2010 23:33:46
mbam-log-2010-09-29 (23-33-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 163840
Laufzeit: 24 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

du sagtest du hast nen scan mit avira gemacht? dann öffnen, report und scanreport(s) posten.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide

Hallo marcusg!

Danke für die schnelle Antwort! :-)

Anbei alle Protokolle. Von den 5 Avira Antivir Tests wurde in 3 etwas gefunden, in 2 nichts. Die kleinen (18 KB) sind jene ohne Fund.

deb6863

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

..und hier kommt sie auch schon.

Nach dem Combofix-Durchlauf ist das eingangs geschilderte Problem bisher nicht wieder aufgetreten. *freu* Wurde das Rootkit entfernt? Bin ich wieder clean?

ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

Hier sind sie. Problem ist nicht mehr aufgetaucht! :-))



Wo kann ich spenden??

n bissel zu tun haben wir noch, ich geb dir dann den link.
welche firefox version nutzt du eigendlich?

• Starte bitte die OTL.exe.
• Kopiere nun das Folgende in die Textbox.

:OTL
SRV - (mnmsrvc) -- C:\WINDOWS\System32\mnmsrvc.exe File not found
DRV - (JakNDisMP) -- C:\WINDOWS\System32\DRIVERS\JakNDis.sys File not found
DRV - (GMSIPCI) -- G:\INSTALL\GMSIPCI.SYS File not found
DRV - (catchme) -- C:\DOKUME~1\FRANKV~1\LOKALE~1\Temp\catchme.sys File not found
DRV - (appliandMP) -- C:\WINDOWS\System32\DRIVERS\appliand.sys File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten

Gerade hat sich Avira Antivir gemeldet! :-(

In der Datei 'C:\System Volume Information\_restore{20F02571-133A-4AAE-807C-C806CD61B8BA}\RP172\A0028929.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen3' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Was soll ich tun? Zunächst deinen Anweisungen folgen oder Antivir durchlaufen lassen und bereinigen?

Ich habe Firefox 3.6.10.

bitte folge erst meinen anweisungen.
dann rechtsklick auf den arbeitsplatz, eigenschaften, systemwiederherstellung, auf allen laufwerken deaktivieren, übernehmen, ok
5 minuten warten, wieder einschalten
und dann gehts hiermit weiter.
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Hier sind die Logs.

sorry! Nun aber...

sieh dir die konfiguration an und vergleiche sie mit der anleitung. und du solltest dann über lokale laufwerke scannen.

Ich hatte wohl vergessen beim ersten Einstellen jeweils auf "Übernehmen" zu drücken. Jetzt sollte es passen.