Seit ein paar Tagen macht mein Windows-XP-PC immer öfter Probleme:
- Beim Starten bleibt er am Hintergrundbild hängen und kriegt den Desktop nicht zum Laufen, d.h. der Windows-Explorer startet nicht. Neustart hilft meistens.
- Der Internet-Explorer startet auch nicht immer von der Schnellstartleiste. Wenn er läuft, kommen ab und zu Seiten auf neuen Explorer-Instanzen oder neuen Registerkarten oder in der aktiven Registerkarte, die nicht annavigiert wurden. Manche Internet-Adressen funktionieren gar nicht mehr, z.B. update.microsoft.com, Ab ubd zu stürzt der IE auch ab bzw. friert ein.

Habe das System mit verschiedenen Tools gescannt und nichts gefunden.
Hat jemand eine Idee? Es wäre schön, wenn einer der Spezialisten was Verdächtiges drin finden würde und mit einen Lösungsansatz helfen könnte.

Hier die aktuellen Hijackthis- und Combofix-Logs.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:41:46, on 19.10.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Konfigurationsdateien Intel6300\Downloads\HighjackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ColorVisionStartup.lnk = C:\Programme\ColorVision\Utility\ColorVisionStartup.exe
O4 - Global Startup: NETGEAR WG111v3 Setup-Assistent.lnk = C:\Programme\NETGEAR\WG111v3\WG111v3.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6770.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1274182941875
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

ComboFix 10-10-18.06 - S*** 19.10.2010 21:16:01.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1015.746 [GMT 2:00]
ausgeführt von:: c:\temp\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2010-09-19 bis 2010-10-19 ))))))))))))))))))))))))))))))
.

2010-10-19 17:55 . 2008-04-14 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-10-19 15:53 . 2010-10-19 15:57 -------- d-----w- c:\programme\Windows Live Safety Center
2010-10-19 15:26 . 2010-10-19 15:25 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-10-19 15:26 . 2010-10-19 15:25 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-10-19 15:25 . 2010-10-19 15:25 -------- d-----w- c:\programme\Java
2010-10-19 15:04 . 2010-10-19 15:04 -------- dc-h--w- c:\windows\ie8
2010-10-19 12:14 . 2010-10-19 12:14 -------- d-----w- c:\windows\system32\wbem\Repository
2010-10-19 09:03 . 2010-10-19 12:13 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Adobe(2)
2010-10-19 07:43 . 2010-10-19 07:43 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten
2010-10-19 06:52 . 2010-10-19 06:52 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-10-17 19:35 . 2010-10-17 19:35 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
ColorVisionStartup.lnk - c:\programme\ColorVision\Utility\ColorVisionStartup.exe [2006-1-31 385024]
NETGEAR WG111v3 Setup-Assistent.lnk - c:\programme\NETGEAR\WG111v3\WG111v3.exe [2008-7-1 1937408]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Sinus 154 stick WLAN Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Sinus 154 stick WLAN Manager.lnk
backup=c:\windows\pss\Sinus 154 stick WLAN Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=2 (0x2)
"IDriverT"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [09.10.2007 14:13 38144]
R3 HCWBT8xx;Hauppauge WinTV 848/9 WDM Video Driver;c:\windows\system32\drivers\HCWBT8XX.sys [25.01.2006 17:14 472644]
R3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\drivers\wg111v3.sys [28.12.2007 16:02 287232]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
Trusted Zone: microsoft.com\update
.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x86345446]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf761bf28
\Driver\ACPI -> ACPI.sys @ 0xf758dcb8
\Driver\atapi -> atapi.sys @ 0xf7545852
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a
ParseProcedure -> ntoskrnl.exe @ 0x80578f7a
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a
ParseProcedure -> ntoskrnl.exe @ 0x80578f7a
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
user & kernel MBR OK

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2010-10-19 21:22:54
ComboFix-quarantined-files.txt 2010-10-19 19:22

Vor Suchlauf: 7 Verzeichnis(se), 238.067.793.920 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 238.041.710.592 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 412BA7081B7282C350B4AED96EDC9FD0

Warum führst Du auf eigene Faust Combofix auf? Das sollst Du erst auf Anweisung hin ausführen - so steht es jedenfalls überall hier dick und fett, unübersehbar!

Weil das in einer ähnlichen Situation bei mir schon einmal sehr erfolgreich war.
Wenn nichts Brauchbares im Log steht, ignorier´s einfach. Hätte ich auch nicht erwähnen brauchen, nicht wahr?
Irgendwelche Tipps?

Zitat:

Hätte ich auch nicht erwähnen brauchen, nicht wahr?

Wenn Du meinst, relevante Infos einfach wegzulassen, kannst Du Dir ja anscheinend besser selber helfen. Musst Du wissen
Ansonsten will ich jetzt bitte alle Logs sehen, alles was Du hast. Also auch ältere CF-Logs falls vorhanden und v.a. auch von Malwarebytes falls schon ausgeführt.

Hallo Arne, Danke dass Du mir helfen willst!!

Nun, ich hab´s ja nicht weggelassen, dass ich den Combofix schon eingesetzt hab ...

Malwarebytes hatte im Quickscan auch nix gefunden, habe deshalb heute morgen einen vollständigen Scan gemacht, leider auch ohne Ergebnis:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4888

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.10.2010 10:15:46
mbam-log-2010-10-20 (10-15-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 178162
Laufzeit: 13 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Da muss aber was sein, denn gerade im Moment poppte wieder eine neue IE-Instanz hoch, dabei habe ich heute nur das Trojaner-Board aufgerufen. Und wenn ich den Windows-Explorer oder den IE in der Schnellstartleiste anklicke, startet das Programm auch nur ca. jedes 2. Mal.

So ganz unbeleckt bin ich in IT-Dingen nicht, diesmal bin ich aber echt ratlos.
Was ich schon versucht habe:
- Check mit Symantec- und Microsoft-Scannern (nichts gefunden),
- Löschung+Neuinstallation IE8+Java,
- Spybot Search&Destroy (nichts gefunden),
- Systemwiederherstellung vor/nach die letzten beiden Microsoft-Updates haben nix gebracht, Systemwiederherstellung auf Ende Sept. funktioniert nicht (mehr?).

Gruß colonia

Nach etlichen Versuchen mit den verschiedenen gängigen Scannern, die alle nichts entdeckt haben, war schlussendlich doch ein Trojaner für das Verhalten des PCs verantwortlich, nämlich der BackDoor.Tdss.4005. Gefunden und beseitigt habe ich ihn mit Dr. Web cureit.

Interessanterweise gibt es bei Microsoft eine Beschreibung (https://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3aWinNT%2fAlureon.L), in der nachzulesen ist, dass dieser Schädling von den Tools Microsoft Security Essentials und Windows Life Safety Scanner erkannt werde. Bei mir war das aber leider nicht der Fall, war wohl zu gut versteckt (in einem Hardware-Gerätetreiber).

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Das Problem ist ja gelöst.
Der OTL hatte nichts gefunden

Zitat:

Der OTL hatte nichts gefunden

Diese Aussage macht so keinen Sinn.
OTL ist kein Virenscanner, der was "finden" soll. OTL ist ein Analysetool, dass in jedem Fall Logs mit rel. vielen Infos erstellt, was hat das mit "nichts finden" zu tun?