Vorgeschichte & Hintergründe:

Bei dem "befallenen" System handelt es sich um Windows XP Professional SP3 mit aktuellem Virenschutz (McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.7.0i) und den neuesten Windows Updates.
Wie aus dem Virenschutz wohl schon hervorgeht handelt es sich bei dem PC um ein Firmengerät auf dem ich standardmäßig nicht als Adminstrator angemeldet bin.
Mein Benutzerzugang ist in den angehängten log files als "username" anonymisiert.
Das Administratoren Passwort ist mir bekannt, wodurch ich den "Load" check wie beschrieben durchführen konnte.

Vor ca. 4 Wochen wollte ich während der Arbeit (innerhalb unseres Firmennetzwerks) auf meinen Online Bank Account bei der VRB zugreifen.
Direkt nach dem Standard Login wurde ich zunächst darauf hingewiesen dass ich mich beim letzten mal nicht ordnungsgemäß ausgelogged hätte, was ich bezweifle.
Nachdem ich auf "OK" geklickt hatte, erschien auf der nächsten Seite ein pop-up (sah nach Flash aus) das mich dazu aufgeforderte 20 TANs einzugeben. Dabei hatte ich keine Möglichkeit das Fenster zu schließen und mich wieder auszuloggen.

Daraufhin hab ich sofort Kontakt zu meiner Bank aufgenommen, woraufhin mein Online Zugang gesperrt wurde.
Anschließend habe ich den PC an unsere Firmen IT übergeben, mit der Bitte wenn möglich ein neu aufsetzten des Systems zu vermeiden.
Meines wissens nach wurden darauf hin verschiedene Virenscans durchgeführt. U.a. mit einer speziellen Linux CD während des Bootvorgangs. Dort wurden wohl 8 files gefunden und gelöscht. Weitere Details sind mir leider nicht bekannt.
Mit der Aussage "probiers mal aus. Sollte noch was sein, meld Dich, dann machen wir Ihn platt", hab ich den Rechner dann zurück bekommen.

Gegenwärtiger Zustand:

Als ich dann letzte Woche meinen Online Bank Account wieder aktivieren lies und die Webseite meiner Bank aufrufen wollte, hat der Virenscanner angeschlagen und einen Trojaner gemeldet (siehe McAfee log file im Anhang).
Nach einem reboot wurde dabei wohl eine Datei Namens "disktcfg.dll" gelöscht. Seitdem bekomme ich nun beim Systemstart folgende Fehlermeldung:

RUNDLL
Error loading C:\WINDOWS\System32\disktcfg.dll
The specified module could not be found.

Am morgen des übernächsten Tages meldete überdies der Virenscanner ein weiteres Problem (siehe Anhang).

Daraufhin habe ich zunächst versucht mittels CCleaner die Systemstart Fehlermeldung loszuwerden. Bei der Registry Untersuchung wurde dort auch ein entsprechendes Problem angezeigt. Nachdem ich dieses beheben lies (Registry wurde natürlich zuvor gesichert) und einen reboot durchgeführt habe, konnte ich trotz bestehender Internetverbindung weder mit IE noch Firefox aufs Internet zugreifen.
Habe die Registry daraufhin wieder hergestellt, reboot zugeführt, Fehlermeldung wieder da, aber Internetverbindung funktioniert wieder.

Meine daraufhin vorgenommene Suche im Internet hat mich nun hierher verschlagen.
Wie in der Anleitung beschrieben habe ich nun die hier empfohlene Standard-Analyse durchgeführt und hoffe jetzt auf Hilfe, da es für mich wirklich ein riesen Umstand und auch großer Zeitverlust wäre meinen Firmenrechner komplett neu aufsetzten zu lassen.

Alle log Dateien werde ich an diesen Post anhängen.
Dabei ist zu erwähnen dass ich mit OLT kein Extra.txt log file erhalte. Weder mit dem hier empfohlenen scan.txt script, noch mit den im Forum empfohlenen Standard Einstellung. Ich vermute allerdings dass das an der ansonsten mit CCleaner regelmäßig "gepflegten" Registry liegt.

Wie gesagt werde ich zusätzlich zu den normalen log files auch noch Datein für den Standard OLT report, die Virusscan Fehlermeldungen, ein HijackThis log file, einen CCleaner Registry Report (registry.txt) sowie die Registry Details für den "disktcfg.dll" Fehler anhängen.
Die Schritte 4 und 5 der Anleitung waren bei mir scheinbar nicht nötig. Die entsprechende Datei war auf meinem Desktop nirgends zu finden.



Christian

Zitat:

Seitdem bekomme ich nun beim Systemstart folgende Fehlermeldung:
RUNDLL
Error loading C:\WINDOWS\System32\disktcfg.dll
The specified module could not be found.

Windows fährt aber schon noch hoch oder hab ich dich jetzt falsch verstanden?
Du bekommst nur wenn Windows gestartet ist diese Fehlermeldung?

Hallo!

Ja, er fährt ganz normal hoch, ich muss die Fehlermeldung nur mit OK weg klicken und kann dann ganz normal arbeiten, ohne weitere Fehlermeldungen.

Grüße,
Christian

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo Cosinus,

Ich habe wie von Dir angeregt einen neuen Vollscan mit der Admin Anmeldung durchgeführt. Dabei wurden von Malwarebytes keinerlei Probleme gefunden.
Das Ergebnis habe ich als Attachment angefügt.

Hast Du auch schon einen Blick auf die anderen log files geworfen?
Die online Auswertung hat eigentlich kaum etwas ergeben. Die meisten unbekannten Dateien konnte ich speziellen Programmen zuordnen die ich beruflich verwende.
Nach Studium anderer Trojaner Befälle hier bin ich mir aber natürlich unsicher ob das Malwarebytes Ergebnis jetzt bedeutet, dass der Rechner mit hoher Wahrscheinlichkeit wieder "sauber" ist oder nicht.

An einer Einschätzung Deinerseits wäre ich sehr interessiert.
Das weiter bestehende Problem mit dem DLL Fehler und das Resultat meines Versuches diese mit dem CCleaner zu beseitigen machen mich natürlich weiter skeptisch.

Vielen Dank für Deine Hilfe,
Christian

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

Klingt für mich ganz so als sollte ich an diesem Punkt nicht mehr alleine weiter machen sondern doch wieder unseren Firmen IT Support involvieren... kenne mich zwar schon selbst auch ganz gut aus, aber ein Spezialist bin ich nicht.

Deiner Ansicht nach ist also wohl die Wahrscheinlichkeit dass mein Rechner noch nicht sauber ist, anhand der Dir zur Verfügung stehendenden Informationen, relativ hoch, oder?

Wie vorher schon gesagt, vielen Dank,
Christian