Hallo trojaner-board Team,

Könnt ihr vielleicht mal das folgende Highjack This logfile ansehen und mir sagen ob da alles ok ist???

HiJackthis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:52:22, on 30.12.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\FsUsbExService.Exe
c:\PROGRA~1\mcafee\SITEAD~1\mcsacore.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Uniblue\RegistryBooster\rbmonitor.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\NETGEAR\WN111v2\WN111V2.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\L2YN7PSY\HiJackThis204[1].exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WN111v2 Setup-Assistent.lnk = C:\Programme\NETGEAR\WN111v2\WN111V2.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: Jumpstart Wifi Protected Setup (jswpsapi) - Atheros Communications, Inc. - C:\Programme\NETGEAR\WN111v2\jswpsapi.exe
O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - c:\PROGRA~1\mcafee\SITEAD~1\mcsacore.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5926 bytes
         

--- --- ---

Des weiteren habe ich ein Problem, dass mein Computer ohne dass ich etwas mache abschaltet und neu startet. Dann kommt die Fehlermeldung dass das System nach einem schwerwiegenden Fehler wieder ausgeführt wird. Malewarebytes findet nichts. Die Daten im Fehlerbericht sind folgende:

C:\DOKUME~1\***\LOKALE~1\Temp\WER8251.dir00\Mini122910-01.dmp
C:\DOKUME~1\***\LOKALE~1\Temp\WER8251.dir00\sysdata.xml

Wer kann da helfen???

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Arne, kannst du nicht erstmal mir einfach nur sagen, ob in den highjackthis log irgendetwas merkwürdig ist oder ob alles soweit ok (fehlerfrei) ist?! Werde dann zeitnah die OTL und Malwarebytes nachliefern. Aber wie bereits geschreiben Malwarebytes meldet nix!

So habe jetzt OTL durchgeführt und Malwarebytes Logfile:

HJT ist so alt und angestaubt, da bringt es nicht mal was das anzugucken. Ein HJT-Log ist für einen ganz groben Systemüberblick geeignet, aber definitiv nicht für Malware-Analyse!!

Zitat:

Malwarebytes' Anti-Malware 1.46

Malwarebytes

Datenbank Version: 5084

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

30.12.2010 20:32:49

mbam-log-2010-12-30 (20-32-49).txt

Art des Suchlaufs: Quick-Scan

Also im MBAM-Log sehe ich, dass du ja so gut wie alles falsch gemacht hast was geht

- MBAM-Version ist nicht aktuell
- DBs sind out of date und
- ich wollte einen Vollscan sehen!
-

Sorry, dann werde ich das nochmal machen! Dauert halt...

Habs jetzt aktualisiert. Suchlauf ist gestartet!

So, fertig! Ich habe jetzt Malwarebytes aktualisiert und einen vollständigen Scan gemacht. Anschließend habe ich nochmal OTL gemacht. Hier die Ergebnisse (Malwarebytes hat 1 infiziertes Objekt gefunden): siehe Anhang
Ich hoffe jetzt habe ich alles richtig gemacht und mir kann geholfen werden!

Mal ne Frage: Was sind das unter OTL.Txt bei Hosts (O1) für Internetseiten??? Was haben die da zu suchen??? Ist das normal???

Die kommen üblicherweise durch die Immunisierung mit Spybot S&D.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - AutoRun File - [2005.08.11 18:25:06 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2007.10.05 15:21:18 | 000,000,000 | R--D | M] - I:\Autorun -- [ CDFS ]
O32 - AutoRun File - [2004.10.05 18:11:42 | 000,180,224 | R--- | M] () - I:\Autorun.exe -- [ CDFS ]
O32 - AutoRun File - [2004.08.24 16:57:32 | 000,000,042 | R--- | M] () - I:\Autorun.inf -- [ CDFS ]
O33 - MountPoints2\{60a97b90-e84d-11df-acb7-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{60a97b90-e84d-11df-acb7-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{60a97b90-e84d-11df-acb7-806d6172696f}\Shell\AutoRun\command - "" = I:\Autorun.exe -- [2004.10.05 18:11:42 | 000,180,224 | R--- | M] ()
O33 - MountPoints2\{7a5d1e67-0fa2-11e0-bcc7-001f33f4ade0}\Shell - "" = AutoRun
O33 - MountPoints2\{7a5d1e67-0fa2-11e0-bcc7-001f33f4ade0}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{7a5d1e67-0fa2-11e0-bcc7-001f33f4ade0}\Shell\AutoRun\command - "" = J:\DPFMate.exe -- File not found
[2010.12.30 20:44:14 | 000,709,456 | ---- | M] () -- C:\WINDOWS\is-EB8BD.exe
[2010.12.30 20:44:14 | 000,012,846 | ---- | M] () -- C:\WINDOWS\is-EB8BD.msg
[2010.12.30 20:44:14 | 000,000,403 | ---- | M] () -- C:\WINDOWS\is-EB8BD.lst
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hey Arne,

hab jetzt das in OTL eingefügt und gefixed!
Hier das Logfile von OTL (siehe Anhang, als .txt gespeichert), welches anschließend (nach Neustart) erstellt wurde. Kannst du mir trotzdem vllt sagen, was das jetzt bewirkt hat / haben sollte?!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Das Antivirenprogramm schließen heißt ich soll in der Taskleiste Avira AntiVir "beenden" oder???

Bei Avira heißt das Regenschirm schließen

Komme mit dem ComboFix nicht klar. Habe es gestartet (davor CCleaner und alles wie beschrieben), Avira geschlossen (Regenschirm zugeklappt),...! Dann hat ComboFix gestartet, und ich habe gewartet! Er hat die Wiederherstellungskonsole installiert und den Scan gestartet. Dann kam nach ca. 5 Minuten eine Meldung, dass die Anwesenheit von Rootkitaktivitäten festgestellt wurde und der PC neu gestartet werden muss. Danach erschien wieder das ComboFix Fenster. Es lief normal weiter dann kam: Fertiggestellt Stufe 1 und soweiter bis Stufe 50! Dann kam "Lösche Daten" oder "Lösche Dateien" habe ich nicht so schnell lesen können und der PC startete neu! Beim ersten Versuch kam nun ein Bluescreen der mich aufforderte neu zu starten! Beim Starten kam die in meiner Anfrage genannte Fehlermeldung! Nun habe ich es erneut versucht. Alles war gleich, bis ich wiedermals bei "Lösche Daten" war. Nun startete der PC neu und es kam wieder eine Fehlermeldung! Dann nichts mehr!!! Kann ich irgendwo unter Programme oder so nun eine .txt Datei aufrufen (also bei Festplatte C:\ - wie heißt da der Ordner von ComboFix??? ComboFix als Namen gibt es nicht!) Und was hat das zu bedeuten, dass beim Neustart nur eine Fehlermeldung kommt????

Kannst du mir außerdem sagen, was das mit OTL bewirkt hatte???
Übrigens: Nach dem ComboFix waren in meiner Taskleiste die Schnellstartsymbole (Internet, Desktop anzeigen,...) verschwunden!!! Habe dies jetzt wieder eingefügt...