Systemsäuberung nach mehrfachem Trojaner-Fund vollständig?
 

Hallo Leute!

Habe wieder einmal mit einem verseuchten System zu tun gehabt (Windows XP Home SP3). Habe Kaspersky, GData, Norton und Malwarebytes Anti-Malware offline scannen lassen. Danach System gestartet und mit SuperAntiSpyware und HijackThis gescannt. Dann CCleaner verwendet. Systemwiederherstellungspunkte gelöscht.

Das System scheint wieder sauber zu sein, die Logs sind im positiven Sinne "unergiebig", aber ich würde gerne trotzdem noch einmal die Spezialisten zu Rate ziehen, um mir etwas sicherer zu sein!

Danke schon einmal,

TB-User


---------------- Anfang DDS.TXT -------------------

.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_30
Run by xxxxxx at 13:53:32 on 2012-04-23
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1566 [GMT 2:00]
.
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
svchost.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\iPod\bin\iPodService.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
uURLSearchHooks: H - No File
mURLSearchHooks: H - No File
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\programme\java\jre6\bin\ssv.dll
BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Easy-WebPrint: {327c2873-e90d-4c37-aa9d-10ac9baba46c} - c:\programme\canon\easy-webprint\Toolband.dll
TB: {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File
TB: Yahoo! Toolbar: {ef99bd32-c1fb-11d2-892f-0090271d4f88} -
TB: {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
{e7df6bff-55a5-4eb7-a673-4ed3e9456d39}
uRun: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "c:\programme\gemeinsame dateien\ahead\lib\NMBgMonitor.exe"
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [Skype] "c:\programme\skype\phone\Skype.exe" /nosplash /minimized
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [Alcmtr] ALCMTR.EXE
mRun: [AppleSyncNotifier] c:\programme\gemeinsame dateien\apple\mobile device support\bin\AppleSyncNotifier.exe
mRun: [iTunesHelper] "c:\programme\itunes\iTunesHelper.exe"
mRun: [Easy-PrintToolBox] c:\programme\canon\easy-printtoolbox\BJPSMAIN.EXE /logon
mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
mRun: [nwiz] nwiz.exe /install
mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
mRun: [PaperPort PTD] "c:\programme\scansoft\paperport\pptd40nt.exe"
mRun: [PPort11reminder] "c:\programme\scansoft\paperport\ereg\ereg.exe" -r "c:\dokumente und einstellungen\all users\anwendungsdaten\scansoft\paperport\11\config\ereg\Ereg.ini"
mRun: [BrMfcWnd] c:\programme\brother\brmfcmon\BrMfcWnd.exe /AUTORUN
mRun: [ControlCenter3] c:\programme\brother\controlcenter3\brctrcen.exe /autorun
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
mRunOnce: [AvgUninstallURL] cmd.exe /c start hxxp://www.avg.de/de.special-uninstallation-feedback-appf?lic=OUFWRlJFRS1WMEtNQy1FOVZVVy1FVzBWQS1VVTNYTC1GRVc5Ny1PVTZF"&"inst=NzctNTE0ODY4NTI2LVQxLUJBKzEtS1YzKzctWEwrMS1VQ0FMTCsxLVVDQUxMMisyLVRCOCsyLUZMK zgtUUlYMSs0LVgyMDEwKzItRkwxMCsxLVRVRyszLUxJQys4LVNQMSsxLVNVUCs0LVNQMVM0KzEtRERUKzM2ODgzLUREMTBGKzEtU1QxMEZBUFArMS1GMTBUQisyLVNUMTBUQkYrMQ"&"prod=90"&" ver=10.0.1424
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
IE: Easy-WebPrint - Drucken - c:\programme\canon\easy-webprint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\canon\easy-webprint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\canon\easy-webprint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\canon\easy-webprint\Resource.dll/RC_AddToList.html
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
.
============= SERVICES / DRIVERS ===============
.
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\programme\avg\avg10\toolbar\toolbarbroker.exe --> c:\programme\avg\avg10\toolbar\ToolbarBroker.exe [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S3 V0330VID;WebCam Vista;c:\windows\system32\drivers\V0330Vid.sys [2006-9-13 173632]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
S4 gupdate;Google Update Service (gupdate);c:\programme\google\update\GoogleUpdate.exe [2011-4-10 136176]
S4 gupdatem;Google Update-Dienst (gupdatem);c:\programme\google\update\GoogleUpdate.exe [2011-4-10 136176]
.
=============== Created Last 30 ================
.
2012-04-22 12:27:09 -------- d-----w- c:\dokumente und einstellungen\xxx\Eigene Dateien
2012-04-22 12:22:47 -------- d-----w- C:\Von Internet Explorer
2012-04-22 12:06:52 21504 -c--a-w- c:\windows\system32\dllcache\hidserv.dll
2012-04-22 12:06:52 21504 ----a-w- c:\windows\system32\hidserv.dll
2012-04-22 12:06:49 14720 -c--a-w- c:\windows\system32\dllcache\kbdhid.sys
2012-04-22 12:06:49 14720 ----a-w- c:\windows\system32\drivers\kbdhid.sys
2012-04-22 12:06:39 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2012-04-22 12:06:39 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2012-04-22 12:06:30 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2012-04-22 12:06:30 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2012-04-15 19:35:42 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\F4D562C8000DD4DE0001497FD151FC84
2012-04-15 19:27:29 -------- d-----w- c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\Identities
.
==================== Find3M ====================
.
.
============= FINISH: 13:53:51,79 ===============

-------------- Ende DDS.TXT ---------------

Und warum lässt du diese Logs weg? :confused:


Hoffentlich hast du die Registry in Ruhe gelassen

Hallo cosinus,

ich wusste nicht, dass euch der VORHER-Zustand auch interessiert; habe mich einfach an die Anweisungen für die Logs gehalten.

"Hoffentlich hast du die Registry in Ruhe gelassen"
Natürlich nicht, gerade auf die kam es mir an, z. B. wg. verwaister Autostarteinträge.
Aber ich arbeite mit Images + Registry-Backups, in der Regel trage ich etwas zur Verbesserung eines Systems bei als das ich es unreparierbar hinterlasse ;-)

MfG, TB-User

Du hast aber BEREINIGT und nicht alles geplättet und neu installiert
Bei einer "angeblichen" Bereinigung ist es sehr wohl von Inresse was da an aktivem Zeug vernichtet wurde

Finger weg von Registry-Cleanern!!

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr startet.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Hallo cosinus,

danke für die Informationen, mich würde aber natürlich auch eure Meinung über die geposteten Logs interessieren. Andere existieren nicht mehr, ich weiß nur noch, dass Kaspersky mehrere Trojaner gefunden hat.

MfG

TB-User

Dann kann niemand mehr nachvollziehen wie stark dein System und mit was es befallen war

Zudem versteh ich nicht, warum kein Log mehr existiert

Die von Malwarebytes müssten noch alle vorhanden sein
Schau mal nach ob die Logs noch hier zu sehen sind in Form von Textdateien. Damit du dir Ordner auch siehst das hier VORHER umsetzen!! => http://www.trojaner-board.de/59624-a...-sichtbar.html

Hauptlogs nach Scans (Quick, Full oder Flash):

• XP:
  C:\Dokumente und Einstellungen\(USER)\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-yyyy-mm-dd.txt
  
  
• Vista, Windows 7, 2008:
  C:\Users\(USER)\AppData\Roaming\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-yyyy-mm-dd.txt

Hallo cosinus,

zwei Logs konnte ich noch hervorkramen dank deines Hinweises. Zunächst hatte ich mit Kaspersky gescannt, jedoch über Boot-CD und später den Kaspersky-Ordner auf der HDD leider entfernt.
Danach kam GDATA mit zwei Funden, die allerdings auf der Datenpartition mit einem Windows-Ordner einer früheren Installation gemacht worden sind. Hier wäre die Frage, ob das noch Altlasten einer früheren Installation sind oder ob sich kurioserweise (?) "frische" Trojaner in einen "toten" Windows-Ordner kopiert haben. Habe dann den ganzen Ordner entsorgt.
Anschließend MBAM hat dann auf beiden Partitionen nichts mehr gefunden.

MfG, TB-User

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo cosinus,

hier der Log von ESET. Der hat im Ordner "Eigene Musik" tatsächlich eine ausführbare Datei "registrybooster" gefunden. Womit wir wieder beim Thema wären ... LOL
Aber bevor dir wieder der Hals schwillt, dieser Rechner ist nicht von mir!
Ist natürlich Crapware und wird bei Virustotal.com nur von der ESET-Software als gefährlich eingestuft - vielleicht, weil die genauso argumentieren ...

MfG, TB-User

Finger weg von Registry-Cleanern!!

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr startet.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.


Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hallo cosinus,

1.) ja, ich kann keinerlei Anomalien entdecken.
2.) nein, ich habe nichts dergleichen festgestellt.

MfG, TB-User

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo cosinus,

die Besitzerin wollte ihren Rechner gestern Abend wieder mitnehmen, obwohl ich ihr erklärt habe, dass wir noch nicht durch sind. Gut, sie macht das auf eigene Gefahr, ich kann es leider nicht ändern.

Deshalb danke ich dir schon an dieser Stelle für deinen Einsatz!!

Da ich das Trojaner-Board bisher schon einige Mal genutzt habe, habe ich gerade eine kleine Spende überwiesen.

MfG, TB-User

Tja, kann man nichts machen. Soll sie aber nicht rumheulen wenn das Teil noch nicht sauber ist