Trojaner-Board - Probleme nach dem Hochfahren des PC

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen (https://www.trojaner-board.de/52833-probleme-hochfahren-pc-bitte-mal-log-pruefen.html)

Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen

Hallo zusammen!

Heute morgen fuhr mein Rechner normal hoch, aber bis
auf den Dektop-Hintergrund und den Mauszeiger wurde nichts angezeigt.

Keine Taskleiste, kein Kontextmenü, nichts.
Die Farbeinstellungen der Grafikkarte wurden auch nicht übernommen.

Der Taskmanager funktionierte auch nicht.

Ich konnte den Mauszeiger bewegen, aber das war's auch schon.

Nachdem ich den Rechner 2x in den abgesicherten Modus (einmal mit, einmal ohne Netzwerktreiber) gestartet hatte (hier funktionierte alles bestens (Taskleiste, Kontextmenü..) und mit escan und Spybot durchgescannt hatte (ohne Meldungen), war ich auch nicht schlauer.

Dann bootete ich mit der Avira-Notfall-CD und scannte mein System.
Auch ohne Fund.

Nach diesem Scan jedoch fuhr ich meinen Rechner nochmal hoch und nun klappte alles normal. Taskleiste da und auch alles andere funktioniert wie es soll.

Kann mir bitte jemand mein Hijack-This-Logfile auswerten, denn ich weiss nicht, ob dieses Problem nicht doch einen Maleware-Hintergrund hat(te).

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:16:58, on 23.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Sicherheit\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\RTHDCPL.EXE
D:\Handy\Nokia\Nokia PC Suite 6\LaunchApplication.exe
D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
D:\Internet\Mozilla Firefox\firefox.exe
D:\Sicherheit\HiJackT\pruefcom.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Sicherheit\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Handy\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [RemoteControl] D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] D:\Multimedia\CyberLink\PowerDVD\Language\Language.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "D:\Multimedia\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] D:\Handy\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Office\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4577 bytes

(wurde im eingeschränkten Konto erstellt)

Ich kann ehrlich gesagt, bis auf die 3fachen [CTFMON.EXE]-Einträge (sind die ok?), nichts auffälliges entdecken. Aber ich bin im besten Fall nur ein Amateur, deshalb wollte ich Euch Profis mal hinzuziehen. :-)

Wo ich schon mal dabei bin:

Ich habe gestern mit dem RootkitRevealer (im Admin-Modus) einen Scan durchgeführt und dabei kam folgendes Logfile heraus:

Zitat:

HKU\S-1-5-21-1844237615-1482476501-839522115-1003\Software\Microsoft\Keyboard\Native Media Players\QuickTime Player\ExePath 24.03.2008 21:04 43 bytes Data mismatch between Windows API and raw hive data.
HKU\S-1-5-21-1844237615-1482476501-839522115-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY* 08.05.2008 13:41 0 bytes Key name contains embedded nulls (*)
HKU\S-1-5-21-1844237615-1482476501-839522115-1003\Software\SecuROM\License information* 19.04.2008 11:08 0 bytes Key name contains embedded nulls (*)
HKU\S-1-5-21-1844237615-1482476501-839522115-1004\Software\Microsoft\Keyboard\Native Media Players\QuickTime Player\ExePath 17.05.2008 23:00 43 bytes Data mismatch between Windows API and raw hive data.
HKLM\SECURITY\Policy\Secrets\SAC* 24.03.2008 09:59 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 24.03.2008 09:59 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}\ 26.03.2008 11:23 19 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\idx\_qd.cfs 18.05.2008 12:00 12.91 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\idx\_qk.cfs 21.05.2008 09:11 18.56 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\idx\_qk.del 21.05.2008 09:11 10 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\idx\_qo.cfs 21.05.2008 09:11 7.59 KB Hidden from Windows API.

Könnte mir bitte jemand das Ergebnis deuten.

Ich danke allen im Vorraus für Ihre Mühe und Arbeit.

Viele nehmen dieses Board und die Hilfe, die man hier findet, als selbstverständlich und deshalb möchte ich nochmal allen selbstlosen Helfern hier danken für ihren unermüdlichen Einsatz.

Gruß
Nez_Perces

PS: Ich gehe über einen Router ins Internet, habe alle relevanten Microsoft-Sicherheits-Patches drauf, unnötige Dienste abgeschaltet (per Script) und aktualisiere meinen Virenscanner täglich.
Weiss nicht, ob diese Infos Euch helfen, wollte es aber erwähnen.

Das Problem besteht weiterhin.

Seltsam:

Wenn ich den Boot-Vorgang durch das drücken der F8-Taste unterbreche und im Menü auf "Normal Booten" auswähle, funktioniert es einwandfrei.

Genauso, wenn der Boot-Vorgang durch die eingelegte Avira-Notfall-CD unterbrochen wird und ich im Menü auf "Booten von der Festplatte" auswähle.

In diesen Fällen gibt es keine Probleme.

Danke im Vorraus für Eure Hilfe.

hallo dein system ist infiziert.
installiere nun zuerst das ComboFix, bevor wir weitere Arbeiten an deinem System vornehmen. Folge dieser Anleitung, waehle die deutsche Übersetzung: Combofix Guide & Instructions, um dich dort über die Anleitung zum Combofix zu informieren, insbesondere über die Installation der Wiederherstellungs Konsole. Installiere die Wiederherstellungskonsole zuerst.

Poste anschliessend ein ComboFix Logfile und ein neues HijackThis Log.

Hinweis: klicke nicht in das Fenster vom ComboFix, während es läuft, das könnte das Programm veranlassen hängen zu bleiben.
Hinweis: das ComboFix kann einige Einstellungen des Internet Explorers zurücksetzen und ihn zu deinem Haupt-Browser machen.
Hinweis: das ComboFix verhindert das starten von CDs, Floppies, USB Geräten, um die Malware Entfernung zu unterstützen und die Sicherheit zu erhöhen.

@markusg:

Erstmal danke für die Antwort.

Als ich nach Anleitung die Wiederherstellungskonsole installieren wollte (über ComboFix), schlug AntiVir Alarm:

"In der Datei 'C:\ComboFix\pv.cfexe'
wurde ein Virus oder unerwünschtes Programm 'SPR/Tool.PV' [riskware] gefunden."

Ok, ich dachte an eine Fehlermeldung, wobei auf der ComboFix-Seite über solche Fehlermeldungen von Anit-Viren-Programmen nichts stand.

Ich erlaubte den Zugriff.

Nach Installation der Konsole kam ein Dialogfenster, in welchem in etwa folgendes Stand: "1/100 Rechnern wird durch diesen Vorgang zerstört/beschädigt/unbrauchbar...(habe den genauen Wortlaut nicht im Kopf, sorry)..Sind Sie sicher, dass Sie den Desinfektionsvorgang fortsetzen möchten?"

Was soll das?

Auf der ComboFix-Seite mit der Anleitung steht nichts über so ein Dialogfenster und dabei wird auf 11 (ausgedruckten) Seiten Schritt für Schritt eine Anleitung gegeben.

Nichts gegen Dich markusg, aber ist es 100% sicher, dass mein Rechner infiziert ist?

Wie gesagt, escan, AntiVir und Spybot brachten sowohl im abgesicherten Modus als auch im normalen Modus keine Warnung oder Alarm.

Ich würde gerne eine 2. fundierte Meinung zu meinem Problem lesen, wenn es nicht zu viele Umstände macht.

Nochmals Danke im Vorraus für Eure Mühen.

Gruß

Nez_Perces

PS: Ich ziehe ernsthaft in Betracht mein System neu aufzusetzen, da ich mir wirklich nicht sicher bin, ob es noch vertrauenswürdig ist oder nicht.

O4 - HKLM\..\Run: [LanguageShortcut] D:\Multimedia\CyberLink\PowerDVD\Language\Language .exe
daran sieht mans z.B. das dein rechnder infiziert ist.
Der schnellste weg ist neu machen wenn du dazu bereit bist, tu es. bitte keine programme sichern nur persönliche daten. nach dem neu instalieren die windows updateseite aufsuchen alle updates einspielen sowie antivir.

außerdem kannst du meiner meinung vertrauen und auch die programme verwenden die ich dir nenne... kenn mich da aus und du bist net der erste bei dem diese verwendet werden.

So, ich habe gestern mein System neu aufgesetzt.
Bevor ich in irgendeiner Weise online ging, habe ich alle relevanten Sicherheitsvorkehrungen getroffen, wie sie auch hier auf der Seite als Anleitung für das Neuaufsetzen des Systems vorgeschlagen werden.

Ich habe mit escan, Spybot, AntiVir mein System jeweils im abgesicherten und normalen Modus gescant und es wurde nichts gefunden.

Hier mein HijackThis-Log-File (im Admin-Modus):

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 07:21:59, on 25.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe
D:\Internet\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
D:\Sicherheit\RootkitRevealer\RootkitRevealer.exe
C:\DOKUME~1\A89B0~1.SOP\LOKALE~1\Temp\M.exe
D:\Sicherheit\HiJackThis\pruefcom.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] c:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [RemoteControl] D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] D:\Multimedia\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Internet\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Microsoft Office.lnk = D:\Office\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: M - Sysinternals - Windows Sysinternals: Documentation, downloads and additional resources - C:\DOKUME~1\A89B0~1.SOP\LOKALE~1\Temp\M.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vor den Neuaufsetzen hatte ich gestern noch mithilfe des CHIP-Update-Managers 2 (auf der neuesten CHIP-DVD enthalten) alle fehlenden Windows-Updates bzw. -Patches heruntergeladen und auf einer CD gesichert.

Nach dem Neuaufsetzen spielte ich alle Updates/Patches auf bevor ich eine Internetverbindung aufgebaut habe um meine Scanner-Updates zu machen.

PS:

Zitat:

Zitat von markusg

O4 - HKLM\..\Run: [LanguageShortcut] D:\Multimedia\CyberLink\PowerDVD\Language\Language .exe
daran sieht mans z.B. das dein rechnder infiziert ist.(...)

Daran soll man es erkennen?
Hier: http://www.trojaner-board.de/43427-b...r-logfile.html
ist die Datei ebenfalls zu erkennen im HijackThis-Log und [Gc]Sunny hatte nichts zu beanstanden.
Ich verstehe das nicht. Sorry.

Hier auch mein RootkitRevealer-Log-File von heute morgen:

Zitat:

HKLM\SECURITY\Policy\Secrets\SAC* 24.05.2008 07:40 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 24.05.2008 07:40 0 bytes Key name contains embedded nulls (*)
C:\Dokumente und Einstellungen\xxx\Cookies\index.dat 25.05.2008 07:12 16.00 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\jusched.log 25.05.2008 07:12 266 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\700AB4WF 25.05.2008 07:12 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\700AB4WF\desktop.ini 25.05.2008 07:12 67 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BH8G96PK 25.05.2008 07:12 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BH8G96PK\desktop.ini 25.05.2008 07:12 67 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat 25.05.2008 07:12 32.00 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHER01EF 25.05.2008 07:12 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHER01EF\desktop.ini 25.05.2008 07:12 67 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VES33M5G 25.05.2008 07:12 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VES33M5G\desktop.ini 25.05.2008 07:12 67 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Verlauf\History.IE5\index.dat 25.05.2008 07:12 16.00 KB Hidden from Windows API.
C:\System Volume Information\_restore{89D1D48D-BB11-4908-B9F1-2BD581025C4B}\RP92\A0006801.RDB 25.05.2008 07:08 1.26 MB Hidden from Windows API.
C:\System Volume Information\_restore{89D1D48D-BB11-4908-B9F1-2BD581025C4B}\RP92\A0006802.RDB 25.05.2008 07:11 1.26 MB Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 24.05.2008 12:15 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 24.05.2008 12:15 111.50 KB Visible in Windows API, but not in MFT or directory index.

So langsam bin ich mit meinem Latein am Ende. :(

schau mal diese datei hat ein leerzeichen im namen dies deutet auf einen schädling hin. bitte nun doch noch mal combofix ausführen,.
hast du vllt programme dateien etc aus nicht vertrauenswürdiger quelle?

@markusg:

Danke für Deine Geduld mit mir.

Ok, ich werde (sobald ich an meinem Heim-Rechner sitze) ComboFix durchlaufen lassen.

Diese, oben von mir beschriebenen, (Fehler-)Meldungen sind also ganz normal beim Arbeiten mit ComboFix?

Danke nochmals für die Mühe.

Nez

edit: Alle von mir benutzten Programme sind entweder Freeware (aus vertrauenswürdigen Quellen (CHIP- bzw. PC-Welt-DVDs) oder (wie im Fall von Power-DVD) mit meinem Rechner zusammen gekauft worden.
FileSharing-Programme oder ähnliches Zeug nutze ich überhaupt nicht.

wollt dir net zu nahe treten mit der frage ;-)
Ja, dieses programm ist sicher. es nimmt halt verenderungen am system for und könnte schäden verursachen. bitte mit rettungskonsole instalieren dies erhöt die sicherheit noch mal.

Zitat:

Zitat von markusg (Beitrag 340982)

Bist mir nicht zu nahe getreten ;-) .
Mal abgesehen vom Raub geistigen Eigentums ist das illegale downloaden
aus diesen ganzen P2P-Netzwerken in höchstem Maße gefährlich (Maleware hoch zehn).

Hier mal ein neues Logfile:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 11:55:43, on 25.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\Explorer.EXE
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe
D:\Internet\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
D:\Internet\Mozilla Firefox\firefox.exe
D:\Sicherheit\HiJackThis\pruefcom.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] c:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [RemoteControl] D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] D:\Multimedia\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Internet\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Microsoft Office.lnk = D:\Office\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ok, in der markierten Zeile ist nach Languages ein Leerzeichen.
Jedoch ist dieses Leerzeichen ansonsten nicht existent.
Das heisst, es fehlt sowohl im Texteditor als auch im HijackThis-Fenster:

http://i6.photobucket.com/albums/y23...his-Screen.jpg

http://i6.photobucket.com/albums/y23...tor-Screen.jpg

Tut mir leid, wenn ich sicherlich nerve, aber da ComboFix mein System schädigen kann (ok, eine mögliche Infizierung tut's ja auch), und ich nicht schon wieder nach so kurzer Zeit mein System neu aufsetzen möchte (der Microsoft-Telefonist wäre sicher nicht erfreut), will ich nur auf Nummer sicher gehen. Sorry.

edit: Kann ich die Wiederherstellungskonsole auch über die WinXP-CD installieren? Ich kann nämlich bei der von Dir verlinkten Seite nichts für das SP3 finden.

Hi,
poste das Logfile bitte mal in [code]-tags anstatt in [quote]-tags.

lg myrtille

Und bitte nutze die aktuelle HiJackThis Version! :)

Code:

Logfile of HijackThis v1.99.1

Scan saved at 12:27:39, on 25.05.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
 

Running processes:

C:\WINDOWS\Explorer.EXE

D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\ScanSoft\PaperPort\pptd40nt.exe

C:\Programme\Brother\ControlCenter2\brctrcen.exe

D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe

D:\Internet\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe

D:\Internet\Mozilla Firefox\firefox.exe

D:\Sicherheit\HiJackThis\pruefcom.exe
 

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [SetDefPrt] c:\Programme\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [RemoteControl] D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [LanguageShortcut] D:\Multimedia\CyberLink\PowerDVD\Language\Language.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Internet\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

O4 - Global Startup: Microsoft Office.lnk = D:\Office\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Bitte sehr.

Kein Lehrzeichen. Hmmm...

edit: Übrigends jetzt im Benutzer-Konto-Modus gemacht.

edit -The Return-: Ich gehe offline und installiere die neue HijackThis-Version. Sorry. ;-)