Hallo liebes Forum,
erstmal danke für diese tolle kostenlose Hilfe.
Ich habe für die, die weniger gern lesen, eine Kurzbeschreibung, für die, die's genau wissen wollen eine Lang-Beschreibung erstellt. :)
hier die
Kurzbeschreibung meiner Problematik:
Ich hatte mehrere Trojaner auf dem Vista32-System (z.B. TR/Tiny.705, TR/Crypt.XPACK.Gen, irgendein TrojanGenDownloader oder so sowie weitere). Durch mehrere Antivir-Durchläufe (zuerst im abgesicherten Modus, später "normal") sowie die Löschung der temporären Dateien (dort tauchten die Trojaner immer wieder auf), wurden das Problem behoben.
Allein bleibt, dass
a) IE und FF nicht mehr wirklich funktionieren (ewiger Seitenaufbau inklusive Browserabsturz), Safari und Opera gehen problemlos
b) Die Systemsteuerung lässt sich nicht aufrufen.
c) es gibt einen Softwarelizensierungswindows-Fehler mit Nr. 0xC004D401: "Vom Sicherheitsprozessor wurde ein Systemdateikonflikt gemeldet" (ich betreibe ein Original Windows System)
Mögliche Gründe:
Entweder ich habe zuviel gelöscht in meiner euphorischen Trojaner-Jagd (mehrere .dll und andere Windows Dateien schienen infiziert) oder ich habe noch immer so ein fieses Viech auf dem System. Jetzt frage ich euch: Was davon ist es? (siehe Hijack this Logfile unten) Problem: Neuinstallation möchte ich nicht machen, da sie inklusive aller Neuinstallation von Programmen gut und gerne eine Woche dauern kann.
Hier die
detaillierte Beschreibung:
Nach dem Ausführen einer .EXE Datei meinte Windows Defender, ich muss neustarten, um "das Problem zu beheben". Windows startete aber leider nicht mehr (Shice Defender!).
Daraufhin habe ich im abgesicherten Modus Antivir heruntergeladen und aufgespielt sowie durchlaufen lassen. Es wurden 11 unerwünschte Programme und Viren gefunden.
Danach konnte ich wieder normal starten und starte abermals Antivir, was wiederum 7 Viren zum Vorschein brachte. Zudem kamen alle 5 Minuten einige Meldungen vom AntiVir Live Guard, was aber mit Fortschreiten des Virenscans des Computers leicht nachließ. Schließlich blieb nur ein besonders resistenter Freund, der immer wieder vom Live Guard erwischt werden musste.
Doich hier führte ein mehrmaliges Ausführen des CCleaners (löschen von wirklich allem an temporären einstellungen und dateien samt anschließender neuer Virenscan mit Antivir) dazu, dass schließlich keine Meldungen mehr kamen.
Um ganz sicherzugehen nutzte ich noch ein weiteres AntiViren Programm (dass ich inzw. wieder deinstallierte) und scannte damit meinen Computer. Das Programm heißt AVG Anti-Virus (30Tage Trial Full Version). Es meldete mir mehrere Windows Dateien, u.a. DLL Dateien als "versteckte Dateien" und somit mögliche Gefahr. Diese befanden sich entweder im Windows oder im Temp Ordner. Eine der Dateien hatte ich bereits mehrmals mit Antivir entfernt, weshalb ich meinte, dass auch die anderen Dateien Schadprogramme oder von solchen manipuliert sein könnten, und alle entfernte bzw. in die Quarantäne verschob (weiß ich nicht mehr).
Wirkung:
a) IE und FF, die etwas langsam waren, gingen gar nicht mehr.
b) Die Systemsteuerung erscheint bei Aufruf kurz als leeres Vista-Fenster, verschwindet dann sofort wieder (<1 sec). Die Browser funktionierten vorher (besser), ob die Systemsteuerung vor AVG Anti Virus auch nicht aufrufbar war,
weiß ich nicht.
c) es gibt einen Softwarelizensierungswindows-Fehler mit Nr. 0xC004D401: "Vom Sicherheitsprozessor wurde ein Systemdateikonflikt gemeldet" (ich betreibe ein Original Windows System)
Safari und Opera funktionieren übrigens total problemlos, das Problem betrifft nur FF und IE7.
Ist das jetzt ein Problem aufgrund meiner entfernten Windows Dateien oder aufgrund der Trojaner? Oder 3. Möglichkeit, aufgrund des Entfernes der infizierten Dateien? Kann ich das Problem beseitigen, ohne Windows neu zu installieren? (was mich mehrere Tage samt Programminstallationen kosten würde) :heulen:
Hier die Logdatei von HiJackThis: Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:35, on 13.01.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16764)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Dell\MediaDirect\PCMService.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe
C:\Windows\OEM02Mon.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Users\Björn\AppData\Local\Temp\winlogin.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\FRITZ!DSL\StCenter.exe
C:\Windows\system32\wuauclt.exe
C:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Windows\system32\conime.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Safari\Safari.exe
C:\Users\BJRN~1\AppData\Local\Temp\csrssc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.abakus-internet-marketing.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: C:\Windows\system32\rwhbfb873unjdfdg.dll - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\Windows\system32\rwhbfb873unjdfdg.dll
O3 - Toolbar: SeoQuake - {9C590067-8A6A-4db6-B052-069283790B04} - C:\Program Files\SeoQuake\SeoQuake.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [SigmatelSysTrayApp] C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe
O4 - HKLM\..\Run: [OEM02Mon.exe] C:\Windows\OEM02Mon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [dellsupportcenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [jsf8uiw3jnjgffght] C:\Users\Björn\AppData\Local\Temp\winlogin.exe
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\cbXNGaAQ.dll,#1
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [jsf8uiw3jnjgffght] C:\Users\Björn\AppData\Local\Temp\winlogin.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\Users\BJRN~1\AppData\Local\Temp\csrssc.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: dfdfccfaaeaa - C:\Windows\
O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\Windows\system32\rwhbfb873unjdfdg.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition
Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition
Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Program Files\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: SupportSoft Sprocket Service (DellSupportCenter) (sprtsvc_DellSupportCenter) - SupportSoft, Inc. - C:\Program Files\Dell Support
Center\bin\sprtsvc.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Windows\system32\STacSV.exe
--
End of file - 7778 bytes
