Adobe-Flash-Player- und RAR/ZIP/etc.-Probleme, Virenverdacht, Hijackthis-Log
 

Hallo,

ich nutze ein älteres Laptop von Medion (MD 95300) und habe seit einiger Zeit zwei bis drei sehr nervige Probleme:

Einmal bleibt jedes Video, das ich über meinen Browser (mal Opera, mal Firefox) ansehe (beispielsweise auf youtube.com) nach wenigen Sekunden stehen, obwohl der Ladebalken voranschreitet. Mein Adobe Flash Player hat da wohl Probleme. De- und Reinstallieren desselben bringt keine Lösung.

Zum zweiten wird jede gepackte Datei, die ich herunterlade (sei es rar, zip, selbstentpackende exe-Dateien, oder sonst was) von WinRAR als fehlerhaft gemeldet (immer CRC-Fehler). Besonders (oder nur, kanns nicht mit Sicherheit sagen) sind dabei zu entpackende *.exe-Dateien betroffen. Dieser Fehler tritt wei gesagt nur bei neu heruntergeladenen Archiven auf - rar-Dateien, die ich vor erstmaligem Auftreten dieses Fehlers heruntergeladen habe, sind nicht betroffen!

Einige Tage nach Auftreten dieser Probleme (relativ zeitgleich) habe ich Windows neuinstalliert, muss aber zugeben, dass ich meine Systempartition nicht formatiert habe, sondern nur im Windows-Setup ausgewählt habe, dass die alten Windows-Dateien gelöscht werden sollen und dann Windows neuinstalliert werden. Warum? Weil ich die Option, C:\ zu formatieren im Setup nicht gefunden habe - peinlich, ich weiß. Meine zweite Partition D:\ habe ich nicht formatiert.

Direkt nach der Neuinstallation von Windows hat alles wieder funktioniert, doch wenige Stunden später tauchten beide Probleme wieder im gleichen Maße auf (Frust!) Daher vermute ich, dass ein Virus am Werk sein könnte, der bei meiner sehr schlampigen Neuinstallation von Windows überlebt und wieder zugeschlagen hat.

Heute habe ich mit AntiVir einen Systemscan durchgeführt, wobei ganz am Ende (ca 99,7%) ein Virus entdeckt wurde: BDS/Bifrose.aavm

Antivir hat die betroffene Datei in Quarantäne verschoben, das Problem besteht aber nach wie vor. Vermutlich steckt dieser Trojaner viel tiefer im System drin ist.

Ich bitte nun darum, dass sich jemand mal meine Hijackthis-Logfile ansieht und kommentiert.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:51, on 25.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Winamp\winamp.exe
C:\WINXP\System32\svchost.exe
C:\Programme\iFinger\iFinger.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\Programme\VideoLAN\VLC\vlc.exe
C:\Programme\Opera\opera.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: iFinger - {1624F640-49AC-11D3-8ABD-00C04FA95EE0} - C:\Programme\iFinger\iFingerBHO.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: Yahoo! Widgets.lnk = C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
O4 - Global Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINXP\system32\SHDOCVW.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

--
End of file - 6053 bytes

Vielen Dank im Voraus für eure Mühen,
Alex

Hallo und Herzlich Willkommen! :)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

5.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

6.
Führe dann einen Komplett-Systemcheck mit Nod32 - die Scanergebnis als *.txt Dateien speichern)
- (ESET Online Scanner (Sicherheitseinstellungen wie unter Punkt 1.)
Speichere und Poste bitte das Logfile

gruß
Coverflow

1. erledigt

2. 3.

4. 5. Ich kann den Kaspersky-Test nicht durchführen, da Java das benötigte Java-Skript nicht installiert ist. Beim Versuch der Installation von diesem kommt die Fehlermeldung "Eine erforderliche Datie konnte nicht installiert werden, da die Kabinettpartei blablabla ...\Data1.cab eine ungültige Signatur hat. Dies kann darauf hindeuten, dass die kabinettdatei beschädigt ist. Ich vermute, das hängt mit meinem im Thread beschrieben 2. Problem zu tun .. oder?

6. Auch das klappt nicht. Sicherheitseinstellungen im Internet Explorer habe ich wie beschrieben vorgenommen. Ich habe den ESET Smart Installer heruntergeladen, um den Online Scan zu machen, da es über den Firefox nicht geht. Hier die Fehlermeldung bei Schritt 2 von 4: "Updates funktionieren nicht. Ist ein proxy eingerichtet?"

5 und 6: Ich schätze mal der Grund, dass die beiden Tests nicht laufen, ist der, dass es im Firefox oder Opera kein ActivX gibt. Wenn ich den IE benutzen möchte, öffnet sicher dieser aber ledier nur für einen Wimpernschlag und wird dann automatisch wieder geschlossen! Lade ich mir die neueset Version des IE herunter, wird mir bei Ausführung der Installationsdatei der bekannte Fehler gemeldet: "Dekomprimierung fehlgeschlagen. Datei ist beschädigt." --> Ein Teufelskreis!

Kannst du trotzdem was mit meinen Informationen anfangen?

Danke für die Mühen,
Alex

hi

klingt ja alles nicht gut, ich beführte dass Du ohne eine "richtige" komplette Neuinstallation des Betriebssystems nicht entkommst
Abgesehen davon, habe da etwas gefunden, woran das Problem liegen konnte:
http://www.rhc-software.de/default.a...=faq&linkid=58
http://www.a-cert.at/php/cms_monitor...ERT&s=03375qjv
http://www.a-cert.at/php/cms_monitor...earch=88827ztt

** würde jetzt noch vorschlagen einen Versuch starten mit a-squared, es wenigstens zu wissen, ob auch doch noch Malware versteckt sich irgendwo...
1.
- Malware-Scan mit a-squared Free [/color][/b]
- Ohne Hintergrundwächter durchsucht a-squared den Computer auf div. schädlichen Programmen.
- Also lade a-squared Free von Emsisoft herunter
- Update das Programm und lass dein rechner komplett scannen
- Am Ende des Scans alle Funde löschen lassen und über den Button "Bericht speichern" das Log speichern und hier in den Thread posten.

2.
Master Boot Record überprüfen:

• Lade Dir die MBR.exe von Gmer herunter
• Speichere auf deinem Desktop
• Per Doppelklick starten.
• wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

Der a-squared-Scan läuft gerade, und das den MBR-Test mache ich danach. Während a-squared läuft hat Antivir eben einen weiteren Trojaner gefunden, 'TR/Agent.196424' (iMonitor.exe) und ich habe nochmal in den Ereignissen von Antivir nachgesehen, folgende Meldungen habe ich seit der letzten Neuaufsetzung des Systems (vor zwei Wochen) gefunden:

'DR/TDSS.Apok.3'
'TR/Crypt.ZPACK.Gen'
'TR/Spy.Gen'
'BDS/Bifrose.aavm'
'DR/Bredolab.akv.1'

Ich habe kein Problem damit, das System nochmals neu aufzusetzen - kann ich auf weitere Maßnahmen (a-squared, MBR, etc.) dann verzichten und mir die Zeit dafür sparen?

Wie stelle ich sicher, dass ich hinterher nicht WIEDER dieselben Trojaner draufbekomme? Ich würde auf jeden Fall meine persönlichen Daten (nicht sehr viele) auf DVDs sichern (auch nur das nötigste). Dabei handelt es sich hauptsächlich um Bilder (JPG), Dokumente (DOC, XLS, PDF) und Musik (MP3). Ich werde keine ausführbaren Dateien wie EXE behalten, sondern alles Programme hinterher neu herunterladen (aus hoffentlich vertrauenswürdigen Quellen)

Dann werde ich meine Festplatte komplett formatieren, um anschließend wieder Windows XP aufzusetzen. Zudem werde ich (was ich noch nie gemacht habe) neben dem Administrator-Account einen normalen User-Account einrichten, nur den Opera bzw. Firefox benutzen etc pp.

Reichen diese Maßnahmen, um mein Laptop wieder voll funktionsfähig zu machen ? (Dateien extrahieren! Adobe Flash Player benutzen! IE starten können!)

Alex

Puh, das hat ja ewig gedauert ..

Bitte auch meine vorherige Antwort beachten. Danke.

So.

Habe jetzt meine Festplatte formatiert, XP neu aufgesetzt, Antivir installiert sowie xp-Antyspy, Ad-Aware und Spybot S&D.

Gibt's sonst noch irgendwelche Tipps bzw Programme, die jeder auf seinem PC/Laptop installiert haben sollte, um seinen Computer weitestgehend zu schützen?

Achso, jetzt funktioniert natürlich alles wieder .. hoffentlich bleibt's diesmal dabei!

Gruß, Alex

hi

ja kann ich Dir Tipps geben z.B was Du auf keinen Fall nochmal tun sollst:
ich wundere mich ja nicht im geringsten, dass du Probleme hattest mit deinem Rechner! Cracks & Serials, Keygen also erstmals die Finger davon lassen, weil zig Popups und Viren (Backdoors & Rootkits) - die Seite verseuchen. Ansonsten musst du dir über einen verseuchten Rechner gedanke machen und meist hilft nur noch eine Neuinstallation. Man sollte nicht absitlich der :teufel2: holen...

Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
Lesestoff:

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* [/url] - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
• Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 2-3 Monate ändern)
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color][/b] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Virenscanner
• BSI für Bürger
• SETI@home - [Sicherheit] Sicherheitskonzept
  
• Entwicklung schädlicher Websites/viruslist.com
• 
  `Die sieben Todsünden beim Surfen` - von Tobias Weidemann/pcwelt.de
  

wünsch Dir alles Gute:)

Danke für die Tipps, mir ist bewusst, dass ich mein Surf-Verhalten ändern muss.

Den Kaspersky-Online-Scanner habe ich jetzt auch zum Laufen gebracht und werde ihn, wie du sagtest, von Zeit zu Zeit meinen PC scannen lassen.

Danke nochmals.
Close.