Hallo,
ich habe von Viren, Malware und sonstigen Schadprogrammen keine Ahnung, so dass ich hoffe, bzw. überzeugt davon bin, dass man mir hier weiterhelfen kann.
Ich habe vorgestern eine heruntergeladene .exe ausgeführt, wobei "nichts"(also es öffnete sich nichts) passiert ist. Ich hatte die .exe vorher mit Antivir geprüft, es wurde allerdings nichts gefunden.
Gestern als ich das Notebook das erste Mal nach dieser Aktion gestartet hatte, kam direkt ein Fehler, der besagte, dass irgendetwas nicht ausgeführt werden konnte. Im Fenster tauchte rundll32.cab auf. Die genaue Fehlermeldung habe ich allerdings leider nichtmehr im Kopf, da ich mir bis zu diesem Zeitpunkt noch nichts dabei gedacht hatte.
Wenig später öffnete sich bereits das erste Internet Explorer-Fenster mit irgendwelcher Werbung (normal nutze ich Google Chrome). Dann fing ich an, nach dem Problem zu googeln und stieß unter anderem auf msa.exe, die, wie ich nach einem Blick in den Taskmanager feststellen musste, auch bei mir ausgeführt wurde. Die habe ich, da ich langsam nervös wurde, im Eifer des Gefechts einfach aus C:\Windows gelöscht.
Außerdem hatte ich das Programm LosAlamos im Autostart(also in dem Reiter Systemstart im Fenster msconfig), wovon ich nicht wusste, wie es dort hin kam. Im weiteren Eifer löschte ich auch die aus der Spalte Befehl zu LosAlamos zugehörige Datei (C:\Windows\system32\sshnas21.dll,AttachConsoleA).
Desweiteren öffnete sich ständig das Windows-Fenster, in dem ich bestätigen sollte, dass der "Adobe Flash Player Installer" ausgeführt wird. Das hatte meiner Meinung nach nichts mit meinem Handeln am Notebook zu tun, deshalb verunsicherte mich das noch mehr.
Ich habe dann heute in eurer "vorgegebenen/vorgeschlagenen" Reihenfolge den CCleaner, MalwareBytes und RSIT ausgeführt. Dabei traten verschiedene Fehlermeldungen auf:
-während des Ausführens von Malwarebytes meldete sich mein Antivir und beschwerte sich über die Dateien "C:\ProramData\Spybot - Search & Destroy\Recovery\WinFraudLoadedt.zip" und "...\WinFraudLoadedt1.zip" Erst nachdem ich die beiden Dateien in Quarantäne verschoben hatte lief Malwarebytes weiter
-während der Installation von RSIT kam eine Fehlermeldung mit dem Titel
AutoIt Error
Line-1:
Error: Variable used without being declared
Also habe ich Hijackthis ohne RSIT installiert und ausgeführt.
Hier nun die LOGs:
CCleaner install.txt
Code:
Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 14.02.2010 10.0.45.2
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 22.01.2010 10.0.42.34
Adobe Reader 9.3 - Deutsch Adobe Systems Incorporated 20.01.2010 162,5MB 9.3.0
Anti-Twin (Installation 06.02.2010) Joerg Rosenthal, Germany 05.02.2010
Apple Application Support Apple Inc. 05.01.2010 32,4MB 1.1.0
Apple Mobile Device Support Apple Inc. 05.01.2010 40,4MB 2.6.0.32
Apple Software Update Apple Inc. 05.01.2010 2,16MB 2.1.1.116
Avira AntiVir Personal - Free Antivirus Avira GmbH 05.01.2010
Bonjour Apple Inc. 05.01.2010 0,49MB 1.0.106
CCleaner Piriform 14.02.2010 2.28
DivX Plus Web Player DivX,Inc. 22.01.2010 2.0.0
Dropbox 05.01.2010 0.7.97
Festo FluidSim 3.6 My Company, Inc. 11.01.2010
FileAlyzer Safer Networking Limited 14.02.2010 1.6.0.4
Free Audio CD Burner version 1.2 DVDVideoSoft Limited. 05.01.2010
Free YouTube to MP3 Converter version 3.2 DVDVideoSoft Limited. 05.01.2010
Google Chrome Google Inc. 05.01.2010 4.0.249.89
ICQ6.5 ICQ 05.01.2010 6.5
IDT Audio IDT 07.01.2010 5.10.5303.0
iTunes Apple Inc. 14.02.2010 146,3MB 9.0.3.15
Malwarebytes' Anti-Malware Malwarebytes Corporation 14.02.2010 7,66MB
MATLAB R2009a The MathWorks, Inc. 02.02.2010 7.8
Microsoft Office Professional 2010 Microsoft Corporation 07.01.2010 14.0.4536.1000
Microsoft Silverlight Microsoft Corporation 21.01.2010 14,9MB 3.0.50106.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Corporation 04.02.2010 0,25MB 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 02.02.2010 0,42MB 8.0.56336
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 08.01.2010 0,19MB 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 05.01.2010 0,58MB 9.0.30729
Microsoft Visual J# 2.0 Redistributable Package - SE Microsoft Corporation 07.01.2010
Microsoft WSE 3.0 Runtime Microsoft Corp. 07.01.2010 0,92MB 3.0.5305.0
Mozilla Firefox (3.5.7) Mozilla 05.01.2010 3.5.7 (de)
NVIDIA Drivers 24.01.2010
Picasa 3 Google, Inc. 20.01.2010 3.1
Protect Disc License Helper 1.0.118 Protect Disc 07.01.2010 1.0.118
ProtectDisc Driver, Version 11 ProtectDisc Software GmbH 07.01.2010 11.0.0.12
Quadrax VI Alfaline 22.01.2010 1.0
QuickTime Apple Inc. 11.01.2010 77,3MB 7.65.17.80
RunAlyzer Safer Networking Limited 14.02.2010 1.6.1.24
Skype™ 4.1 Skype Technologies S.A. 05.01.2010 31,1MB 4.1.179
Spybot - Search & Destroy Safer Networking Limited 14.02.2010 1.6.2
SUPERAntiSpyware Free Edition SUPERAntiSpyware.com 14.02.2010 28,8MB 4.33.0.1000
T-DSL Treiber 08.01.2010
T-Online WLAN-Access Finder 08.01.2010
TeamViewer 5 TeamViewer GmbH 05.01.2010 5.0.7572
TIPP10 Version 2.0.3 (c) 2006-2008, Tom Thielicke 04.02.2010
TuneUp Utilities TuneUp Software 05.01.2010 9.0.3000.52
Uninstall 1.0.0.1 05.01.2010
Veoh Video Compass Veoh Networks, Inc. 22.01.2010 1.5.2
Veoh Web Player Veoh Networks, Inc. 22.01.2010 1.1.9.1188
VLC media player 1.0.3 VideoLAN Team 22.01.2010 1.0.3
Winamp Nullsoft, Inc 05.01.2010 5.571
Winamp Application Detect Nullsoft, Inc 05.01.2010 0,12MB 1.0.0.1
Winamp Toolbar 05.01.2010
Windows XP Mode Microsoft Corporation 28.01.2010 1.160,7MB 1.3.7600.16422
Windows-Treiberpaket - Ricoh R5U870 (UVC) (09/04/2007 6.1006.211.0) Ricoh 05.01.2010 09/04/2007 6.1006.211.0
WinRAR archiver 20.01.2010
Xvid 1.2.2 final uninstall Xvid team (Koepi) 22.01.2010 1.2
Malwarebytes mbam-log-2010-02-16 (19-21-20):
Code:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3741
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
16.02.2010 19:21:20
mbam-log-2010-02-16 (19-21-20).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 423278
Laufzeit: 1 hour(s), 46 minute(s), 11 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
Hijackthis.log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40:37, on 16.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Users\Markus\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Markus\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Markus\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Markus\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
C:\Users\Markus\Desktop\RSIT.exe
C:\Program Files\trend micro\Markus.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\Microsoft Office\Office14\URLREDIR.DLL
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Veoh Video Compass - {52836EB0-631A-47B1-94A6-61F9D9112DAE} - C:\Program Files\Veoh Networks\Veoh Video Compass\SearchRecsPlugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\Microsoft Office\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\Microsoft Office\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CD356C6-E673-43A5-8B8D-3954CDE14E47}: NameServer = 217.0.43.97 217.0.43.113
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\stacsv.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
--
End of file - 6819 bytes
Ich hoffe ich habe mit meinen Lösch-Aktionen nichts versaut, ihr könnt mit den LOGs etwas anfangen(ich kann es nämlich absolut nicht) und mir weiterhelfen.
Schonmal vielen Dank im Voraus
Gruß
markus86
