Trojaner-Board - Windows stürzt ab. APPCRASH svchost.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows stürzt ab. APPCRASH svchost.exe (https://www.trojaner-board.de/93212-windows-stuerzt-ab-appcrash-svchost-exe.html)

Ja, update Malwarebytes und scanne erneut.

So, hab die Scans jetzt gemacht. Bei dem OTL-Scan hab ich jedoch vergessen ihn als Administrator auszuführen. Macht das etwas?
Seit neuestem habe ich jetzt auf den Desktop und auch in anderen Ordner eine Datei mit dem Namen desktop.ini Was hat es denn damit auf sich?

Anti-Malware-Log:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5262

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

07.12.2010 18:24:08
mbam-log-2010-12-07 (18-24-08).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 165521
Laufzeit: 16 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\+++\AppData\Roaming\abpzlw.dat (Malware.Trace) -> Quarantined and deleted successfully.

Das OTL-Log ist im Anhang. Extra.txt war dieses Mal nicht dabei...

Ja, führe es als Admin aus.

Hab es jetzt nochmal als Admin ausgeführt. Hier das Log.

Schritt 1

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Hacken bei Yes, i accept the Terms of Use.
Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
http://img707.imageshack.us/img707/687/starteg.jpg drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
Logfile hier posten.

Hier das ESET-Log. Und weißt du denn woher die desktop.ini-Dateien kommen?

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6415
# api_version=3.0.2
# EOSSerial=e5397576f5c60c44a251479dba1f55e5
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-12-09 09:43:24
# local_time=2010-12-09 10:43:24 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=4609 16776893 80 61 1048871 24813219 0 0
# compatibility_mode=5892 16776637 100 100 5640684 129454931 0 0
# compatibility_mode=8192 67108863 100 0 3893 3893 0 0
# scanned=207436
# found=4
# cleaned=0
# scan_time=8801
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\34443196-6232066d multiple threats (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\518de1d-19596c8c multiple threats (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\39b69aab-7f30a7a4 multiple threats (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\3655b688-4c77d146 multiple threats (unable to clean) 00000000000000000000000000000000 I

Bezüglich der desktop.ini kannst Du hier lesen:
Informationen über die Datei "Desktop.ini"

Schritt 1

System mit Windows-eigenen Mitteln bereinigen

Datenträger bereinigen

Start => ausführen => cleanmgr (reinschreiben) => OK
Wähle das zu bereinigende Laufwerk aus => OK
"Datenträger bereinigen"-Fenster öffnet sich. Es wird berechnet, wieviel Platz freigemacht werden kann.
Es öffnet sich das Fenster mit den zu löschenden Dateien.
Bei den zu löschenden Bereichen einen Haken machen.
Vergewissere Dich, dass Temporary Files, Temporary Internet Files und Papierkorb geleert werden => OK

Temporäre Ordner bereinigen

Start => ausführen => temp (reinschreiben) => OK
Es öffnet sich der Windows-Explorer mit dem Verzeichnis
=> den Inhalt manuell löschen
Damit hast Du den Inhalt von C:\Windows\Temp gelöscht
START => ausführen => %temp% (reinschreiben) => OK
Es öffnet sich der Windows-Explorer mit dem Verzeichnis
=> den Inhalt manuell löschen
Damit hast Du den Inhalt der temporären Dateien Deines Benutzerkontos gelöscht.

IE Cache leeren

Start => Systemsteuerung => Internetoptionen
Reiter Allgemein => Browserverlauf => löschen
Temporäre Internetdateien, Cookies und Verlauf löschen

Firefox Cache leeren

Firefox starten => Extras => Einstellungen
Erweitert => Netzwerk => Bei Offline-Speicher auf Jetzt leeren klicken
Firefox beenden.

Temporäre Java-Dateien löschen

Schließe alle Browser
Öffne Start => Systemsteuerung => Java
Unter dem Reiter "Allgemein" => Temporäre Internet-Dateien
Einstellungen => Dateien löschen => OK

Wenn gemeldet wird, dass einzelne Dateien nicht gelöscht werden konnten, weil sie in Gebrauch sind, ist das in Ordnung.

Schritt 2

CCleaner installieren und einstellen

CCleaner (Slim ohne Toolbar) herunterladen und installieren.
CCleaner starten und => unter options settings => german einstellen.
Gehe auf den Button links oben "Cleaner" => Reiter "Windows"
setze Häkchen wie folgt:
alle außer "Eingabefeld Verlauf" und bei
Erweitert nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner".
Wechsel zum Reiter "Anwendungen",
dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Habe jetzt Schritt 1 abgearbeitet. Nur als ich "temp" ausführen wollte, kam die Meldung, dass ich "momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner verfüge". Ich dachte das hängt vielleicht mit der Benutzerkontensteuerung zusammen und wollte diese ausschalten, aber ich konnte weder msconfig öffnen (Fehlermeldung: C:\Windows\system32\msconfig.exe Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.), noch über die Systemsteuerung gehen (wenn ich auf "Benutzerkontensteuerung ein- oder ausschalten" gedrückt hab, hat sich einfach gar nichts geöffnet).
Soll ich jetzt mit Schritt 2 weitermachen?

Ok, hab den Computer neu gestartet und jetzt hat alles funktioniert. Ich mach jetzt Schritt 2.

Jetzt hab ich doch noch ein Problem mit dem CCleaner: Bei mir gibt es erstens kein "Eingabefeld Verlauf" (oder ist das "Verlauf" unter Internet Explorer gemeint?)
Und zweitens sind unter System ein paar Häkchen von vornherein nicht gesetzt, soll ich da einen Haken setzen?
Danke schonmal.

Ja den bei IE und alle bei System.

Die Anwendungen, bei denen ich den Haken setze, werden aber nicht gelöscht oder?

Nein werden nicht gelöscht. Nur die Temp Dateien.

Ok, wollte da nur sicher gehen ;)
Ich hab den CCleaner jetzt ausgeführt.

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

netsvcs

drivers32 /all

%SYSTEMDRIVE%\*.*

%systemroot%\system32\*.wt

%systemroot%\system32\*.ruy

%systemroot%\Fonts\*.com

%systemroot%\Fonts\*.dll

%systemroot%\Fonts\*.ini

%systemroot%\Fonts\*.ini2

%systemroot%\system32\spool\prtprocs\w32x86\*.*

%systemroot%\REPAIR\*.bak1

%systemroot%\REPAIR\*.ini

%systemroot%\system32\*.jpg

%systemroot%\*.scr

%systemroot%\*._sy

%APPDATA%\Adobe\Update\*.*

%ALLUSERSPROFILE%\Favorites\*.*

%APPDATA%\Microsoft\*.*

%PROGRAMFILES%\*.*

%APPDATA%\Update\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\user32.dll /md5

%systemroot%\system32\ws2_32.dll /md5

%systemroot%\system32\ws2help.dll /md5

/md5start

explorer.exe

winlogon.exe

wininit.exe

/md5stop

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Sorry, hatte die letzten Tage ziemlich viel um die Ohren, aber jetzt hab ich es endlich mal geschafft den Scan zu machen. Hier das Log.
Extra.txt war wieder nicht dabei.