Trojaner-Board - Regelmäßiger plötzlicher Neustart des Computers

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Regelmäßiger plötzlicher Neustart des Computers - Highjack This (https://www.trojaner-board.de/94329-regelmaessiger-ploetzlicher-neustart-computers-highjack-this.html)

Regelmäßiger plötzlicher Neustart des Computers - Highjack This

Hallo trojaner-board Team,

Könnt ihr vielleicht mal das folgende Highjack This logfile ansehen und mir sagen ob da alles ok ist???

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 19:52:22, on 30.12.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\acs.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\FsUsbExService.Exe

c:\PROGRA~1\mcafee\SITEAD~1\mcsacore.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Avira\AntiVir Desktop\avshadow.exe

C:\Programme\Uniblue\RegistryBooster\rbmonitor.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Programme\NETGEAR\WN111v2\WN111V2.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\rundll32.exe

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\L2YN7PSY\HiJackThis204[1].exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: NETGEAR WN111v2 Setup-Assistent.lnk = C:\Programme\NETGEAR\WN111v2\WN111V2.exe

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab

O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\WINDOWS\system32\acs.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe

O23 - Service: Jumpstart Wifi Protected Setup (jswpsapi) - Atheros Communications, Inc. - C:\Programme\NETGEAR\WN111v2\jswpsapi.exe

O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - c:\PROGRA~1\mcafee\SITEAD~1\mcsacore.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
 

--

End of file - 5926 bytes

--- --- ---

Des weiteren habe ich ein Problem, dass mein Computer ohne dass ich etwas mache abschaltet und neu startet. Dann kommt die Fehlermeldung dass das System nach einem schwerwiegenden Fehler wieder ausgeführt wird. Malewarebytes findet nichts. Die Daten im Fehlerbericht sind folgende:

C:\DOKUME~1\***\LOKALE~1\Temp\WER8251.dir00\Mini122910-01.dmp
C:\DOKUME~1\***\LOKALE~1\Temp\WER8251.dir00\sysdata.xml

Wer kann da helfen???

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo Arne, kannst du nicht erstmal mir einfach nur sagen, ob in den highjackthis log irgendetwas merkwürdig ist oder ob alles soweit ok (fehlerfrei) ist?! Werde dann zeitnah die OTL und Malwarebytes nachliefern. Aber wie bereits geschreiben Malwarebytes meldet nix!

So habe jetzt OTL durchgeführt und Malwarebytes Logfile:

HJT ist so alt und angestaubt, da bringt es nicht mal was das anzugucken. Ein HJT-Log ist für einen ganz groben Systemüberblick geeignet, aber definitiv nicht für Malware-Analyse!! :kloppen:

Zitat:

Malwarebytes' Anti-Malware 1.46

Malwarebytes

Datenbank Version: 5084

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

30.12.2010 20:32:49

mbam-log-2010-12-30 (20-32-49).txt

Art des Suchlaufs: Quick-Scan

Also im MBAM-Log sehe ich, dass du ja so gut wie alles falsch gemacht hast was geht :stirn:

- MBAM-Version ist nicht aktuell
- DBs sind out of date und
- ich wollte einen Vollscan sehen!
-

Sorry, dann werde ich das nochmal machen! Dauert halt...

Habs jetzt aktualisiert. Suchlauf ist gestartet!

So, fertig! Ich habe jetzt Malwarebytes aktualisiert und einen vollständigen Scan gemacht. Anschließend habe ich nochmal OTL gemacht. Hier die Ergebnisse (Malwarebytes hat 1 infiziertes Objekt gefunden): siehe Anhang
Ich hoffe jetzt habe ich alles richtig gemacht und mir kann geholfen werden!

Mal ne Frage: Was sind das unter OTL.Txt bei Hosts (O1) für Internetseiten??? Was haben die da zu suchen??? Ist das normal???

Die kommen üblicherweise durch die Immunisierung mit Spybot S&D.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O32 - AutoRun File - [2005.08.11 18:25:06 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2007.10.05 15:21:18 | 000,000,000 | R--D | M] - I:\Autorun -- [ CDFS ]

O32 - AutoRun File - [2004.10.05 18:11:42 | 000,180,224 | R--- | M] () - I:\Autorun.exe -- [ CDFS ]

O32 - AutoRun File - [2004.08.24 16:57:32 | 000,000,042 | R--- | M] () - I:\Autorun.inf -- [ CDFS ]

O33 - MountPoints2\{60a97b90-e84d-11df-acb7-806d6172696f}\Shell - "" = AutoRun

O33 - MountPoints2\{60a97b90-e84d-11df-acb7-806d6172696f}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{60a97b90-e84d-11df-acb7-806d6172696f}\Shell\AutoRun\command - "" = I:\Autorun.exe -- [2004.10.05 18:11:42 | 000,180,224 | R--- | M] ()

O33 - MountPoints2\{7a5d1e67-0fa2-11e0-bcc7-001f33f4ade0}\Shell - "" = AutoRun

O33 - MountPoints2\{7a5d1e67-0fa2-11e0-bcc7-001f33f4ade0}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{7a5d1e67-0fa2-11e0-bcc7-001f33f4ade0}\Shell\AutoRun\command - "" = J:\DPFMate.exe -- File not found

[2010.12.30 20:44:14 | 000,709,456 | ---- | M] () -- C:\WINDOWS\is-EB8BD.exe

[2010.12.30 20:44:14 | 000,012,846 | ---- | M] () -- C:\WINDOWS\is-EB8BD.msg

[2010.12.30 20:44:14 | 000,000,403 | ---- | M] () -- C:\WINDOWS\is-EB8BD.lst

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hey Arne,

hab jetzt das in OTL eingefügt und gefixed!
Hier das Logfile von OTL (siehe Anhang, als .txt gespeichert), welches anschließend (nach Neustart) erstellt wurde. Kannst du mir trotzdem vllt sagen, was das jetzt bewirkt hat / haben sollte?!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Das Antivirenprogramm schließen heißt ich soll in der Taskleiste Avira AntiVir "beenden" oder???

Bei Avira heißt das Regenschirm schließen :rolleyes:

Komme mit dem ComboFix nicht klar. Habe es gestartet (davor CCleaner und alles wie beschrieben), Avira geschlossen (Regenschirm zugeklappt),...! Dann hat ComboFix gestartet, und ich habe gewartet! Er hat die Wiederherstellungskonsole installiert und den Scan gestartet. Dann kam nach ca. 5 Minuten eine Meldung, dass die Anwesenheit von Rootkitaktivitäten festgestellt wurde und der PC neu gestartet werden muss. Danach erschien wieder das ComboFix Fenster. Es lief normal weiter dann kam: Fertiggestellt Stufe 1 und soweiter bis Stufe 50! Dann kam "Lösche Daten" oder "Lösche Dateien" habe ich nicht so schnell lesen können und der PC startete neu! Beim ersten Versuch kam nun ein Bluescreen der mich aufforderte neu zu starten! Beim Starten kam die in meiner Anfrage genannte Fehlermeldung! Nun habe ich es erneut versucht. Alles war gleich, bis ich wiedermals bei "Lösche Daten" war. Nun startete der PC neu und es kam wieder eine Fehlermeldung! Dann nichts mehr!!! Kann ich irgendwo unter Programme oder so nun eine .txt Datei aufrufen (also bei Festplatte C:\ - wie heißt da der Ordner von ComboFix??? ComboFix als Namen gibt es nicht!) Und was hat das zu bedeuten, dass beim Neustart nur eine Fehlermeldung kommt???? :confused:

Kannst du mir außerdem sagen, was das mit OTL bewirkt hatte???
Übrigens: Nach dem ComboFix waren in meiner Taskleiste die Schnellstartsymbole (Internet, Desktop anzeigen,...) verschwunden!!! Habe dies jetzt wieder eingefügt...