Trojaner-Board - Falsche Internet Seiten werden geladen, Schlechte Performence, USB Sticks werden nicht erkannt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Falsche Internet Seiten werden geladen, Schlechte Performence, USB Sticks werden nicht erkannt (https://www.trojaner-board.de/96955-falsche-internet-seiten-geladen-schlechte-performence-usb-sticks-erkannt.html)

Falsche Internet Seiten werden geladen, Schlechte Performence, USB Sticks werden nicht erkannt

Ich hab seit einiger Zeit Probleme mit meinem NetBook.
Die CPU ist oft ausgelastet, meine USB Sticks werden nicht richtig erkannt und hin und wieder öffnen sich komplett andere Internetseiten als angeklickt.
Mehre Durchgänge mit AntiVir brachten keine bessereung bzw. es wurde nicht erkannt.
Trotzdem bin ich mir sicher das da iwas nicht stimmt.

Die zwei Log files habe ich im Anhang.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Okay habe hier noch zwei lLog files, Malewarebytes habe ich gerade laufen lassen und es hat einige Dinge gefunden.

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

So hab den Vollscan ausgeführt, hat nach diesen noch 3 Dateien gefunden.
Log im Anhang.

Funde auch entfernt?

jap die drei Funde habe ich entfernen lassen. Müsste das System nach der Sache nun komplett sauber sein, oder ist noch etwas zu machen.
Ich hab immer noch so meine Probleme mit den USB Sticks.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

SRV - [2011.03.11 18:47:59 | 000,174,080 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto | Running] -- C:\WINDOWS\system32\sshnas21.dll -- (SSHNAS)

IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (ICQ)

O29 - HKLM SecurityProviders - (mdhxrirf.dll) - C:\WINDOWS\System32\mdhxrirf.dll (Ctckmlr Software)

O32 - HKLM CDRom: AutoRun - 1

O33 - MountPoints2\{38031fb1-9c08-11de-9385-0024816d29bf}\Shell - "" = AutoRun

O33 - MountPoints2\{38031fb1-9c08-11de-9385-0024816d29bf}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{38031fb1-9c08-11de-9385-0024816d29bf}\Shell\AutoRun\command - "" = D:\SETUP.EXE

O33 - MountPoints2\{3b1954f0-966c-11de-8456-0024816d29bf}\Shell\AutoRun\command - "" = D:\autorun.exe Move

O33 - MountPoints2\{5706293d-a55c-11df-a2c0-0024816d29bf}\Shell\AutoRun\command - "" = D:\Autorun\HAutorun.exe

O33 - MountPoints2\{c1ced896-8f51-11de-b9ba-0024816d29bf}\Shell\AutoRun\command - "" = explorer .

O33 - MountPoints2\{c1ced896-8f51-11de-b9ba-0024816d29bf}\Shell\mobile\command - "" = D:\MobileLaunch.exe

NetSvcs: SSHNAS - C:\WINDOWS\system32\sshnas21.dll (AVG Technologies CZ, s.r.o.)

[2011.03.11 18:47:59 | 000,174,080 | ---- | C] (AVG Technologies CZ, s.r.o.) -- C:\WINDOWS\System32\sshnas21.dll

[2011.03.08 19:31:09 | 000,025,088 | ---- | C] (Ctckmlr Software) -- C:\WINDOWS\System32\mdhxrirf.dll

[2009.09.08 03:15:58 | 000,000,000 | ---D | M] -- C:\b

:Files

C:\WINDOWS\tasks\*.job

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Okay also habs so gemacht wie du es gesagt hast, nach dem Neustart blieb der bootvorgang jedoch beim Wilkommen Fenster hengen und ich hab das Notebook aus und wieder angemacht.

Hatte dennoch eine Log Datei bei zweiten hochfahren.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Okay habs ausgeführt.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

okay, hat aber nichts gefunden.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

soo leider hatte ich die letzten Tage viel um die Ohren,deswegen erst jetzt die logs.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Soo SASW hat noch etwas gefunden.

Nur ein paar Überreste und Cookies.
Rechner sonst wieder ok?

ja läuft wieder gut, vielen dank ! :D

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.