Trojaner-Board - Rechner führt häufig automatischen Neustart durch

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Rechner führt häufig automatischen Neustart durch (https://www.trojaner-board.de/125528-rechner-fuehrt-haeufig-automatischen-neustart.html)

Rechner führt häufig automatischen Neustart durch

Hallo liebe Trojaner-Board-Mitglieder,

mein Rechner führt häufig ohne Ankündigung einen Neustart durch. Manchmal nach eine Viertelstunde nach dem Hochfahren, manchmal erst nach zwei Stunden. Bis vor kurzem hatte ich das Phänomen nur alle paar Tage mal. Seit ich vor einigen Tagen meinen Router ausgetauscht habe (vorher Speedport 503 (oder 504?), jetzt Speedport W723V), habe ich das Problem mehrmals täglich. (Zeitgleich habe ich eine Powerline-Verbindung zwischen Telefon und Fernseher eingerichtet.)

Ich weiß nicht, ob es sich um einen Virus handelt, der zufällig zeitgleich zum neuen Router aktive rgeworden ist, oder ob sich irgendwelche Treiber oder was auch immer gegenseitig behaken. Könnt ihr mir helfen, die Ursache zu beseitigen?

Im Anhang sind die Auswertungen von defogger, gmer und otl. Gmer hat nur diese Datei erstellt, aber keine Extra.txt.

LG Nougat

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Hallo Cosinus,

hier ist das gewünschte MalwareBytes Log:

Code:

Malwarebytes Anti-Malware (Test) 1.65.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.10.12.04
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

xxx :: xxx [Administrator]
 

Schutz: Aktiviert
 

12.10.2012 16:40:15

mbam-log-2012-10-12 (17-48-51).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 345592

Laufzeit: 55 Minute(n), 33 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\xxx\Anwendungsdaten\Iqis\mice.exe.vir (Spyware.Passwords.XGen) -> Keine Aktion durchgeführt.
 

(Ende)

Und hier noch ein älteres Log aus 2010:

Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Datenbank Version: 5408
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

28.12.2010 19:43:55

mbam-log-2010-12-28 (19-43-55).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 142138

Laufzeit: 2 Minute(n), 36 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 1

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 5

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

c:\WINDOWS\system32\compsmui.dll (Trojan.Agent) -> Delete on reboot.
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> Value: userini -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{C3FD1B8E-5AE3-B24C-3109-AC7D589C2044} (Trojan.ZbotR.Gen) -> Value: {C3FD1B8E-5AE3-B24C-3109-AC7D589C2044} -> Delete on reboot.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> Value: userini -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> Value: userini -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> Value: userini -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\WINDOWS\system32\compsmui.dll (Trojan.Agent) -> Delete on reboot.

c:\dokumente und einstellungen\xxx\anwendungsdaten\Ruyv\vuuw.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

LG Nougat

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Hallo Cosinus,

ich habe alle vorhandenen Logs gepostet. In 2010 hatte ich schonaml eien Virus, den ich mit eurer Hilfe wieder losgewordenbin. Davon stammt der zweite Eintrag oben.
Der erste Eintrag ist das aktuelle Log.#

LG Nougat

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Hallo Cosinus,

hier ist der Log vom ESET:

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=148379811e5dc5459011fb6aecb36892

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-10-12 10:12:24

# local_time=2012-10-13 12:12:24 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=8192 67108863 100 0 108 108 0 0

# scanned=146988

# found=4

# cleaned=0

# scan_time=5176

C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Iqis\mice.exe.vir        a variant of Win32/Kryptik.JID trojan (unable to clean)        00000000000000000000000000000000        I

C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir        Win32/Bamital.FP.Gen trojan (unable to clean)        00000000000000000000000000000000        I

C:\Qoobox\Quarantine\C\WINDOWS\system32\winlogon.exe.vir        Win32/Bamital.FH trojan (unable to clean)        00000000000000000000000000000000        I

C:\WINDOWS\system32\ms-dll.old        Win32/Bamital.DV trojan (unable to clean)        00000000000000000000000000000000        I

LG Nougat

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Suche.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Hallo Cosinus,

hier das Ergebnis vom adwcleaner:

Code:

# AdwCleaner v2.004 - Datei am 13/10/2012 um 22:49:28 erstellt

# Aktualisiert am 06/10/2012 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Benutzer : Stefan - STEFAN-1

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\Stefan\Desktop\adwcleaner.exe

# Option [Suche]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

Schlüssel Gefunden : HKU\S-1-5-21-1614895754-507921405-839522115-1004\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

[OK] Die Registrierungsdatenbank ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [978 octets] - [13/10/2012 22:49:28]
 

########## EOF - C:\AdwCleaner[R1].txt - [1037 octets] ##########

LG Nougat

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Hallo Cosinus,

hier der Log vom adwcleaner:

Code:

# AdwCleaner v2.004 - Datei am 14/10/2012 um 18:30:48 erstellt

# Aktualisiert am 06/10/2012 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Benutzer : Stefan - STEFAN-1

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\Stefan\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

[OK] Die Registrierungsdatenbank ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [1106 octets] - [13/10/2012 22:49:28]

AdwCleaner[S1].txt - [880 octets] - [14/10/2012 18:30:48]
 

########## EOF - C:\AdwCleaner[S1].txt - [939 octets] ##########

LG Nougat

Bitte mal den aktuellen adwCleaner v2.005 runterladen, also die alte adwcleaner löschen und neu runterladen

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Suche.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Hallo Cosinus,

hier der Log vom Suchlauf mit adwcleaner 2.005:

Code:

# AdwCleaner v2.005 - Datei am 15/10/2012 um 09:00:31 erstellt

# Aktualisiert am 14/10/2012 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Benutzer : Stefan - STEFAN-1

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\Stefan\Desktop\adwcleaner.exe

# Option [Suche]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

[OK] Die Registrierungsdatenbank ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [1106 octets] - [13/10/2012 22:49:28]

AdwCleaner[S1].txt - [1007 octets] - [14/10/2012 18:30:48]

AdwCleaner[R2].txt - [706 octets] - [15/10/2012 09:00:31]
 

########## EOF - C:\AdwCleaner[R2].txt - [765 octets] ##########

LG Nougat

Hätte da mal zwei Fragen bevor es weiter geht (wir sind noch nicht fertig!)

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hallo Cosinus,

der normale Modus geht eigentlich immer. Es fährt halt nur der Rechner runter und startet dann neu. Alle Ordner auf dem Desktop, die davor offen waren sind dann allerdings geschlossen.
Die Ordner unter "Alle Programme" sind noch gefüllt. Ich habe allerdings nur Stichproben gemacht und nicht alle durchgeschaut.

Vielleicht ist das auch ein Treiberproblem und kein Virus. Ein Freund meinte, dass auch der Rechner selber kaputt sein kann. Dass er immer abstürzt, wenn ein bestimmtes Speicherbit benutzt wird.

Seltsam ist halt, dass die Zeit zwischen Hochfahren und erstem Reboot unterschiedlich lange dauert und dass er das sowohl tut, wenn ich gerade arbeite, als auch wenn der Rechner nur so vor sich hinläuft.

LG Nougat