Hallo zusammen!

Habe einen frisch aufgesetzten PC, gerade mal eine Woche online. Lief problemlos bis heute morgen. Das Fenster vom IE schloss sich nach wenigen Sekunden, Fehlermeldung bei lokale Einstellungen/Temp/16d7_appcombat.txt

Beim nochmaligen Versuch ging auf einmal ein Download von der Seite sina.com.de los, der Bildschirm füllte sich mit chinesischen Schriftzeichen. Alle Versuche das Fenster zu schließen schlugen fehl, der Rechner reagierte nicht mehr, ich schaltete den PC per Hand aus.

Erneuter Start, der IE ging von alleine los, ich schloß ihn und nahm den Rechner vom Netz.

Bei den Internetoptionen war als Startseite sina.com.de eingegeben, ich stellte zurück auf t-online.

Habe dann den Malwarebyte durchlaufen lassen, der 4 infizierte Dateien fand, die ich löschte. Erneuter Scan dann ohne Befall. Der Antivir fand dann danach! noch einen Trojaner TR/Trash.Gen, den ich löschte. Ließ den CCleaner drüber laufen und alle Fehler in der registry beheben.

Wenn ich jetzt den IE starte, geht bei t-online eine Werbung los und der IE schließt sofort wieder. Also habe ich versuchsweise microsoft als Startseite eingegeben, jetzt geht es.

Was ich nur nicht verstehe, ich hab den IE 7.0 drauf, angezeigt wird aber der 6.0.

Hier mal das Logfile vom Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:28:13, on 11.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 2787 bytes

findet sich hier noch irgendwas, oder ist der Rechner clean??

Vielen Dank im Voraus für die Bemühungen!

Gruß Lisette

Hi Lisette und

Das Log ist unauffällig, aber HijackThis kratzt nur an der Oberfläche. Da Du ja definitiv einen Befall hast/hattest, müssen wir etwas tiefer graben .


lade bitte den Deckard's System Scanner (DSS) herunter und speichere ihn auf deinem Desktop.
NB: Du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können.

1. Schließe ALLE Anwendungen und Fenster.
2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts.
3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen -

main.txt <- dieses wird maximiert dargestellt und
extra.txt <- dieses wird als minmierte Datei dargestellt
4. Kopiere (STRG+A und STRG+C) und füge (STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort.

Die Logdateien können sehr lang werden.



gruß

schrauber

hallo Schrauber,
wenn ich den dss starte, dann geht beim prüfen der *event logs* ein Fenster auf, Problem mit dss, und der dss wird geschlossen.

Was nun?

Gruß Lisette

Hi,

Der Fehler ist mir bis heut noch nicht angekommen, versuch ds bitte wieder über Doppelklick zu starten. Wenn das nicht gehen sollte, mach folgendes:

• Schließe alle Anwendungen und Fenster.
• Start => ausführen => dort reinschreiben: "%userprofile%\desktop\dss.exe" /config
• Es wird sich ein Konfigurations-Fenster öffnen
  => bitte bei allen Punkten einen Haken machst (alternativ "CheckAll" anklicken).
  => Klicke anschließend auf den Button "Scan".
• Es öffnet sich ein kleines Fenster, in welchem Du gefragt wirst, welches HJT verwendet werden soll.
• Ignoriere das und warte 30 Sekunden, dann beginnt der Scan automatisch.
• Wenn der Scan beendet ist, öffnet sich Dein Editor mit dem
  C:\Deckard\System Scanner\main.txt und dem
  C:\Deckard\System Scanner\extra.txt (minimiert).
• Poste bitte beide Logdateien hier.

Lasse aber den Haken bei "event-logs" weg.


gruß

schrauber

Hallo Schrauber,
so funktioniert es auch nicht.

Ich habe mir mal die Eigenschaften von dss.exe angesehen, dort stand, daß der Zugriff auf dss.exe verweigert wird, weil das Programm von einem anderen Computer stammt. Bei Zulassen bekam ich die Meldung, daß die Anwendung auf XP nicht kompatibel ist und nur unter Windows 95, 98, NT und 2000 läuft.

Was ist das für eine Andwendung und wohin führt dein Link?

Gruß Lisette

Hi,
ich spring mal schnell ein,da Schrauber grad nicht da ist, damit du dir keine Sorgen machen musst.
DSS ist ein Analysetool, dass malwarerelevante Punkte in deiner Registry und Dateien listet.
Es leert deine temporären Dateien und erstellt einen neuen Systemwiederherstellungspunkt.

Der Link führt zu einem der renormiertesten Antimalwareforen in Amerika, an dem auch der Programmierer des Tools aktiv ist.

Das Programm läuft normalerweise problemlos auf Windows XP, auch mit Sp3.

Kannst du mal unter C:\Deckard\System Scanner schauen, ob du dort eine Datei main.txt/extra.txt findest? Poste den Inhalt dann bitte hier.

Alles weitere dann wieder mit Schrauber
lg myrtille