Guten Tag allerseits,

nachdem ich nun über die Google-Suche versucht habe eine Problemlösung zu finden, jedoch keine genauen Ansätze für eben dieses Problem gefunden habe, hoffe ich darauf, dass ich hier Hilfe erhalten kann.

Vor ca. zwei Wochen haben sich unsere beiden Laptops mit einem Trojaner infiziert. Über die Suchmaschine konnte ich eine Lösung finden, wie die Burschen vertrieben werden können und habe die Schritte befolgt. Danach war erstmal alles super. Dann geschah folgendes:

Laptop Nr. 1:
Zirka zwei Tage nach der Trojaner-Aktion, ließ sich der eine Rechner nicht mehr hochfahren. Über den BIOS hinweg kam ich noch, gelangte dann in das Auswahlmenü indem man wählen kann, ob man Windows im abgesicherten Modus, mit letzter funktionierender Konfiguration oder what ever starten möchte. Egal, welche Auswahl getroffen wurde, es erschien für den Bruchteil einer Sekunde ein Bluescreen, danach wurde wieder neugestartet. Immer und immer wieder und nur dadurch abzubrechen, das die Powertaste betätigt wurde. Nach neuerlichem Einschalten dasselbe Phänomen. Wenige Tage später, als ich mich durchgerungen hatte Windows neu zu installieren, blieb der Bildschirm schwarz. Einem Bekannten gelang es dann irgendwie die Wiederherstellungskonsole zu nutzen. Bei der Ausführung von Checkdisk ging der Rechner dann unvermittelt aus. Eine Prüfung des Arbeitsspeichers ergab, dass dieser okay war, die Festplatte wurde mittels external Case an einem anderen Rechner geprüft und "low level" Formatiert. Anschließend sollte Windows neu installiert werden. Dabei ging die Maschine wieder unverhofft aus. Erst das Aufmachen des Laptops und Aussaugen der Lüftereinheit sorgte dafür, dass der Rechner wieder stabil lief. Nach der Neuinstallation war alles wieder in Ordnung.

Nun zum eigentlichen Problem: Laptop Nr. 2 zeigt jetzt dieselben Symptome, allerdings mit kleinen Unterschieden.

* Der Trojaner wurde nach Anleitung entfernt
* Seitdem geht der Laptop in unregelmäßigen Abständen aus (keine aufwendigen Graphik-Anwendungen, Games o.ä.) und scheint damit überfordert zu sein, Sykpe und ein Worddokument gleichzeitig geöffnet zu haben (nein, wer hier daran denken mag, dass einfach die Performance dafür nicht ausreicht, liegt falsch, da bis vor dem Trojaner alles sauber lief)
* Vor zwei Tagen führte ein Fehler im Benutzerkonto dazu, dass ein neues eingerichtet werden musste.
* Seit heute bootet der Rechner nur in der oben beschriebenen Dauerschleife

Punkt 2 und 3 lagen bei Laptop Nr. 1 nicht vor. Kann das noch andere Ursachen haben?

Wie bekomme ich nun das System wieder stabil zum Laufen? Gibt es eine Möglichkeit irgend etwas zu retten? Es liegt nämlich das altbekannte Problem vor, dass auf dem Rechner gestern Seiten für eine Examensarbeit geschrieben und noch nicht extern gesichert wurden. Ich frage mich zudem, ob es sein kann, dass zwei Rechner zur gleichen Zeit wegen Übehitzungsproblemen einfach ausgehen oder ob es ebenfalls mit dem Trojaner zu tun hat. Ich würde mich bei diesem Rechner sehr schwer tun einfach alles platt zu machen.

Edit: Der Trojaner hat auf allen Partitionen die Dateien autorun.inf, sowie in einem Ordner "Resycled" die Datei boot.com hinterlegt. Die Anweisungen zur Entfernung des Trojaners beinhalteten das Löschen dieser Dateien.

Wir haben leider nur Grundkenntnisse im Umgang mit PCs, wären also froh und dankbar über jede From der Hilfe.

Gruß Koisa

Hallo Koisa und

Wir werden uns zuerst dem ersten Laptop widmen, danach dem zweiten, dass wir nicht durcheinander kommen!

Alle Punkte immer nach der Reihe ausführen:


==== Punkt 1 ====

Fertige nun ein HijackThis Log Deines Systems an (solltest du HijackThis schon installiert haben, kannst du den Punkt 1 übersprigen):

1.) Lade dir HijackThis von Trend Micro herunter, indem du auf "HijackThis Installer herunterladen" klickst! Danach installierst du das Programm in einem eigenen Ordner! Das ist wichtig, damit evtl. falsch gefixte Einträge rückgängig gemacht werden können.

2.) Nun startest du HijackThis und drückst im Hauptmeü auf "Do a system scan and save a log file". Das vollständige Log hier in Code-Tags posten.

Hallo und danke für das Willkommen!

Der erste Laptop läuft ja wieder. Da haben wir kurzerhand alles platt gemacht. Der zweite bereitet mir größere Sorgen. Sicher ist es dennoch besser, wenn ich mein Logfile hier poste. Nicht, dass noch irgendwas nicht stimmt:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:39:05, on 16.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
D:\Bluetooth-Adapter\bin\btwdins.exe
D:\VPN\cvpnd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Softex\OmniPass\Omniserv.exe
C:\Programme\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Softex\OmniPass\scureapp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\Bluetooth-Adapter\BTTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
D:\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
D:\Total Commander\TOTALCMD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\Adobe Reader\Reader\AcroRd32.exe
D:\Highjack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [OmniPass] C:\Programme\Softex\OmniPass\scureapp.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "D:\NortonAntiVirus 2008\osCheck.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [PDFPrint] "G:\Tools\Pdf-Maker\PDFBackend.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - D:\Bluetooth-Adapter\btsendto_ie_ctx.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Bluetooth-Adapter\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Bluetooth-Adapter\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231281880600
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Bluetooth-Adapter\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\VPN\cvpnd.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Programme\Softex\OmniPass\Omniserv.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 7609 bytes
         

Ich hoffe, dass zumindest bei der Maschine wieder alles sauber ist. EDIT: Leider kann ich von Laptop 2 keine Logfile erstellen, da der dieser ja nicht vernünftig - also quasi gar nicht - bootet.

Vielen Dank schonmal.

Koisa

Hallo Koisa,

Um welchen Laptop handelt es jetzt, also das Log? Vom 2ten??
Dann spezialisieren wir uns auf den:

Bevor mit einer eventuellen Bereinigung anfangen, bitte ich dich das hier zu machen:

Zitat:

Internet Explorer 6

Dein Internet Explorer, den du auf deinem Rechner installiert hast, ist veraltet. Der neue Internet Explorer 7 ist weit sicherer, schneller und es sind die wichtigen Sicherheitsupdates enthalten! Besuche nun die Hersteller Seite und downloade dir die neue Version! Anschließend installierst du sie!

Also, das Logfile ist von Rechner 1. Da der zweite in Dauerschleife bootet, gibts von dem auch kein Logfile. Laptop 1 arbeitet wieder stabil und dürfte ansonsten clean sein. Aber es kann ja nicht schaden, trotzdem die Logfile durchzusehen.

Ich kann den IE 7 gern installieren, nutze aber fast ausschließlich den Firefox 3.0.5.

Gruß
Koisa

Hallo Koisa,

Dein Logfile ist sauber, also der 1. Rechner ist dann fertig, oder? Gibt es noch Probleme?
Ja bitte den Internet Explorer installieren, auch wenn du ihn nicht verwendest!

Kannst du den 2. Rechner im Abgesicherten Modus starten und ein HijackThis Logfile erstellen?