Hallo liebes board,
erst einmal vielen Dank für dieses ausführliche Hilfeforum. Ich habe gestern den Tag hier zugebracht und dann abends versucht, die Ratschläge daheim umzusetzen.
Hier zunächst das Problem. Nach einem Systemabsturz während der Windows-Abmeldephase, in der zunächst firefox nicht richtig beendet wurde, konnte ich nach Neustart firefox und Opera nicht mehr öffnen. firefox gibt seine wiederherstellen/neustarten eigene graue Fehlermeldung, die Meldung an Mozialla läßt sich nicht verschicken und wiederherstellen auch nicht, bleibt nur beenden. Opera geht nicht selbst auf sondern öffnet im IE mit einer Meldung, dass die Datein opera.exe (o.ä.) nicht gefunden werden kann.
Zunächst funktionierte der IE8 noch, ich habe daher darüber firefox und Opera neu heruntergeladen, die alten mittels Glary-utilities deinstalliert, alle Anwendungsdaten, Profile etc. die ich finden konnte von Hand gelöscht und neu installiert. Die Probleme blieben.
Dann habe ich ein Windows-update gemacht und festgestellt, dass ich das anscheinend schon sehr lange nichtmehr gemacht hatte, es waren ca. 60 wichtige updates (nur Windows) zu laden und installieren.
Nach dem darauf folgenden Neustart lief auch der IE nicht mehr an, sondern wurde vom Dateiausführungsverhinderungsdienst gestoppt und musste beendet werden.
Ich habe bisher mit Antivir gescannt und mit Zone Alarm verhütet, Antivir habe ich dann durch AVG ersetzt und auch damit nichts gefunden. Spybot hat zwei kleine Einträge in nicht funktionswesentlichen Dateien gefunden, was das Problem nicht verändert hat. Ebenso der cccleaner und mbam, ganz nach eurer Anleitung.
Heute habe ich dann HijackThis ausprobiert und nach Anleitung keine gefährlichen Einträge gefunden. Ich poste die logfile im nächsten Eintrag, der Übersichtlichkeit halber. Fünf Einträge habe ich gefixt, die mir merkwürdig aber ungefährlich vorkamen, keine Änderung.

Jetzt die Frage. Findet ihr noch wichtige Einträge in der hjt logfile? Warum stehen die AVG-Prozesse oben als aktive drin, obwohl ich versucht hatte, diese vorher zu beenden? Wenn, wie schalte ich AVG komplett aus und hat das einen Einfluss?
Wenn nichts kaputtes zu finden ist, mache ich auch gern nach mehreren Jahren mal den Rechner platt und setze ihn neu auf. Nur würde ich ein paar Daten vorher sichern wollen. Wie kann ich sicherstellen, dass ich dann nicht den Fehler (Virus, trojaner oder sonstiges) wieder mit einschleppe? Ich habe die Daten, die mir wirklich wichtig sind, also vor allem doc und pdf jetzt erstmal auf einem Mac gelagert, dem das (was auch immer) ja nichts anhaben sollte.

Vielen Dank für eine schnelle und verständliche Hilfe! Wie es Murphy so festgelegt hat, habe ich gerade noch ein paar Tage Zeit für meine Abschlussarbeit und würde gern auf meinem Rechner weiter arbeiten und nicht nur in der Unibib.

Gruß, Lars

hier das logfile beim ersten Durchlauf:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:50:59, on 09.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Juniper Networks\Common Files\dsNcService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AVG\AVG9\avgchsvx.exe
C:\Programme\AVG\AVG9\avgwdsvc.exe
C:\Programme\AVG\AVG9\avgnsx.exe
C:\Programme\AVG\AVG9\avgrsx.exe
C:\Programme\AVG\AVG9\avgcsrvx.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG9\Toolbar\IEToolbar.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Asz.Citavi.IEPicker.IEPickerButton - {609D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG9\Toolbar\IEToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG9\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\*name*\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Citavi Picker... - file://C:\Programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Citavi Picker - {619D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1239101551612
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1260185045714
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Juniper Network Connect Service (dsNcService) - Juniper Networks - C:\Programme\Juniper Networks\Common Files\dsNcService.exe
O23 - Service: Google Update Service (gupdate1c9c1cf7a845940) (gupdate1c9c1cf7a845940) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7513 bytes

heute morgen habe ich mbam nochmal (?) durchlaufen lassen, zuerst als quick und dann als vollständigen scan. dabei wurde einiges gefunden, entfernt und siehe da, ich kann wieder mit firefox in Netz! wahrscheinlich habe ich beim ersten durchlauf irgendwas falsch gemacht. hier die logfile:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3328
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.12.2009 10:03:12
mbam-log-2009-12-10 (10-03-12).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 118413
Laufzeit: 10 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.


mich würde nur immer noch interessieren, ob ich jetzt meine Daten sicher und unverseucht backup sichern kann, oder ob noch irgendwo was steckt. Bitte weiter um Hilfe!! Danke!

Hallo und

Daten jetzt zu sichern ist immer möglich, Du solltest da nur drauf achten, dass keine ausführbaren Dateien (zB *.exe oder *.msi) sondern wirklich nur reine Datendateien (Bilder, Musik, Videos, Dokumente) gesichert werden - um das Risiko zu minimieren, dass Schädlinge mitgesichert werden!

Um noch weiter sicher zu gehen, kannst Du den eigentlichen Sicherungsvorgang über eine Live-CD auf Basis von Linux (zB Knoppix, Parted Magic oder über eine Ubuntu-Installations-CD mit Live-Modus) durchführen. Sicherung auf externe Platte. Ein paar Linuxkenntnisse wären aber deutlich von Vorteil.
Anderer Weg wäre eine Live-CD auf Basis von Windows XP, muss man sich aber selber basteln mit dem pebuilder (so schwer ist das nicht, man braucht aber einen lauffähigen sauberen! Windows-PC.
Platten ausbauen und an einen anderen lauffähigen Rechner anschließen geht auch, aber man muss aufpassen, dass man sich da das System nicht versaut und etwas Hardwarekenntnisse wären auch wieder von Vorteil.

Willst Du denn jetzt das System definitiv neuaufsetzen (vorher Daten sichern) oder es bereinigen?

Hallo cosinus,
danke für deine Reaktion! Da ich gerade an meiner BA-Arbeit sitze und nicht einen ganzen Tag für Neuaufsetzen des Systems einplanen möchte, werde ich diese Aktion bis ins nächste Jahr verschieben. Bis dahin möchte ich das System erstmal nur lauffähig machen und halt auch gern sauber haben.
Im Moment läuft es, auch wenn firefox ab und zu eine Seite nicht läd und insgesamt alles langsam läuft. So würde es mir bis ins neue Jahr reichen.

Wenn du also einen guten Tip für einen solchen zwei-Stufen-Plan hast, wäre ich dir dankbar. Hast du noch was interessantes im hjt-logfile gefunden? Und weißt du, wie ich AVG ausschalte?

Gruß, Lars

AVG einfach deaktivieren dürfte doch nicht weiter schwierig sein

Bis Du neu aufsetzen wirst: diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) (MBAM hast Du nur im Quickmodus ausgeführt...)

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Guten Abend,
jetzt habe ich endlich Zeit, nach Abgabe der Abschlussarbeit, meinen Laptop neu herzurichten, leider ist inzwischen das Motherboard wegen Defekt ausgeschieden und damit der komplette Rechner.
Die Festplatte lebt in einem externen Gehäuse weiter und darauf warten die Daten für einen Transfair auf einen neuen Rechner. Daher nochmal die Frage, wie ich sicherstelle, dass ich mir aus dem nunmehr toten Rechner nichts auf einen neuen einfange. Ich brauche keine der dort liegenden Programme, bekomme ich im Netz alles neu, also kein Problem mit .exe-files.
Bestehen bei pdf, doc, jpg, mp3 etc grundsätzlich keine Viren- und Trojaner-Gefahren? Dann könnte ich das alles separat rüberkopieren und dabei auch endlich mal sortieren.
Danke für diese letzte Hilfe!

Zitat:

Bestehen bei pdf, doc, jpg, mp3 etc grundsätzlich keine Viren- und Trojaner-Gefahren? Dann könnte ich das alles separat rüberkopieren und dabei auch endlich mal sortieren.

Grundsätzlich eigentlich nicht, aber ich würde sagen, diese Dateitypen kannst Du gefahrlos in Dein neues System kopieren. Grundsätzlich deswegen nicht, weil auch bestimmte Bilder, PDFs etc. manipuliert sein können, um Schwachstellen in alten Programmen auszunutzen. Das ist aber wohl nur bei Fremdmatieral der Fall (eher seltenen, gezielten "Angriffen" zB manipulierte PDF-Datei auf ner betrüger-Webseite, um Lücken im AdobeReader auszunutzen) und Du willst ja wohl eher nur eigene Dokumente übernehmen

Ich würde Dir vor der Umkopierkation empfehlen, den Autostart auf allen Laufwerken zu deaktivieren:

Autostart auf allen Laufwerken deaktivieren
Ich empfehle, den Autostart grundsätzlich zu deaktivieren. Falls Du einen verseuchten Stick dransteckst und der Virenscanner erkennt das nicht hast Du den Salat.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist der Autostart auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.