Hallo liebes Trojanerboard-Team,

nachdem ich mir auf eurer Seite oft Tips zu anderen Problemen holen konnte, hab ich nun selbst ein Problem, das ich weder hier noch in Google finden kann.

Angefangen hat es damit, dass ich seit ca. einer Woche ständig merkwürdige Meldungen des Windows Sicherheits-Centers (Vista) kriege.
Merkwürdig deshalb, weil sie ca. alle 5 Minuten aufblitzen - und mit "aufblitzen" meine ich wirklich nur für einen winzigen Bruchteil einer Sekunde!
Anfangs habe ich schon gedacht, ich bild mir was ein da ich die Meldung aber schonmal gesehen hab, konnte ich sie nach einigem Warten dann erkennen.
Es scheint die Benachrichtigung zu sein, dass ein oder mehrere Antiviren-Programme deaktiviert sind (mit der Aufforderung zu überprüfen, ob die Sicherheit des Computers noch gewährleistet ist). Öffnet man das Center jedoch, liegt kein Problem vor. Und auch das Symbol (rotes durchkreuztes Wappen) in der Taskleiste ist nie länger als die Meldung zu sehen.

Ich lasse pro Woche mind. ein Mal alle Virenprogramme meinen Laptop durchsuchen (Malwarebytes, Avira und Spybot), jedoch war bis eben einschl. nie etwas gefunden worden, was mich eben doch stutzig macht.
Diese Woche musste ich insgesamt 2x eine Systemwiederherstellung auf Anfang Januar durchführen, weil mein Laptop schlichtweg 3,4 Mal hintereinander (kurz nach dem Startvorgang) abgestürzt ist...


Weitere Dinge in diesem Zeitraum sind mir auch aufgefallen, jedoch kann ich nicht einordnen, ob sie damit zusammen hängen! Ich erwähne sie trotzdem mal, damit andere Leute, die vielleicht ähnliche Dinge bemerken, auch hierher finden.

Einmal wäre da, dass egal wie oft ich es umgestellt habe, in der Ordnerfunktion von Vista die Dateiendungen einfach ausgeblendet werden, teilweise schon eine Minute nachdem ich sie wieder einblenden lasse. Auch ein Ändern der Registry lässt nicht alle Endungen wieder erscheinen...

Zum Zweiten deinstalliert sich NoScript (Firefox Addon) anscheinend immer wieder von selbst, alle anderen Addons bleiben aber erhalten.

Und zum Dritten - und wohl auffälligsten - scheint mein Hotmail Account gestern Spammails an meine gesamte Kontaktliste verschickt zu haben (die ich dann aus Zufall im "Gelöscht"- statt im "Gesendet"-Ordner wiedergefunden hab). Das Passwort habe ich sofort geändert.


Lange Rede, kurzer Sinn: Irgendwie gehen seit ein paar Tagen merkwürdige Dinge mit meinem Laptop vor und ich möchte so schnell wie möglich verhindern, dass ich durch Spammails etc andere Leute mit hinein ziehe oder meine Daten verliere.

Ich hoffe, ihr könnt mir weiterhelfen! =)
Liebe Grüße,
Shakkari

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

Hmm ja, aber die sehen leider (bzw eigentlich ist es ja gut^^) alle so aus wie dieser. Hab alle durchgeschaut, der letzte Fund war am 8. November und die betroffenen Dateien wurden "quarantined and succesfully deleted"...
Im Zip sind jetzt das vom letzten Fund, dem unmittelbar danach, das von vor 1 Woche und das von gestern. =)
Liebe Grüße,
Shakkari

Zitat:

PRC - C:\Program Files\Zone Labs\ZoneAlarm

ZoneAlarm ist kontraproduktiver Unsinn, bitte deinstallieren und Windows-Firewall verwenden.

Nach der Deinstallation gehts an den OTL-Fix:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
SRV - (NZXDV) --  File not found
SRV - (EGABDDQTEXUGH) --  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{1d04e813-4136-11de-a29f-0090f5581957}\Shell - "" = AutoRun
O33 - MountPoints2\{1d04e813-4136-11de-a29f-0090f5581957}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O33 - MountPoints2\{2c16b7ad-2f42-11df-a499-0015af12a865}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MICHBECK.vbs
O33 - MountPoints2\{7ac67af2-d548-11df-b189-0015af12a865}\Shell - "" = AutoRun
O33 - MountPoints2\{7ac67af2-d548-11df-b189-0015af12a865}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{7ac67b03-d548-11df-b189-0090f5581957}\Shell - "" = AutoRun
O33 - MountPoints2\{7ac67b03-d548-11df-b189-0090f5581957}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{7b77776b-d60d-11df-9bc7-0090f5581957}\Shell - "" = AutoRun
O33 - MountPoints2\{7b77776b-d60d-11df-9bc7-0090f5581957}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{c4e3e479-bc9c-11df-b2fd-0090f5581957}\Shell - "" = AutoRun
O33 - MountPoints2\{c4e3e479-bc9c-11df-b2fd-0090f5581957}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O33 - MountPoints2\{db9add48-eb91-11dd-b449-0090f5581957}\Shell\Auto\command - "" = ljttzponj.exe
O33 - MountPoints2\{db9add48-eb91-11dd-b449-0090f5581957}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ljttzponj.exe
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

So... hab mich dann von ZoneAlarm getrennt (hatte das schon oft gelesen, aber bisher war ich zu paranoid um es zu deinstallieren, lach) und neu gestartet. Danach OTL ausgeführt - das Logfile ist im Anhang

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hmm irgendwie gibts da ein Problem beim Ausführen:
"Hast du versucht, CFScript auszuführen? Der Name, CFScript scheint nicht korrekt buchstabiert zu sein."

Lad CF bitte neu als cofi.exe herunter und probiers nochmal.

Das hab ich schon ein paar Mal erfolglos probiert... weiß leider nicht woran das liegt, aber die Meldung kommt jedes Mal aufs Neue =(

Dann führ erstmal dieses Tool von Kaspersky aus => http://www.trojaner-board.de/82358-t...entfernen.html

Okay, hab ich gemacht=) aber auch hier irgendwie nichts...

Gestern wurde statt neu zu starten (wg Absturz) einfach der ganze Bildschirm weiß, keine Reaktion... hab dann im abgesicherten Modus meine Daten gesichert, wenn es dir also zu aufwändig wird (und das Problem dadurch gelöst wird), kann ich die Tage auch einfach neu formatieren =)

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER ist tatsächlich abgestürzt, beim zweiten Mal kam ein blauer "stop error screen".
Die Logfiles von OSAM und MBRCheck sind im Anhang

Edit: Entschuldige, mir fällt auf, dass ich die Online-Abfrage nicht übersprungen habe! Soll ich es nochmal neu versuchen?

Hier ist das richtige Log <ohne> Online-Abfrage, konnte es leider nicht mehr in den ersten Beitrag hineinbringen.