Trojaner-Board - Anwendungen lassen sich nicht starten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Anwendungen lassen sich nicht starten (https://www.trojaner-board.de/100371-anwendungen-lassen-starten.html)

Anwendungen lassen sich nicht starten

Hallo,
ich habe seit Tagen folgendes Problem:
Versuche ich eine Anwendung zu öffnen, kommt immer folgender Fehler:

[anwendung].exe - Fehler in Anwendung

Den Fehler kann ich anschließend noch mit klick auf 'ok' bestätigen und schließe damit die Anwendung.
In seltenen Fällen schaffe ich es, meinen Firefox zu starten. Läuft eine Anwendung mal, funktioniert sie ohne Probleme.

Ich habe mehrmals meinen Antivir durchlaufen lassen. Der hat immerwieder Viren erkannt und gelöscht, aber das Problem ist noch immernicht behoben.

Wie für Hilfesuchende beschrieben habe ich ein paar Scans duchgeführt.
Die hänge ich in den Anhang.

Ich habe auch noch einen Hijack durchgeführt, den ich bei Bedarf auch noch hinzufügen kann.

Schon im vorraus vielen Dank!

Gruß
smir

Zitat:

Ich habe mehrmals meinen Antivir durchlaufen lassen. Der hat immerwieder Viren erkannt und gelöscht,

Was wurde wo genau gefunden? Solche Angaben reichen nicht aus, bitte poste das Log vollständig!

Mein Filewalker läuft gerade, wenn er fertig ist, schreibe ich genau rein, wo er was gefunden hat.

also antivir hat jetzt 2 trojaner in die quarantäne geschickt:
TR/Spy.Agent.brbq

der eine in
c:\WINDOWS\system32\5016\components\AcroFF016.dll
der andere in
c:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1175\A0243530.dll

Die OTL.txt vermiss ich noch, bitte nachreichen.
Danach routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hier die OTL.txt Datei.

Ich bekomme die malwarebytes auf Grund des geschilderten Problems nicht gestartet!

Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php

ich habe die malwarebytes in .com geändert, bekomm es aber immernoch nicht gestartet!

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O4 - HKCU..\Run: [4C1C815E1BB9AF4C]  File not found

O4 - HKCU..\Run: [ZE18MW23GY]  File not found

O32 - HKLM CDRom: AutoRun - 1

O33 - MountPoints2\##192.168.1.35#cd\Shell - "" = AutoRun

O33 - MountPoints2\##192.168.1.35#cd\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\##192.168.1.35#cd\Shell\AutoRun\command - "" = Y:\setup.exe

O33 - MountPoints2\##Amilcar#dvd_maik\Shell - "" = AutoRun

O33 - MountPoints2\##Amilcar#dvd_maik\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\##Amilcar#dvd_maik\Shell\AutoRun\command - "" = Z:\SWSETUP\APPINSTL\setup.exe

[2011.06.08 16:08:32 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5016

[2011.06.07 15:30:58 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5015

[2011.06.07 15:30:45 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xmldm

[2011.06.07 15:30:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\kock

[2011.06.14 15:36:00 | 000,000,266 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job

[2011.06.14 00:28:00 | 000,000,238 | -H-- | M] () -- C:\WINDOWS\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job

[2008.12.09 17:23:13 | 000,047,616 | RHS- | C] () -- C:\WINDOWS\System32\appconf32.exe

[2007.03.18 19:16:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\~fake~.ini

[2009.10.08 19:10:03 | 000,000,000 | ---D | M] -- C:\W309BF54

[2010.12.09 17:15:07 | 000,000,000 | -H-D | M] -- C:\Washer1.rar

@Alternate Data Stream - 111 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:B623B5B8

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Stell uns bitte danach den Quarantäneordner von OTL zur Verfügung. Bitte dabei so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht behindern!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Super!!! HAHAHA :D
Es hat geklappt! Vielen, vielen, vielen Dank!

hat zwar erst beim zweiten versuch geklappt, aber es hat geklappt! :D

Hab die MovedFiles auch schon hoch geladen.

Ist jetzt alles behoben? oder muss ich noch was machen?

Gott, bin ich froh!
Danke!

Mach bitte jetzt mal den Vollscan mit Malwarebytes.

erledigt, er hat 25 Objekte gefunden! Soll ich die einfach alle löschen, oder erstmal hier irgendwas posten?

Ja, vllt das Log posten?! :D

Wenn ich die dann alle gelöscht habe ist mein computer wieder sauber?

ist im anhang :D

Super Sache, wirklich!

Vielen Dank für deine Zeit und Hilfe!

Hast du die jetzt entfernt? Wenn nicht nachholen.

Danache ein frisches OTL-Log erstellen und posten:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Ja, ich hatte sie schon gelöscht.

im Anhang der OTL.txt

Bitte dienstalliere über Systemsteuerung/Software alle Toolbars sowie ZoneAlarm. Sag Bescheid wenn das durch ist. Statt ZoneAlarm verwendest du die Windows-Firewall.

Ist erledigt. Ich hoffe, ich habe keine Toolbar übersehen.

Gut. Bitte mach wieder ein frisches OTL-Custom-Log.

Muss ich wieder was in Benutzerdefinierte Scans einfügen?

Ja wie in #15 gepostet

Zitat:

Folder = C:\Dokumente und Einstellungen\s\Desktop\gegen viren

Bitte achte genauer auf die Anleitungen! Die Tools sollen direkt auf den Desktop und nicht in irgendwelche Unterordner vom Desktop!

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

[2010.05.03 15:31:01 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Dokumente und Einstellungen\s\Anwendungsdaten\Mozilla\Firefox\Profiles\69q0roxi.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}

[2010.05.02 20:05:46 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\s\Anwendungsdaten\Mozilla\Firefox\Profiles\69q0roxi.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}

[2010.05.02 20:02:53 | 000,000,000 | ---D | M] (softonic-de3 Toolbar) -- C:\Dokumente und Einstellungen\s\Anwendungsdaten\Mozilla\Firefox\Profiles\69q0roxi.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}

[2010.05.02 20:05:47 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\s\Anwendungsdaten\Mozilla\Firefox\Profiles\69q0roxi.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"

FF - prefs.js..browser.search.defaultthis.engineName: "Search"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"

FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=827316"

FF - prefs.js..browser.search.selectedEngine: "ICQ Search"

FF - prefs.js..browser.startup.homepage: "http://de.forestle.org/"

FF - prefs.js..keyword.URL: "http://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p="

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

[2011.02.09 20:30:04 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll

[2010.08.06 15:32:46 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD_Start.INI

[2010.06.21 16:24:05 | 000,000,003 | ---- | C] () -- C:\WINDOWS\treeskp.sys

[2010.06.21 16:24:05 | 000,000,003 | ---- | C] () -- C:\WINDOWS\sbacknt.bin

:Commands

[purity]

[resethosts]

Habe die MovedFiles hochgeladen.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hier der log:
Combofix Logfile:

Code:

ComboFix 11-06-16.02 - s 17.06.2011  15:00:47.1.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1022.468 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\s\Desktop\cofi.exe

AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\1.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\a.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\b.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\c.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\d.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\e.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\f.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\g.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\h.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\i.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\J.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\k.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\l.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\m.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\mru.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\n.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\o.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\p.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\q.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\r.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\s.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\t.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\u.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\v.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\w.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\x.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\y.xml

c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\z.xml

c:\dokumente und einstellungen\s\WINDOWS

c:\windows\Downloaded Program Files\popcaploader.dll

c:\windows\Downloaded Program Files\popcaploader.inf

c:\windows\IsUn0407.exe

c:\windows\system32\Hook.dll

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_SSHNAS

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-05-17 bis 2011-06-17  ))))))))))))))))))))))))))))))

.

.

2011-06-17 12:13 . 2011-06-17 12:13        --------        d-----w-        C:\TDSSKiller_Quarantine

2011-06-17 10:04 . 2011-06-17 10:04        --------        d-----w-        c:\dokumente und einstellungen\s\Lokale Einstellungen\Anwendungsdaten\Temp

2011-06-16 14:38 . 2011-06-16 14:38        --------        d-----w-        c:\dokumente und einstellungen\s\Anwendungsdaten\Malwarebytes

2011-06-16 14:38 . 2010-11-29 15:42        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-06-16 14:38 . 2011-06-16 14:38        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2011-06-16 14:38 . 2010-11-29 15:42        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-06-16 14:38 . 2011-06-16 19:28        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2011-06-16 14:05 . 2011-06-17 11:51        --------        d-----w-        C:\_OTL

2011-06-15 13:10 . 2011-04-21 13:37        105472        ------w-        c:\windows\system32\dllcache\mup.sys

2011-06-08 14:16 . 2011-06-08 14:16        388096        ----a-r-        c:\dokumente und einstellungen\s\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2011-06-08 14:16 . 2011-06-08 14:16        --------        d-----w-        C:\Trend Micro

2011-05-29 16:37 . 2011-05-29 18:44        --------        d-----w-        c:\programme\PDF24

2011-05-19 03:54 . 2011-05-19 03:54        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-05-02 15:31 . 2004-08-04 08:00        692736        ----a-w-        c:\windows\system32\inetcomm.dll

2011-04-29 16:19 . 2004-08-04 08:00        456320        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys

2011-04-27 13:23 . 2010-11-15 23:05        0        ----a-w-        c:\windows\system32\ConduitEngine.tmp

2011-04-25 16:05 . 2004-08-04 08:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2011-04-25 16:05 . 2004-08-04 08:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2011-04-25 16:05 . 2004-08-04 08:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2011-04-25 12:01 . 2004-08-04 08:00        385024        ----a-w-        c:\windows\system32\html.iec

2011-04-21 13:37 . 2004-08-04 08:00        105472        ----a-w-        c:\windows\system32\drivers\mup.sys

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"OfficeWeb mouse"="c:\programme\HP\HP Mouse\Panel.exe" [2005-07-11 233472]

"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2009-06-17 2363392]

"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-10-11 14940040]

"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-27 344064]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-29 136600]

"HP Software Update"="c:\programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 729178]

"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]

"eabconfg.cpl"="c:\programme\HPQ\Quick Launch Buttons\EabServr.exe" [2005-10-11 409600]

"Cpqset"="c:\programme\HPQ\Default Settings\cpqset.exe" [2005-08-01 233534]

"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-27 1454080]

"SAFEHOME HotKeys"="c:\programme\Steganos Safe Home\SteganosHotKeyService.exe" [2007-03-21 25088]

"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-13 281768]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]

"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]

"PDFPrint"="c:\programme\PDF24\pdf24.exe" [2011-04-28 220552]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

HP Mouse.lnk - c:\programme\HP\HP Mouse\Panel.exe [2007-3-8 233472]

hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2002-11-24 40960]

Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-11-9 805392]

NkbMonitor.exe.lnk - c:\programme\Nikon\PictureProject\NkbMonitor.exe [2007-12-25 118784]

Philips GoGear Spark Device Manager.lnk - c:\programme\Philips\GoGear Spark Device Manager\main.exe [2010-3-11 124784]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2008-05-02 01:42        72208        ----a-w-        c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^officejet 6100.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\officejet 6100.lnk

backup=c:\windows\pss\officejet 6100.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2008-01-11 20:16        39792        ----a-w-        c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]

2005-05-04 09:59        794624        ----a-w-        c:\programme\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2009-01-05 14:18        413696        ----a-w-        c:\programme\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\programme\Microsoft ActiveSync\iPAQ Voice Messenger\rapimgr.exe"= c:\programme\Microsoft ActiveSync\iPAQ Voice Messenger\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\programme\Microsoft ActiveSync\iPAQ Voice Messenger\wcescomm.exe"= c:\programme\Microsoft ActiveSync\iPAQ Voice Messenger\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\programme\Microsoft ActiveSync\iPAQ Voice Messenger\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\iPAQ Voice Messenger\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

.

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23.02.2009 22:56 691696]

R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [11.07.2003 15:22 14912]

R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];c:\windows\system32\drivers\sleen15.sys [21.02.2007 14:33 80232]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.03.2009 22:59 136360]

R3 HidMouse;HidMouse;c:\windows\system32\drivers\HidMouse.sys [08.03.2007 21:43 30848]

R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22.08.2005 11:06 231424]

S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [17.02.2008 13:30 4352]

S3 dtwmnic5;Telekom Eumex 504PC SE;c:\windows\system32\DRIVERS\dtwmnic5.sys --> c:\windows\system32\DRIVERS\dtwmnic5.sys [?]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [17.02.2008 13:30 265088]

S3 PAC207;CIF USB Camera;c:\windows\system32\drivers\PFC027.SYS [05.02.2009 16:27 505984]

S3 ulisa;Telekom ISDN-Adapter (USB);c:\windows\system32\Drivers\ulisa.sys --> c:\windows\system32\Drivers\ulisa.sys [?]

S3 Wdm1;USB Bridge Cable Driver;c:\windows\system32\drivers\usbbc.sys [11.03.2007 20:20 15576]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper        REG_MULTI_SZ           getPlusHelper

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2009-06-17 10:11        451872        ----a-w-        c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe

.

Inhalt des "geplante Tasks" Ordners

.

2011-06-17 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

2007-06-28 c:\windows\Tasks\FRU Task 2002-11-25 03:56ewlett-Packard2002-11-25 03:56p officejet 6100 series25DE561F89B8A4282FC607A70B3C882C952F172E173818408.job

- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2002-11-24 18:56]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.com/

uInternet Connection Wizard,ShellNext = hxxp://images.google.com/images?hl=en&lr=&ie=UTF-8&oe=UTF-8&q=&sa=N&tab=wi

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Free YouTube Download - c:\dokumente und einstellungen\s\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\dokumente und einstellungen\s\Anwendungsdaten\Mozilla\Firefox\Profiles\69q0roxi.default\

FF - prefs.js: browser.search.defaulturl - 

FF - prefs.js: browser.search.selectedEngine - 

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: DivX Plus Web Player HTML5 &lt;video&gt;: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\programme\DivX\DivX Plus Web Player\firefox\html5video

FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\programme\DivX\DivX Plus Web Player\firefox\wpa

FF - user.js: yahoo.homepage.dontask - true

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

BHO-{184AA5E6-741D-464a-820E-94B3ABC2F3B4} - (no file)

MSConfigStartUp-DAEMON Tools Lite - c:\programme\DAEMON Tools Lite\daemon.exe

MSConfigStartUp-iTunesHelper - c:\programme\iTunes\iTunesHelper.exe

MSConfigStartUp-swg - c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

AddRemove-Adobe Acrobat 5.0 - c:\windows\ISUN0407.EXE

AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe

AddRemove-S3 - c:\windows\IsUn0407.exe

AddRemove-Siedler3Deinstall - c:\windows\IsUn0407.exe

AddRemove-{A2B58B18-5D04-4006-9713-B6945880746E} - c:\dokumente und einstellungen\s\Lokale Einstellungen\Anwendungsdaten\{B278BA8C-C407-4742-B58E-CE34D8C8A15B}\Setup.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-06-17 15:19

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  Cpqset = c:\programme\HPQ\Default Settings\cpqset.exe????????????6?4?1?2??????? ???B?????????????hLC???????? 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(552)

c:\windows\system32\Ati2evxx.dll

c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll

c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll

.

- - - - - - - > 'explorer.exe'(1872)

c:\programme\Logitech\SetPoint\lgscroll.dll

c:\progra~1\WINDOW~1\wmpband.dll

c:\windows\system32\msi.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\programme\avmwlanstick\WlanNetService.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE

c:\programme\Avira\AntiVir Desktop\avshadow.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\Ati2evxx.exe

c:\programme\Microsoft ActiveSync\iPAQ Voice Messenger\Wcescomm.exe

c:\programme\HPQ\SHARED\HPQWMI.exe

c:\progra~1\MI3AA1~1\IPAQVO~1\rapimgr.exe

c:\programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE

c:\programme\Skype\Plugin Manager\skypePM.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-06-17  15:26:52 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-06-17 13:26

.

Vor Suchlauf: 12 Verzeichnis(se), 17.588.097.024 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 61.164.326.912 Bytes frei

.

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

.

- - End Of File - - C2E3B14DB4738EE19C9ECF8CEC6CFBF3

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

das OTL hat nicht geklappt, aber die anderen beiden sind im Anhang

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Ich bin noch dabei die scans durchzuführen. Momentan hat mein rechner aber das Problem, dass die CPU-Auslastung immer zwischen 80 und 100 Prozent liegt. für den Malwarebytes-scan braucht er bereits 12 stunden.

also, logs kommen noch

hier erstmal der malware log

hab den anderen scan jetzt auch, hat ewig gedauert! 31 stunden gedauert...

wie bekomme ich den die cpu auslastung wieder auf normal?

Zitat:

wie bekomme ich den die cpu auslastung wieder auf normal?

Welcher Prozess verursacht die Auslastung? Besorg dir am besten mal den ProcessExplorer und mach davon ein Screenshot.

So, hier jetzt der ESET log.

Ich starte mal kurz neu und dann stell ich die prozess exe hoch

Wenn ich meinen Rechner hochfahre, kommt jetzt immer die meldung:
Load DLL
Hook Load Failed

kann nur mit okay bestätigt werden.

im Anhang habe ich noch eine txt datei, in der die CPU Auslastung drin ist.
Wenige Minuten später habe ich dann noch die Screenshots gemacht, da war sie dann deutlich niedriger...

und zack ist sie wieder oben :(

Ich seh da nur den Leerlaufprozess (System Idle Process) mit einer Auslastung von ~98 %
D.h. dein System macht zu 98% NICHTS - ist also zu 2% ausgelastet. Oder ist mir CPU-Last entgangen?

Die System Interrupts:

Interrupts n/a 66.15 0 K 0 K Hardware Interrupts and DPCs
sind teilweise extrem hoch.
naja, egal.

ist mein rechner jetzt wieder clean?
soll ich die ganzen programme behalten?
muss ich jetzt noch irgendwas machen?

ansonsten bleibt mir nur zu sagen:
vielen Dank für deine hilfe! echt super, wie du mir geholfen hast!

hat wunderbar geklappt, dein Tipp! :D

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Ja, das werde ich machen! Echt cool! :abklatsch:
Echt super!

Vielen lieben Dank Arne!

Finde ich echt cool, dass du dir die Zeit für mein Problem genommen hast!

Lieber Gruß,

Maron