Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   DLL-Probleme und Neustart durch Automatisches Update (https://www.trojaner-board.de/70940-dll-probleme-neustart-automatisches-update.html)

Tyreal 12.03.2009 10:55
DLL-Probleme und Neustart durch Automatisches Update
 
Hallo,
habe folgendes Problem:
Beim Starten des PCs kommt die Fehlermeldung:

Zitat:
Fehler beim Laden von C:\WINDOWS\system32\Sxanewiyohup.dll
Das angegebene Modul wurde nicht gefunden.
Nach einiger Zeit schaltet sich dann das automatische Update von Windows ein, welches mir sagt, das mein PC nach 5 Minuten neu gestartet wird.
Das Update lässt sich nicht mehr ausschalten, nur mit später neu starten ablenken,aber dann kommt die Meldung bald wieder und manchmal braucht mein PC ungewöhnlich beim hochfahren.

Hatte vor 3 Tagen nen Angriff von Trojanern, mein Virenscanner is im Dreieck gesprungen, hat aber alles entfernt und spybote findet auch nix mehr.

Hier mein Hijack-Log:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:45:58, on 12.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\1200649074\ee\AOLSoftware.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\Razer\Lycosa\razerhid.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA\InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\AOL 9.0 VR\waol.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\Razer\Lycosa\razertra.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AOL 9.0 VR\shellmon.exe
C:\Programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.093\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: mscorewr - {00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000} - C:\WINDOWS\system32\mscorewr.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1200649074\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [Lycosa] "C:\Programme\Razer\Lycosa\razerhid.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\InternetSecurity\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [Mmetacola] rundll32.exe "C:\WINDOWS\Sxanewiyohup.dll",e
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VR\AOL.EXE" -b
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 7966 bytes

undoreal 12.03.2009 12:26
Halli hallo Tyreal
:hallo:



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Überprüfe den Rechner danach mit SuperAntiSpyware und Anti-Malware und poste die logs.



Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
  • Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
    Installiert bleiben dürfen nur Anti-Malware oder SuperAntispyware ohne Wächter.
    .
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update der Viren-Signaturen deines Anti-Viren Programmes.
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Installation des aktuellen ServicePacks:.
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Abschalten unnötiger Dienste:.
  • Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
    • Sicherheit: -> höchste Stufe
      Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume mit cCleaner auf; Punkte 1&2.
    .
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista


AVP-Tool
  • Downloade dir das Tool: Kaspersky Virus Removal Tool Download
  • Installiere es wie vorgeschlagen.
  • Räume mit dem cCleaner auf. Punkte 1&2
  • Starte das AVP-Tool.
  • Setze unter Automatic Scan alle verfügbaren Häkchen so dass dein gesammter Computer untersucht wird.
  • Klicke im Hauptfenster unter Settings auf "Security Level".
  • Klicke unter Security Level auf "Customize..."
    • General:
      • File types: Scan all files.
      • Productivity: Keine Häkchen setzen.
      • Compound files: Alle Häkchen setzen:
        • Scan All archives.
        • Scan All emdedded OLE objects.
        • Parse e-mail formats.
        • Scan passwort protected archives. (Das wird dazu führen, dass du während des Scans nach den Passwörtern für die Archive gefragt wirst. Weisst du diese grade nicht mehr kannst du die Untersuchung des Archives einfach überspringen.
    • Heuritic analyzer: Alle drei Häkchen setzen und den Schieberegler ganz nach rechts auf "High" stellen.
      • Rootkit Search:
        • Enable rootkits search
        • Enable deep rootkits search
      • Use heuristic analizer:
        • Häkchen setzen
        • Schieberegler ganz nach rechts auf "High" stellen.
  • Übernehme alle Einstellungen durch Klicken des "OK"-Buttons.
  • Stelle im Hauptfenster nocheinmal sicher, dass dein gesammter PC untersucht wird und starte den Scan durch Klicken des "Scan"-Buttons.

Der Scan beginnt in einem neuen Fenster.
Er kann je nach Datenvolumen und Leistungsindex des Computers mehrere Stunden dauern.
Nach Abschluss des Scans wirst du über gefundene Objekte informiert.
Folge den empfohlenen Maßnahmen!
Zuerst wird Kaspersky versuchen die schädliche Datei zu desinfizieren.
Ist das nicht möglich wird sie unter Quarantäne gestellt oder gelöscht. Dabei wird immer ein Backup angelegt! Zögere also nicht die Funde löschen zu lassen.
In besonderen Fällen wird Kaspersky eine Desinfektions-Routine einleiten die einen Neustart des PCs beinhaltet. Folge auch hier einfach den Anweisungen.
Nachdem alle Funde gelöscht wurden klicke auf den "Report"-Button und kopiere den kompletten Bericht.
Füge ihn bitte in deinen nächsten Beitrag hier am Forum ein. Dieser Bericht ist für weitere Analysen sehr wichtig und sollte unbedingt gepostet werden!


Poste danach ein frisches HJT log.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:00 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129