Viren kommen immer wieder
 

Hi, ich hab nen mir ihrgendwas dickes eingefangen, keine ahnung was.
War auf so einer Seite am surfen, hab auf einen Link geklickt, dann hat sich über java irgendein angebliches Antivirenprogramm gedownloaded.
Nunja, ich muss seitdem mindestens 2x täglich mein system wieder neu Raufspiegeln.
Das Image müsste eigentlich sauber sein, hab alle externen Datenträger abgenommen und es mit einem Bootfähigem Acronis TrueImage gespiegelt,
Bootsektoren und auch gelöscht (Keine ahnung ob das was bringt).

Leider mürde ich gerne meine 2te TB Platte nicht formatieren, da sie fast voll mit Daten ist.
Nunja, Windows läuft nach dem aufsetzen immer Reibungslos, aber nach nem Halben Tag, oder manchmal auch 4 stunden, stürzt die Explorer.exe ab, wenn ich dann neustarte bekomme ich einen Bluescreen und der Rechner geht aus.
Dann muss ich neu aufsetzen.
Hab MalwareBytes auch schön drüber laufen lassen, danach hatte ich aber auch nen Bluescreen und musste neu aufsetzen.
Auf die Server von Microsoft komme ich auch nicht, kann mir somit kein SP3 runterladen
Hier ist mal mein Hijack log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steam\Steam.exe
C:\Programme\TeamSpeak 3 Client\ts3client_win32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtblfs.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\TrueCrypt\TrueCrypt.exe
Z:\Software\HiJackThis204.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Mein System:
WinXP x86 SP2
Gigabyte ep31-ds3l Board
POV Geforce 9800GTX+
4GB DDR2 1066 RAM
Intel core 2 Quad Q9650

Mein System ist jetzt gerade wieder frisch, wenn die Explorer.exe abschmiert, poste ich nochmal nen Log, vielleicht hat sich ja dann was verändert.

Hoffe ihr könnt mir helfen.
Frohe Weihnachten :-)

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Malwarebytes:


Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5391

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

25.12.2010 03:04:37
mbam-log-2010-12-25 (03-04-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Z:\|)
Durchsuchte Objekte: 228588
Laufzeit: 26 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{d34fbefd-2e09-4bf9-b4bd-0029a725c269}\RP13\A0002892.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\calc.exe (Trojan.Agent.Gen) -> No action taken.


Meinste ich soll die beiden funde löschen?
Beim letzten durchlauf waren es 380 funde, habe alle gelöscht und durfte danach neu aufsetzen, habe die alte logfile leider nicht mehr

Die OTLs sind zu lang um sie zu posten, und zu groß um sie als Anhang hochzuladen, habe sie desswegen bei zippyshare hochgeladen:

OLT:
hxxp://www51.zippyshare.com/v/67145470/file.html
Extras:
hxxp://www51.zippyshare.com/v/26940427/file.html
OTL2:
hxxp://www51.zippyshare.com/v/15286076/file.html
Extras2:
hxxp://www51.zippyshare.com/v/30676827/file.html

hoffe es stört nicht :-)

Waru bekomme ich eigentlich 2 OTLs und Etras?

Schade, anscheinend kann mir hier, wie in den x-tausend anderen foren, auch keiner helfen

:lach: :rofl:

Rate mal woran das vllt liegen kann? Tipp: Schau aufs Datum :rofl:

Also wenn ich auf's Datum schaue, dann sehe ich eine Zeitspanne vom 25.12.2010, 00:48h bis zum 26.12.2010., 19:42h.
Was daran ungewöhnlich sein soll ist mir ein Rätzel O.o?

Gibt es hier sonst noch Leute die nicht lesen können, oder einfach mal sinnlose Kommentare abgeben wollen?

Hm, wenn mich nicht alles täuscht wird in genau diesen Tagen jedes Jahr ein Fest zelebriert, üblicherweise mit Familie, Tannenbaum, Geschenken, gutes Essen. Klingelt's nun warum man dir nicht zeitnah antworten konnte/wollte? :rolleyes:
Tante Edith sagt: Wenn du es erraten hast gehts weiter :D

Nein es klingelt sowas von garnicht!
Das mag ja sein mit Weihnachten und Silvester, aber über und unter mir sehe ich dauernd neue Posts!

Es kommt auch mal vor, dass Threads übersehen werden. In so einem Falle kann man auch einfach ein freundliches Erinnerungsposting verfassen statt rumzujammern und lauter Unverständnis zu zeigen. :balla:

Bitte mal mal ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Sorry, war ja nicht so gemeint!
...bin bloß am verzweifeln, weil mein Rechner immer Reibungslos Funktioniert hat, und ich nie gedacht hätte das es einmal mich so hart treffen würde!

Okay, folgendes ist passiert:
ComboFix als Combi.exe Runtergeladen, alle Sachen wie Firefox, Steam, Kaspersky, usw. geschlossen.
Auch in den Prozessen nachgeschaut ob wirklich alles zu ist.
Lediglich Truecrypt habe ich aufgelassen weil ich nen Container am Laufen habe der ja mitgescanned werden soll:
Nach dem Start kam schonmal folgende Meldung
Bitte warten.
Combofix wird vorbereitet, um ausgeführt zu werden

Systemfile ist infected !! Attempting to restore
"C:\WINDOWS\regedit.exe"

Kann das noch damit zusamenhängen das ich mal mit dem "Wise Registry Cleaner" vorgegangen bin?
Habe aber seit der Aktion mindestens 2x mein Backup neu Aufgespielt!

Okay, als nächstes hat ComboFix dann gescanned, dann aber mit der Meldung:
"KombiFix hat die Awesenheit von Rootkitaktivitäten festgestellt und muss nun den PC neu starten"
...oder so ähnlich, neugestartet

Nach dem Restart hat sich Combifix dann nochmal mit der ersten Meldung geöffnet, wieder geschlossen und Windows wurde Normal Gestartet.

...Als mir aufgefallen ist das ich Combi,- statt Confiexe geschrieben habe, habe ich sie erneut heruntergeladen.
Diesmal aber richtig.

Danach erschien nur die Meldung (oder eher Hinweis):
Bitte warten.
Combofix wird vorbereitet, um ausgeführt zu werden

"KombiFix hat die Anwesenheit von Rootkitaktivitäten festgestellt und muss nun den PC neu starten"
erschien aber weiterhin.
Nach dem Neustart erschien dann aber die Meldung:
Bitte warten.
Combofix wird vorbereitet, um ausgeführt zu werden

Systemfile ist infected !! Attempting to restore
"C:\WINDOWS\regedit.exe"
Zugriff verweigert
und alle Windows-Dienste wurden wieder normal gestartet

Sicher richtig gelesen :rofl: du solltest es cofi.exe abspeichern
Ein Log hast du nicht von CF? Schau nach in C:\combofix.txt oder C:\Qoobox