Trojaner-Board - Nach Hochfahren des Rechners, win xp, keine Icons auf Desktop, keine Taskleiste

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Nach Hochfahren des Rechners, win xp, keine Icons auf Desktop, keine Taskleiste (https://www.trojaner-board.de/94368-hochfahren-rechners-win-xp-keine-icons-desktop-keine-taskleiste.html)

hi rea,

konnte jetzt wieder auf die externe Festplatte zugreifen.
Hier die malware logfile:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5489

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.01.2011 18:52:52
mbam-log-2011-01-12 (18-52-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (F:\|)
Durchsuchte Objekte: 185535
Laufzeit: 8 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

gruß
yussi28

Okay, dann gehts jetzt so weiter. Es ist wichtig, dass du vor dem nächsten Schritt dein AVG deinstallierst. Nach dem Scan kannst du es wieder installieren.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Danke @ Larusso :)
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hi rea,

hier ist der logfile von CoFi:

Combofix Logfile:

Code:

ComboFix 11-01-14.01 - Yusuf 14.01.2011  23:42:28.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1271.881 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Yusuf\Desktop\CoFi.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokume~1\Yusuf\LOKALE~1\Temp\tmp4.tmp

c:\dokumente und einstellungen\Hala\Desktop\Internet Explorer.lnk

c:\dokumente und einstellungen\Yusuf\Lokale Einstellungen\Temp\tmp4.tmp
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-12-14 bis 2011-01-14  ))))))))))))))))))))))))))))))

.
 

2011-01-14 22:20 . 2011-01-14 22:20        --------        d-----w-        c:\programme\CCleaner

2011-01-10 22:07 . 2011-01-10 22:07        --------        d-----w-        c:\windows\system32\LogFiles

2011-01-10 21:31 . 2011-01-10 21:31        --------        d-----w-        c:\dokumente und einstellungen\Hüsna\Anwendungsdaten\AVG10

2011-01-10 21:31 . 2011-01-10 21:31        --------        d-----w-        c:\dokumente und einstellungen\Hüsna\Anwendungsdaten\Malwarebytes

2011-01-10 21:30 . 2011-01-10 21:30        --------        d-----w-        c:\dokumente und einstellungen\Abdullah\Anwendungsdaten\AVG10

2011-01-10 21:30 . 2011-01-10 21:30        --------        d-----w-        c:\dokumente und einstellungen\Abdullah\Anwendungsdaten\Malwarebytes

2011-01-10 21:30 . 2011-01-10 21:30        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache

2011-01-09 21:02 . 2011-01-09 21:02        --------        d-----w-        c:\programme\ESET

2011-01-09 19:57 . 2011-01-09 19:57        --------        d-----w-        c:\dokumente und einstellungen\Yusuf\Anwendungsdaten\Malwarebytes

2011-01-09 19:57 . 2011-01-09 19:57        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2011-01-09 19:57 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-01-09 19:57 . 2011-01-09 19:57        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2011-01-09 19:57 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-01-08 00:02 . 2011-01-08 00:02        --------        d-----w-        C:\_OTL

2011-01-01 22:07 . 2011-01-01 22:07        --------        d-----w-        c:\dokumente und einstellungen\Yusuf\Anwendungsdaten\Uniblue

2011-01-01 22:07 . 2011-01-01 22:07        --------        d-----w-        c:\dokumente und einstellungen\Yusuf\Lokale Einstellungen\Anwendungsdaten\PackageAware

2010-12-31 21:47 . 2011-01-13 21:43        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2010-12-31 21:28 . 2010-12-31 21:28        --------        d-----w-        C:\$AVG

2010-12-30 14:55 . 2010-12-30 14:55        --------        d-----w-        c:\dokumente und einstellungen\Yusuf\Anwendungsdaten\AVG10

2010-12-30 14:54 . 2010-12-30 14:54        --------        d--h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Common Files

2010-12-30 14:51 . 2011-01-14 22:04        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG10

2010-12-30 14:50 . 2011-01-13 21:44        --------        d-----w-        c:\programme\AVG

2010-12-30 14:49 . 2010-12-30 14:50        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MFAData

2010-12-23 19:55 . 2010-11-02 15:17        40960        -c----w-        c:\windows\system32\dllcache\ndproxy.sys

2010-12-23 19:54 . 2010-10-11 14:59        45568        -c----w-        c:\windows\system32\dllcache\wab.exe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-18 18:12 . 2010-05-12 21:59        86016        ----a-w-        c:\windows\system32\isign32.dll

2010-11-12 17:53 . 2010-06-14 15:27        472808        ----a-w-        c:\windows\system32\deployJava1.dll

2010-11-12 15:34 . 2010-06-14 15:27        73728        ----a-w-        c:\windows\system32\javacpl.cpl

2010-11-09 14:51 . 2010-05-12 21:59        249856        ----a-w-        c:\windows\system32\odbc32.dll

2010-11-06 00:21 . 2004-08-05 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2010-11-06 00:21 . 2004-08-05 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2010-11-06 00:21 . 2004-08-05 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2010-11-03 12:25 . 2004-08-05 12:00        385024        ----a-w-        c:\windows\system32\html.iec

2010-11-02 15:17 . 2010-05-12 21:59        40960        ----a-w-        c:\windows\system32\drivers\ndproxy.sys

2010-10-28 13:12 . 2010-05-12 21:59        290048        ----a-w-        c:\windows\system32\atmfd.dll

2010-10-26 14:05 . 2010-05-12 21:59        1853440        ----a-w-        c:\windows\system32\win32k.sys

2005-09-14 09:58 . 2005-11-07 08:54        20480        ----a-w-        c:\programme\Gemeinsame Dateien\UninstallDrv.exe

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2009-04-29 268800]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-05 94208]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-04-05 77824]

"Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-05 114688]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2009-04-29 268800]
 

c:\dokumente und einstellungen\Yusuf\Startmen\Programme\Autostart\

OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

RC.lnk - c:\programme\C&E\DTV\RC.exe [2005-11-7 49152]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-9-4 65588]
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           \0
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [03.05.2010 19:29 61440]

S3 AF05BDA;AF9005 BDA Device;c:\windows\system32\drivers\AF05BDA.sys [03.05.2010 18:08 122752]

S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [03.05.2010 19:29 17280]

S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [03.05.2010 19:29 17152]

S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [03.05.2010 19:28 19200]

.

Inhalt des "geplante Tasks" Ordners
 

2011-01-14 c:\windows\Tasks\WGASetup.job

- c:\windows\system32\KB905474\wgasetup.exe [2010-05-13 20:18]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

HKLM-Run-Cmaudio - cmicnfg.cpl
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-01-14 23:47

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(288)

c:\windows\system32\webcheck.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\wscntfy.exe

c:\windows\system32\RunDll32.exe

c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE

c:\programme\OpenOffice.org 3\program\soffice.exe

c:\programme\OpenOffice.org 3\program\soffice.bin

c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe

c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe

c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-01-14  23:51:41 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-01-14 22:51
 

Vor Suchlauf: 7 Verzeichnis(se), 53.496.934.400 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 53.592.936.448 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

- - End Of File - - FAB7B1029CFFE877E777C73CDC1E79D5

--- --- ---

gruß
yussi28

Okay, dann hab ich hier die letzten Schritte für dich :)

1.) Windowsupdates

Besuche bitte mit dem Internet Explorer die Microsoftupdate-Seite und lade dir über die Benutzerdefinierte Suche alle angebotenen Updates herunter.

Alternativ kannst du dir die Updates auch mit dem Mozilla Firefox laden, du benötigst dafür aber das AddOn IE View.

2.) Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

Doppelklick auf OTL.exe um das Programm auszuführen.
Klicke auf den Button "CleanUp!"
OTL fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

3.) Systemwiederherstellung leeren

Start --> Alle Programme--> Zubehör --> Systemprogramme --> Systemwiederherstellung
Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
Gebe den Punkt einen merkbaren Namen ( z.B. Bereinigung) ein --> Erstellen --> Schließen.
Start --> Ausführen --> cleanmgr (reinschreiben) --> OK --> Reiter Weitere Optionen
Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja --> OK

Und für die Zukunft: Sicherheit im Internet

Hio rea,

habe alles durchgeführt, cofi ist noch da.
Vielen Dank nochmals, jetzt läuft der PC wieder "bombastisch"!
Habe noch einen neueren PC mit Win7, könntest Du hier auch mal drüberschauen? Bekomme immer eine Meldung von Mc Affee, dass ich diesen registrieren muß, da ich sonst keinen ausreichenden Schutz habe. Habe bisher immer weggedrückt, weil ich denke, dass es mit Kosten verbunden ist.
Kannst Du mir da einen Tip geben?

gruß yussi28

Achja Combofix, mach bitte noch das hier auf dem System:

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix /Uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.

Zitat:

Bekomme immer eine Meldung von Mc Affee, dass ich diesen registrieren muß, da ich sonst keinen ausreichenden Schutz habe.

Nimm lieber Avira Antivir in der Free Edition. Da wird soweit ich weiß auch nach einer Registrierung gefragt, aber die muss man nicht machen und kann einfach die Punkte bei der Auswahl entfernen. Hast du denn Probleme mit dem Rechner?

Hallo rea,

habe jetzt auch ComboFix nicht mehr auf dem Rechner.
Muss ich denn Mc Affee deinstallieren, wenn ich auif meinem neuen Rerchner Avira installiere? Habe eigentlich so keine Probleme mit dem Rechner.
Ich danke Dir für Deine unermüdliche Mühe, würde mir wünschen, dass ich auch Dir helfen könnte.
Bist Du beruflich auch in der "Computer-Branche?
Auf jedenfall wünsche ich Dir viel Erfolg!

gruß
yussi28

Ja, man sollte nie zwei Antivirenprogramme auf einem Rechner laufen lassen.

Beruflich hab ich mit Computern nichts zu tun, ich mach das nur in meiner Freizeit :)