Trojaner-Board - Trojaner: weißer Bildschirm "Bitte warten Sie während die Verbindung hergestellt wird"

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner: weißer Bildschirm "Bitte warten Sie während die Verbindung hergestellt wird" (https://www.trojaner-board.de/116247-trojaner-weisser-bildschirm-bitte-warten-waehrend-verbindung-hergestellt.html)

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo Arne,

hier ist das Log-File des ComboFix-Prozesses:

Combofix Logfile:

Code:

ComboFix 12-06-26.02 - Dargel 27.06.2012   0:49.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.447.223 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Dargel\Desktop\ComboFix.exe

AV: FortiClient AntiVirus *Disabled/Updated* {C86EC76D-5A4C-40E7-BD94-59358E544D81}

FW: FortiClient Personal Firewall *Disabled* {528CB157-D384-4593-AAAA-E42DFF111CED}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Dargel\WINDOWS

c:\windows\IsUn0407.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-05-26 bis 2012-06-26  ))))))))))))))))))))))))))))))

.

.

2012-06-26 22:39 . 2012-06-26 22:39        --------        d-----w-        C:\Treiber

2012-06-16 17:35 . 2012-06-16 17:35        --------        d-----w-        c:\programme\ESET

2012-06-12 21:35 . 2012-06-12 21:35        --------        d-----w-        c:\dokumente und einstellungen\Dargel\Anwendungsdaten\Malwarebytes

2012-06-12 21:35 . 2012-06-12 21:35        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2012-06-12 21:35 . 2012-06-26 22:38        --------        d-----w-        c:\programme\Malwarebytes_Anti-Malware

2012-06-12 21:35 . 2012-04-04 13:56        22344        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-06-12 21:33 . 2012-06-26 22:38        --------        d-----w-        C:\temp

2012-06-04 05:22 . 2011-07-13 02:55        2237440        ----a-r-        C:\OTLPE.exe

2012-06-04 05:22 . 2012-06-03 22:39        --------        d-----w-        C:\_OTL

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-06-26 22:34 . 2012-04-01 18:20        426184        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-06-26 22:34 . 2011-05-21 09:36        70344        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"VTTimer"="VTTimer.exe" [2003-05-07 36864]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"SoundMan"="SOUNDMAN.EXE" [2004-09-16 69632]

"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]

"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-01-24 198160]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

Adobe Gamma Loader.exe.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2010-10-2 113664]

ExifLauncher2.lnk - c:\programme\FinePixViewer\QuickDCF2.exe [2009-8-2 303104]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Fortinet\\FortiClient\\ipsec.exe"=

"c:\\Programme\\Fortinet\\FortiClient\\FortiProxy.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

.

R1 FARegMon;FARegMon;c:\windows\system32\drivers\fortirmon.sys [25.05.2009 11:04 46112]

S1 FAFileMon;FAFileMon;c:\windows\system32\drivers\fortimon2.sys [25.05.2009 11:04 38432]

S1 FortiPFW;FortiPFW;c:\windows\system32\drivers\fortipfw.sys [25.05.2009 11:04 119712]

S1 FortiShield;FortiShield;c:\windows\system32\drivers\fortishield.sys [25.05.2009 11:04 33312]

S2 FortiRdr;FortiRdr;c:\windows\system32\drivers\FortiRdr.sys [25.05.2009 11:04 29728]

S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [29.02.2012 08:50 158856]

S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [01.04.2012 20:20 250056]

S3 DCamUSBET;ET USB 2710 Camera;c:\windows\system32\drivers\etDevice.sys [01.09.2011 23:28 88704]

S3 DCamUSBNW802;Mustek Wcam 300;c:\windows\system32\DRIVERS\pcam.sys --> c:\windows\system32\DRIVERS\pcam.sys [?]

S3 FiltUSBET;ET USB Device Lower Filter;c:\windows\system32\drivers\etFilter.sys [01.09.2011 23:28 102912]

S3 ScanUSBET;ET USB Still Image Capture Device;c:\windows\system32\drivers\etScan.sys [01.09.2011 23:28 5760]

.

Inhalt des "geplante Tasks" Ordners

.

2012-06-26 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-01 22:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uInternet Settings,ProxyOverride = *.local

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\dokumente und einstellungen\Dargel\Anwendungsdaten\Mozilla\Firefox\Profiles\hba7gekd.default\

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de

FF - prefs.js: network.proxy.type - 0

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Stealthy: stealthyextension@gmail.com - %profile%\extensions\stealthyextension@gmail.com

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-Adobe Photoshop 5.5 - c:\windows\ISUN0407.EXE

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-06-27 00:55

Windows 5.1.2600 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-06-27  00:58:30

ComboFix-quarantined-files.txt  2012-06-26 22:58

.

Vor Suchlauf: 9 Verzeichnis(se), 11.141.664.768 Bytes frei

Nach Suchlauf: 12 Verzeichnis(se), 12.225.273.856 Bytes frei

.

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

.

- - End Of File - - 74E402EDC04B484E7E893516FD4A7445

Gruß, Andy

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hallo Arne,

kleine Zwischenfrage: Wieviele Scanner müssen denn noch angewendet werden? Mittlerweile sind ja bereits etliche Programme ausgeführt worden.

Gruß, Andy

Zitat:

Mittlerweile sind ja bereits etliche Programme ausgeführt worden.

Wir sind fast fertig
Eine Bereinigung erfordert nunmal viele Tools oder glaubst du Schädlinge sind garantiert sicher mit einem Knopfdruck weg :rolleyes:

Hallo Arne,

kein Problem, die Frage diente nur dazu, für mich eine Orientierung zu bekommen, wie weit wir in etwa sind.

Hier kommen nun die weiteren Log-Files:

GMER hat nach dem Scanprozess nur die folgende Meldung angezeigt:

"GMER hasn't found any system modification"

Beim Klick auf Copy wurde kein Log-File in die Zwischenablage kopiert.

Das Log-File von OSAM lautet:

OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 22:10:46 on 29.06.2012
 

OS: Windows XP Professional Service Pack 2 (Build 2600)

Default Browser: Mozilla Corporation Firefox 3.6.28
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Common]

-----( %SystemRoot%\Tasks )-----

"Adobe Flash Player Updater.job" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl

"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"catchme" (catchme) - ? - C:\DOKUME~1\Dargel\LOKALE~1\Temp\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"ET USB 2710 Camera" (DCamUSBET) - "eMPIA Technology, Inc." - C:\WINDOWS\System32\DRIVERS\etDevice.sys

"ET USB Device Lower Filter" (FiltUSBET) - "eMPIA Technology Inc." - C:\WINDOWS\System32\DRIVERS\etFilter.sys

"ET USB Still Image Capture Device" (ScanUSBET) - "eMPIA Technology, Inc." - C:\WINDOWS\System32\DRIVERS\etScan.sys

"FAFileMon" (FAFileMon) - "Fortinet Inc" - C:\WINDOWS\system32\drivers\fortimon2.sys

"FARegMon" (FARegMon) - "Fortinet Inc" - C:\WINDOWS\system32\drivers\fortirmon.sys

"FortiPFW" (FortiPFW) - "Fortinet Inc" - C:\WINDOWS\system32\drivers\FortiPFW.sys

"FortiRdr" (FortiRdr) - "Fortinet Inc" - C:\WINDOWS\system32\drivers\FortiRdr.sys

"FortiShield mini-filter driver" (FortiShield) - "Fortinet Inc" - C:\WINDOWS\system32\drivers\fortishield.sys

"fwldypow" (fwldypow) - ? - C:\DOKUME~1\Dargel\LOKALE~1\Temp\fwldypow.sys  (Hidden registry entry, rootkit activity | File not found)

"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"Mustek Wcam 300" (DCamUSBNW802) - ? - C:\WINDOWS\System32\DRIVERS\pcam.sys  (File not found)

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Handler )-----

{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL

{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll

{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL

{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll

{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - C:\PROGRA~1\WinZip\WZSHLSTB.DLL

{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - C:\PROGRA~1\WinZip\WZSHLSTB.DLL

{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - C:\PROGRA~1\WinZip\WZSHLSTB.DLL
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"Adobe Gamma Loader.exe.lnk" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe  (Shortcut exists | File exists)

"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

"ExifLauncher2.lnk" - "FUJIFILM Corporation" - C:\Programme\FinePixViewer\QuickDCF2.exe  (Shortcut exists | File exists)

"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\Dargel\Startmenü\Programme\Autostart\desktop.ini

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"CanonMyPrinter" - "CANON INC." - C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon

"CanonSolutionMenu" - "CANON INC." - C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon

"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"

"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime

"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

"TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"Canon BJNP Port" - "CANON INC." - C:\WINDOWS\system32\CNMNPPM.DLL

"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"Adobe Flash Player Update Service" (AdobeFlashPlayerUpdateSvc) - "Adobe Systems Incorporated" - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe

"FA_Scheduler" (FA_Scheduler) - "Fortinet Inc." - C:\Programme\Fortinet\FortiClient\scheduler.exe

"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe

"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe

"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

"Skype Updater" (SkypeUpdate) - "Skype Technologies" - C:\Programme\Skype\Updater\Updater.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)
 

[Winsock Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----

"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===

Das Log-File von aswMBR lautet:

Code:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-06-29 22:20:54

-----------------------------

22:20:54.671    OS Version: Windows 5.1.2600 Service Pack 2

22:20:54.671    Number of processors: 1 586 0x801

22:20:54.671    ComputerName: SHUTTLE  UserName: Dargel

22:20:54.921    Initialize success

22:23:41.421    AVAST engine defs: 12062902

22:25:19.968    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

22:25:19.968    Disk 0 Vendor: Maxtor_6Y080L0 YAR41BW0 Size: 78167MB BusType: 3

22:25:19.984    Disk 0 MBR read successfully

22:25:19.984    Disk 0 MBR scan

22:25:20.109    Disk 0 Windows XP default MBR code

22:25:20.125    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        20002 MB offset 63

22:25:20.125    Disk 0 Partition - 00     0F Extended LBA             58149 MB offset 40965750

22:25:20.140    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        58149 MB offset 40965813

22:25:20.156    Disk 0 scanning sectors +160055595

22:25:20.265    Disk 0 scanning C:\WINDOWS\system32\drivers

22:25:29.234    Service scanning

22:25:45.218    Modules scanning

22:25:52.296    Disk 0 trace - called modules:

22:25:52.828    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS 

22:25:52.828    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84336030]

22:25:52.828    3 CLASSPNP.SYS[f754c05b] -> nt!IofCallDriver -> \Device\0000005e[0x84337f18]

22:25:52.828    5 ACPI.sys[f74a1620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x8437f4e0]

22:25:53.250    AVAST engine scan C:\WINDOWS

22:25:57.609    AVAST engine scan C:\WINDOWS\system32

22:27:40.078    AVAST engine scan C:\WINDOWS\system32\drivers

22:27:51.859    AVAST engine scan C:\Dokumente und Einstellungen\Dargel

22:28:49.484    AVAST engine scan C:\Dokumente und Einstellungen\All Users

22:29:27.953    Scan finished successfully

22:35:18.656    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Dargel\Desktop\MBR.dat"

22:35:18.750    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Dargel\Desktop\aswMBR.txt"

Vielen Dank schonmal und Gruß,

Andy

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Arne,

hier kommen die Logs der Vollscans mit Malwarebytes und SUPERAntiSpyware.
Bei beiden Tools habe ich vor dem Scan ein Update durchgeführt.

Logfile von Malwarebytes:

Code:

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.07.05.08
 

Windows XP Service Pack 2 x86 NTFS

Internet Explorer 6.0.2900.2180

Dargel :: SHUTTLE [Administrator]
 

06.07.2012 00:34:45

mbam-log-2012-07-06 (00-34-45).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 277469

Laufzeit: 1 Stunde(n), 33 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Logfile von SUPERAntiSpyware:

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 07/06/2012 at 04:06 AM
 

Application Version : 5.5.1006
 

Core Rules Database Version : 8853

Trace Rules Database Version: 6665
 

Scan type       : Complete Scan

Total Scan Time : 01:34:31
 

Operating System Information

Windows XP Professional 32-bit, Service Pack 2 (Build 5.01.2600)

Administrator
 

Memory items scanned      : 389

Memory threats detected   : 0

Registry items scanned    : 33151

Registry threats detected : 0

File items scanned        : 68043

File threats detected     : 15
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Dargel\Cookies\dargel@adtech[1].txt [ /adtech ]

        C:\Dokumente und Einstellungen\Dargel\Cookies\dargel@atdmt[1].txt [ /atdmt ]

        C:\Dokumente und Einstellungen\Dargel\Cookies\dargel@c.atdmt[2].txt [ /c.atdmt ]

        C:\Dokumente und Einstellungen\Dargel\Cookies\dargel@doubleclick[2].txt [ /doubleclick ]

        C:\Dokumente und Einstellungen\Dargel\Cookies\dargel@msnportal.112.2o7[1].txt [ /msnportal.112.2o7 ]

        broadcast.piximedia.fr [ C:\DOKUMENTE UND EINSTELLUNGEN\DARGEL\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\P3LWS2CS ]

        ia.media-imdb.com [ C:\DOKUMENTE UND EINSTELLUNGEN\DARGEL\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\P3LWS2CS ]

        media01.kyte.tv [ C:\DOKUMENTE UND EINSTELLUNGEN\DARGEL\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\P3LWS2CS ]

        objects.tremormedia.com [ C:\DOKUMENTE UND EINSTELLUNGEN\DARGEL\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\P3LWS2CS ]

        serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\DARGEL\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\P3LWS2CS ]

        static.pornturbo.com [ C:\DOKUMENTE UND EINSTELLUNGEN\DARGEL\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\P3LWS2CS ]

        www.shemale-porn-galls.com [ C:\DOKUMENTE UND EINSTELLUNGEN\DARGEL\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\P3LWS2CS ]

        www.unitymedia.de [ C:\DOKUMENTE UND EINSTELLUNGEN\DARGEL\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\P3LWS2CS ]
 

Trojan.Agent/Gen-FakeAV

        C:\PROGRAMME\WINRAR\DEFAULT.SFX
 

Trojan.Agent/Gen-Nullo[Short]

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{542FB846-21B5-45CB-8469-4DF1F6B84920}\RP385\A0048144.EXE

Nach dem SUPERAntiSpyware Scan habe ich die 15 gefundenen Threats in die Quarantäne verschieben lassen.

Gruß, Andy

Nur Cookies und naja wohl zwei Fehlalarme, wirklich wichtige Dateien sind das aber nicht

Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hallo Arne,

danke für die Tipps zu den Cookies! Das System scheint nun wieder in Ordnung zu sein.
SUPERAntiSpyware werde ich laut der Empfehlung in der Anleitung wieder deinstallieren. Oder soll, wenn möglich, nur der Wächter ausgeschaltet werden? Der bremst den Rechner nämlich erheblich.
Der ESETOnlineScanner hatte ja auch schon 15 Threats gefunden. Das scheinen wohl die gleichen zu sein, die durch SUPERAntiSpyware entdeckt wurden, oder soll ich den ESETOnlineScanner auch nochmal laufen lassen?
Sollen die Threats in Quarantäne bleiben oder gelöscht werden?
Es soll dann weiterhin der Wächter und die Firewall von FortiClient genutzt werden.

Eine Sache hätte ich noch: Und zwar läuft aufgrund eines vor geraumer Zeit mal fehlerhaften Updateprozesses der FortiClient-Software nach jedem Booten des Rechners ca. 1 Minute lang Checkdisk. Wie kann man das abschalten?

Ist der Rechner aus Deiner Sicht nun wieder voll einsetzbar bzw. sauber?

Vielen Dank schonmal und Gruß,

Andy

Überleg doch mal was eine Quarantäne ist. Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

FortiClient verwende ich nicht. Wieso willst du das weiterhin verwenden wenn es dich stört?

FortiClient stört mich nicht. Funktioniert recht gut und ressourcensparend.

Daß jedesmal nach dem Booten "Checkdisk" läuft ist etwas nervig. Wie kann man das unterbinden?

Gruß, Andy

Zitat:

Daß jedesmal nach dem Booten "Checkdisk" läuft ist etwas nervig. Wie kann man das unterbinden?

Soll ich das für dich Googlen oder weswegen fragst du das jetzt hier? :wtf:

Okay, ich vergaß, die Frage gehört natürlich nicht in diesen Thread! :stirn:

Haben wir es damit soweit geschafft? :party: :taenzer: :Boogie: :abklatsch:

Wenn ja, sage ich mal Danke vielmals für Deine Mühen!!

Viele Grüße, Andy

(Ich mußte einfach auch mal diese Smileys ausprobieren! :daumenhoc)

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => http://www.adobe.com/software/flash/about/
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.