Trojaner-Board - Erst schaltet der Rechner unverhofft aus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Erst schaltet der Rechner unverhofft aus - Jetzt Boot in Dauerschleife (https://www.trojaner-board.de/68713-erst-schaltet-rechner-unverhofft-boot-dauerschleife.html)

Erst schaltet der Rechner unverhofft aus - Jetzt Boot in Dauerschleife

Guten Tag allerseits,

nachdem ich nun über die Google-Suche versucht habe eine Problemlösung zu finden, jedoch keine genauen Ansätze für eben dieses Problem gefunden habe, hoffe ich darauf, dass ich hier Hilfe erhalten kann.

Vor ca. zwei Wochen haben sich unsere beiden Laptops mit einem Trojaner infiziert. Über die Suchmaschine konnte ich eine Lösung finden, wie die Burschen vertrieben werden können und habe die Schritte befolgt. Danach war erstmal alles super. Dann geschah folgendes:

Laptop Nr. 1:
Zirka zwei Tage nach der Trojaner-Aktion, ließ sich der eine Rechner nicht mehr hochfahren. Über den BIOS hinweg kam ich noch, gelangte dann in das Auswahlmenü indem man wählen kann, ob man Windows im abgesicherten Modus, mit letzter funktionierender Konfiguration oder what ever starten möchte. Egal, welche Auswahl getroffen wurde, es erschien für den Bruchteil einer Sekunde ein Bluescreen, danach wurde wieder neugestartet. Immer und immer wieder und nur dadurch abzubrechen, das die Powertaste betätigt wurde. Nach neuerlichem Einschalten dasselbe Phänomen. Wenige Tage später, als ich mich durchgerungen hatte Windows neu zu installieren, blieb der Bildschirm schwarz. Einem Bekannten gelang es dann irgendwie die Wiederherstellungskonsole zu nutzen. Bei der Ausführung von Checkdisk ging der Rechner dann unvermittelt aus. Eine Prüfung des Arbeitsspeichers ergab, dass dieser okay war, die Festplatte wurde mittels external Case an einem anderen Rechner geprüft und "low level" Formatiert. Anschließend sollte Windows neu installiert werden. Dabei ging die Maschine wieder unverhofft aus. Erst das Aufmachen des Laptops und Aussaugen der Lüftereinheit sorgte dafür, dass der Rechner wieder stabil lief. Nach der Neuinstallation war alles wieder in Ordnung.

Nun zum eigentlichen Problem: Laptop Nr. 2 zeigt jetzt dieselben Symptome, allerdings mit kleinen Unterschieden.

* Der Trojaner wurde nach Anleitung entfernt
* Seitdem geht der Laptop in unregelmäßigen Abständen aus (keine aufwendigen Graphik-Anwendungen, Games o.ä.) und scheint damit überfordert zu sein, Sykpe und ein Worddokument gleichzeitig geöffnet zu haben (nein, wer hier daran denken mag, dass einfach die Performance dafür nicht ausreicht, liegt falsch, da bis vor dem Trojaner alles sauber lief)
* Vor zwei Tagen führte ein Fehler im Benutzerkonto dazu, dass ein neues eingerichtet werden musste.
* Seit heute bootet der Rechner nur in der oben beschriebenen Dauerschleife

Punkt 2 und 3 lagen bei Laptop Nr. 1 nicht vor. Kann das noch andere Ursachen haben?

Wie bekomme ich nun das System wieder stabil zum Laufen? Gibt es eine Möglichkeit irgend etwas zu retten? Es liegt nämlich das altbekannte Problem vor, dass auf dem Rechner gestern Seiten für eine Examensarbeit geschrieben und noch nicht extern gesichert wurden. Ich frage mich zudem, ob es sein kann, dass zwei Rechner zur gleichen Zeit wegen Übehitzungsproblemen einfach ausgehen oder ob es ebenfalls mit dem Trojaner zu tun hat. Ich würde mich bei diesem Rechner sehr schwer tun einfach alles platt zu machen.

Edit: Der Trojaner hat auf allen Partitionen die Dateien autorun.inf, sowie in einem Ordner "Resycled" die Datei boot.com hinterlegt. Die Anweisungen zur Entfernung des Trojaners beinhalteten das Löschen dieser Dateien.

Wir haben leider nur Grundkenntnisse im Umgang mit PCs, wären also froh und dankbar über jede From der Hilfe.

Gruß Koisa

Hallo Koisa und :hallo:

Wir werden uns zuerst dem ersten Laptop widmen, danach dem zweiten, dass wir nicht durcheinander kommen! :)

Alle Punkte immer nach der Reihe ausführen:

==== Punkt 1 ====

Fertige nun ein HijackThis Log Deines Systems an (solltest du HijackThis schon installiert haben, kannst du den Punkt 1 übersprigen):

1.) Lade dir HijackThis von Trend Micro herunter, indem du auf "HijackThis Installer herunterladen" klickst! Danach installierst du das Programm in einem eigenen Ordner! Das ist wichtig, damit evtl. falsch gefixte Einträge rückgängig gemacht werden können.

2.) Nun startest du HijackThis und drückst im Hauptmeü auf "Do a system scan and save a log file". Das vollständige Log hier in Code-Tags posten.

Hallo und danke für das Willkommen!

Der erste Laptop läuft ja wieder. Da haben wir kurzerhand alles platt gemacht. Der zweite bereitet mir größere Sorgen. Sicher ist es dennoch besser, wenn ich mein Logfile hier poste. Nicht, dass noch irgendwas nicht stimmt:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:39:05, on 16.01.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe

D:\Bluetooth-Adapter\bin\btwdins.exe

D:\VPN\cvpnd.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Softex\OmniPass\Omniserv.exe

C:\Programme\Softex\OmniPass\OPXPApp.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\Softex\OmniPass\scureapp.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe

C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

D:\Bluetooth-Adapter\BTTray.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

D:\BLUETO~1\BTSTAC~1.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

C:\Programme\Skype\Phone\Skype.exe

C:\Programme\Skype\Plugin Manager\skypePM.exe

D:\Total Commander\TOTALCMD.EXE

C:\Programme\Mozilla Firefox\firefox.exe

D:\Adobe Reader\Reader\AcroRd32.exe

D:\Highjack This\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [OmniPass] C:\Programme\Softex\OmniPass\scureapp.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe Reader\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "D:\NortonAntiVirus 2008\osCheck.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [PDFPrint] "G:\Tools\Pdf-Maker\PDFBackend.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: VPN Client.lnk = ?

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Senden an &Bluetooth - D:\Bluetooth-Adapter\btsendto_ie_ctx.htm

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Bluetooth-Adapter\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Bluetooth-Adapter\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231281880600

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Bluetooth-Adapter\bin\btwdins.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\VPN\cvpnd.exe

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe

O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Programme\Softex\OmniPass\Omniserv.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
 

--

End of file - 7609 bytes

Ich hoffe, dass zumindest bei der Maschine wieder alles sauber ist. EDIT: Leider kann ich von Laptop 2 keine Logfile erstellen, da der dieser ja nicht vernünftig - also quasi gar nicht - bootet.

Vielen Dank schonmal.

Koisa

Hallo Koisa,

Um welchen Laptop handelt es jetzt, also das Log? Vom 2ten??
Dann spezialisieren wir uns auf den:

Bevor mit einer eventuellen Bereinigung anfangen, bitte ich dich das hier zu machen:

Zitat:

Internet Explorer 6

Dein Internet Explorer, den du auf deinem Rechner installiert hast, ist veraltet. Der neue Internet Explorer 7 ist weit sicherer, schneller und es sind die wichtigen Sicherheitsupdates enthalten! Besuche nun die Hersteller Seite und downloade dir die neue Version! Anschließend installierst du sie!

Also, das Logfile ist von Rechner 1. Da der zweite in Dauerschleife bootet, gibts von dem auch kein Logfile. Laptop 1 arbeitet wieder stabil und dürfte ansonsten clean sein. Aber es kann ja nicht schaden, trotzdem die Logfile durchzusehen.

Ich kann den IE 7 gern installieren, nutze aber fast ausschließlich den Firefox 3.0.5.

Gruß
Koisa

Hallo Koisa,

Dein Logfile ist sauber, also der 1. Rechner ist dann fertig, oder? Gibt es noch Probleme?
Ja bitte den Internet Explorer installieren, auch wenn du ihn nicht verwendest! :)

Kannst du den 2. Rechner im Abgesicherten Modus starten und ein HijackThis Logfile erstellen?

Hey Crusader,

Maschine 1 läuft - und zwar sauber. Danke dafür.

Maschine 2 bootet nur in Dauerschleife, egal ob ich den abgesicherten Modus oder die letzte funktionierende Konfig. auswähle. Ich komme nicht ins Betriebssystem und kann demnach auch keine Logfile erstellen. Schade eigentlich.

~Christian

Ich vermute, dass sich der Trojaner über meine ext. Festplatte weiterverbreitet, da nun auch Maschine 1 wieder Probleme verursacht hat. Wie bekomme ich denn meine ext. Festplatte wieder sauber, ohne die Daten (.jpg, .doc usw.) in den Wind schießen zu müssen?

Hallo Koisa,

Ich würde dir raten, das du die Festplatte am besten mit Malwarebytes' Anti-Malware durchscannst und dann alles entfernst!
Natürlich ist das auch nicht 100%ig sicher, das hilft nur formatieren!

Hallo!

ich habe zunächst via Ubuntu (Live-Session) die nicht ausführbaren Dateien von der ext. Platte auf den Rechner rübergezogen und die externe daraufhin formatiert. Jetzt liegen meine Dateien wieder auf der externen und ich bin mir noch nicht so ganz sicher, was passiert, wenn ich diese nun anschließe, da ich unter Ubuntu auch den Rechner nochmal leer gemacht habe, um Windows neu zu installieren. Ich wüsste zunächst gern, wie es mit Dokumenten und Pdf-Files aussieht. Einige Quellen sagen, dass es sich dabei um ausführbare Dateien handelt, andere geben an, dass das Risiko zu vernachlässigen sei. Kann ich nun meine Dokumente retten oder nicht? Und wie sieht es aus mit Dateien, die in Zip- oder Rar-Archiven gepackt sind?

Das System läuft nach dem Komplettabschuss m.E. momentan sauber, aber vielleicht ist doch jemand so nett und schaut mal auf das Logfile. Dann weiß ich wenigstens, dass das System zumindest ohne ext. Platte wieder stabil steht.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:42:14, on 22.02.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18372)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Programme\Java\jre6\bin\jqs.exe

E:\CDBurnerXP\NMSAccessU.exe

C:\Programme\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe

C:\Programme\Google\Update\GoogleUpdate.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programme\Launch Manager\LaunchAp.exe

C:\Programme\Launch Manager\HotkeyApp.exe

C:\Programme\Launch Manager\OSD.exe

C:\Programme\Launch Manager\Wbutton.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

E:\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe

C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe

C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\Programme\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe

C:\Programme\Skype\Phone\Skype.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Skype\Plugin Manager\skypePM.exe

E:\HighjackThis 2.0\HijackThis.exe

E:\Firefox 3.0.6\firefox.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton AntiVirus\Engine\16.2.0.7\IPSBHO.DLL

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"

O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"

O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"

O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"

O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Adobe Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "E:\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Google Update Service (gupdate1c99492dce2b1b0) (gupdate1c99492dce2b1b0) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NMSAccessU - Unknown owner - E:\CDBurnerXP\NMSAccessU.exe

O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Programme\Norton AntiVirus\Engine\16.2.0.7\ccSvcHst.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
 

--

End of file - 7419 bytes

An Malwarebites' werde ich mich dann bei Gelegenheit mal ranbegeben.

Sehr dankbare Grüße!
Koisa

Hallo nochmal!

Ich habe nun Malwarebytes' Anti-Malware meinen Rechner überprüfen lassen und wie es scheint ist alles sauber. Jetzt bleibt abzuwarten was passiert, wenn ich die externe Platte anschließe. Wenn ich daran denke wird mir ein bißchen warm.

Hier mal das Scan-Ergebnis der vollständigen Prüfung ohne externe Festplatte - darauf sei ausdrücklich hingewiesen:

Code:

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1792

Windows 5.1.2600 Service Pack 3
 

22.02.2009 18:11:54

mbam-log-2009-02-22 (18-11-54).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)

Durchsuchte Objekte: 114208

Laufzeit: 59 minute(s), 28 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Jetzt mache ich mich an die ext. Festplatte. Wünsche mir jemand Glück, bitte.

Gruß
Koisa

Hier die Malwarebytes'-Auswertung meiner externen Festplatte. Das klingt ja schon ganz vernünftig.

Code:

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1792

Windows 5.1.2600 Service Pack 3
 

22.02.2009 21:52:09

mbam-log-2009-02-22 (21-52-09).txt
 

Scan-Methode: Vollständiger Scan (H:\|)

Durchsuchte Objekte: 85269

Laufzeit: 25 minute(s), 17 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Jetzt lasse ich Malwarebytes' nochmal übers Gesamtsystem laufen, poste dann nochmal die Auswertung und ein HijackThis-Log und dann hoffe ich, dass ich es endlich überstanden habe.

Gruß
Koisa

Hier zunächst der Bericht von F-Secure, welches ich als erstes durchlaufen ließ:

Code:

Scanning Report

Sunday, February 22, 2009 22:05:40 - 23:25:25
 

Computer name: CK

Scanning type: Scan system for malware, rootkits

Target: C:\ D:\ E:\ H:\

Result: 0 malware found

Statistics

Scanned:
 

    * Files: 24739

    * System: 3007

    * Not scanned: 12 
 

Actions:
 

    * Disinfected: 0

    * Renamed: 0

    * Deleted: 0

    * None: 0

    * Submitted: 0 
 

Files not scanned:
 

    * C:\PAGEFILE.SYS

    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

    * C:\WINDOWS\SYSTEM32\CONFIG\SAM

    * C:\WINDOWS\SYSTEM32\CONFIG\SECURITY

    * C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE

    * C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

    * C:\DOKUMENTE UND EINSTELLUNGEN\CHRISTIAN\LOKALE EINSTELLUNGEN\TEMP\ETILQS_8PJFEWKNIUPQNJD15500

    * C:\DOKUMENTE UND EINSTELLUNGEN\CHRISTIAN\LOKALE EINSTELLUNGEN\TEMP\ETILQS_8PJFEWKNIUPQNJD15500-JOURNAL

    * C:\DOKUMENTE UND EINSTELLUNGEN\CHRISTIAN\LOKALE EINSTELLUNGEN\TEMP\ETILQS_HBS5Q1FPEVY1BT0F8YYT

    * C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NORTON\COMMON CLIENT\_LCK\_AVPAPP_{BB639333-810A-4BF8-85F5-C537857F55FC}0

    * C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NORTON\COMMON CLIENT\_LCK\_ISDATAPR_{E8EFD4CD-DE52-4444-9511-EFF3B158724B}0

    * C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NORTON\COMMON CLIENT\_LCK\_ISDATAPR_{FF9AC67A-E394-46AE-B150-B3365343F166}G

Ich frage mich allerdings, wieso F-Secure meint einfach irgendwelche Dinge auszulassen!?

Hier nun das Mbam-Log:

Code:

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1792

Windows 5.1.2600 Service Pack 3
 

23.02.2009 01:48:12

mbam-log-2009-02-23 (01-48-12).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)

Durchsuchte Objekte: 144073

Laufzeit: 2 hour(s), 14 minute(s), 12 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Im Moment sieht es, denke ich, ganz gut für mich aus.