trojaner-infektion, win-firewall kaputt!?

#1 Hallo und guten Abend, oder guten Morgen, je nachdem … (gäääähhn)

Habe gerade 12 Stunden am Rechner einer Bekannten gesessen, der folgende Probleme hatte: keine Avir-updates mehr möglich, falsche Google-links, Abstürze usw… Das Übliche eben.
Als ich gestern kam, ließ er sich gar nicht mehr starten, auch nicht im abgesicherten Modus.
CD-Rom-Boot --> Avira-Rescue hat etliches gefunden und erstmal umbenannt. Danach abgesicherter Modus wieder möglich. Dort Malewarebites installiert, dann Scan. Auch etliches gefunden, Quarantäne. Dann normaler Systemstart, tagesaktuelles Antivir durchlaufen lassen und die vorhin umbenannten Dateien in Quarantäne. Und zwar folgende:
(alles win/sys32)
imagx532.dll
tdssadw.dll
tdssl.dll
tdsslog.dll
tdssmain.dll
tdssserf.dll
tdssserf1.dll
und zu guter letzt:
/drivers/tdssserv.sys !!!

div. Rootkitscans: nichts gefunden
Spybot: nichts gefunden

Mehrfache Neustarts und Scans: nichts mehr gefunden. Der Rechner scheint soweit sauber und funktioniert auch wieder einwandfrei. Das heißt, fast …
Die Windows-updates funktionieren nicht: Fehlercode: Ox800704DD
Aber vor allem: windows firewall ist deaktiviert, und es gibt auch keine Sicherheitswarnungen. Wenn ich die firewall aktiviere und den Rechner neustarte, ist sie wieder deaktiviert, obwohl der Dienst gestartet ist. (Wie übrigens alle anderen MS-Dienste auch).
Dabei ist es egal, ob ich Zone-alarm aus dem Systemstart rausnehme oder nicht. (Dachte erst, die zwei vertragen sich nicht.)

Meine Vermutung: der Rechner ist zwar wieder sauber, aber die oben erwähnte .sys hat irgendwo Schaden angerichtet. Deswegen will ich morgen, oh verdammt (auf die Uhr guck), äh heute, oder vielmehr dann von Windows-CD booten, reparieren und hoffen.

Mein Problem: Ich bin mir nicht sicher!

Meine Bitte: Im Anschluss folgen zwei HJT-Log´s. Das erste habe ich gemacht gleich nachdem ich im abgesicherten Modus wieder starten konnte. Also zwar nach dem Umbenennen durch avira-rescue, aber vor dem Aufräumen. Das Zweite ist von sechs Stunden später, als der Rechner wieder „normal“ lief.
Sollte irgendjemand der wirklich Ahnung hat etwas finden, das ich übersehen habe, oder eine Idee haben, was die böde .sys getan haben könnte, oder auch irgendeine ganz andere Idee, wäre ich wirklich dankbar.

Ach ja, ein „das mußte neu aufsetzen“ lass ich nicht gelten …

Vielen Dank im Voraus, und Gute Nacht, Guten Morgen, oder was immer. Carpe Diem!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:45:19, on 15.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\mosec\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 141.30.217.10:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {6FFAA46E-64D6-483E-BE3D-D5934FAE5BD5} - C:\WINDOWS\system32\imagx532.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4460 bytes



und das nächste:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:39:57, on 15.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
E:\mosec\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 141.30.217.10:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4240 bytes

Zitat

[/i]

#2 Dan warten wir mal was fuer eine Antwort du auf http://www.trojaner-board.de/64560-trojaner-infektion-firewall-kaputt.html kriegst
__________
MfG Argus

#3 Ok, da muß ich wohl noch mal ...
Ich war überzeugt, crossposting würde bedeuten in verschiedenen Unterforen einer Seite zu posten. Dem ist offenbar nicht so. Oder gehört Ihr zusammen? Dann macht das deutlich!

Vielleicht darf ich nochmal daran erinnern, dass ich das Problem nur hatte, weil ich jemandem helfen wollte.Das hat mich (am Ende sind es fast 20 geworden) etliche Stunden meiner freien Zeit gekostet. Und dann kommt einer, der seine Freizeit offensichtlich damit verbringt zu recherchieren, um mir dann zeigen zu können, dass er ...
Ja, was eigentlich? Mich wobei auch immer erwischt hat? Ein ganz schlauer ist? Die fachliche Qualifikation nicht ausreicht, um sich anderweitig wichtig zu machen?

Ich hatte ein Problem, und noch einen Tag Zeit, es zu lösen! Was bitte ist falsch daran, sich an verschiedene Stellen um Rat zu wenden, in der Hoffnung, dass einem wenigstens an einer davon geholfen werden kann?
Ich bin auf dieses Forum aufmerksam geworden, weil sich (zumindest früher mal) Menschen wie Sabina, die wirklich wußten wovon sie sprachen, wirklich Mühe gegeben haben, anderen Menschen zu helfen!
Und wer zum Teufel bist Du?

Ich bin es so leid, mich von irgendwie zu kurz Weggekommenen Schei... zu lassen, dass ich´s gar nicht sagen kann!
Oh oh, hab ich jetzt schon wieder gegen Forenregeln verstoßen? Was ist denn der Sinn solcher Regeln, wenn der eigentliche Zweck auf der Strecke bleibt?
Nämlich Teil einer Community zu sein, wie es in der Begrüßungsmail von Trojanerboard so schön heißt.

Mein gestriger Eintrag sollte eigentlich ein Paradebeispiel sein: knapp, sachlich, informativ, freundlich. Aber wen interessiert das schon. Er hat noch im Trojanerboard gepostet!
Ich beschäftige mich schon eine Weile und ziemlich intensiv mit dem Thema Male/ und Spyware, und bin immer an einem gegenseitigen Erfahrungsaustausch interessiert. Aber damit bin ich hier wohl offensichtlich falsch ...

Um der Forenhöflichkeit genüge zu tun: Vielen Dank, lieber Arnold, für Deinen wirklich konstruktiven Beitrag!

Frohes Schaffen noch ...

(kopfschüttelnd das Forum verlassend ... )