Trojaner oder ähnliches drauf?

#1 Hallo zusammen,

leider muss ich euch schon wieder um Hilfe bitten.
Der PC meines Sohnes ist wahrscheinlich verseucht. Ich habe ihn mit Malwarebytes überprüft, 1 infiziertes Objekt wurde gefunden.
Ich kann allerdings das alles nur im abgesicherten Modus starten, da im normalen Modus alles hängt. Es geht gar nix. Die Festplatte macht auch so komische Geräusche.
Wenn ich auf mein Konto drauf gehe, dann geht der Avira Schirm auf. Aber bei meinen Sohn auf dem Konto steht da Dienst gestoppt. Der Avira hat aber nix gefunden.
Was kann ich denn nun tun?
LG Andrea

#2 das malwareBytes log posten z.B. und die anleitung abarbeiten (virenentfernung) du kennst sie ja schon ;-)

#3 So nun habe ich alles geschafft.
Zuerst der Scan von Malwarebytes:
Malwarebytes' Anti-Malware 1.18
Datenbank Version: 870

19:57:59 15.03.2009
mbam-log-3-15-2009 (19-57-59).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 69754
Scan Dauer: 41 minute(s), 36 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

Nun Combofix:
ComboFix 09-03-15.01 - Administrator 2009-03-16 15:55:12.1 - NTFSx86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.510.409 [GMT 1:00]
ausgeführt von:: F:\ComboFix.exe
FW: ZoneAlarm Firewall *enabled*

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\swctl.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-16 bis 2009-03-16 ))))))))))))))))))))))))))))))
.

2009-03-15 18:42 . 2009-03-15 18:42 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-15 18:42 . 2009-03-15 18:42 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-15 18:42 . 2009-03-15 18:42 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-03-15 18:42 . 2008-06-19 17:48 34,296 --a------ c:\windows\system32\drivers\mbamcatchme.sys
2009-03-15 18:42 . 2008-06-19 17:47 17,144 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-15 17:55 . 2009-02-11 12:01 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-03-15 17:55 . 2009-02-11 11:55 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-03-15 17:55 . 2009-02-11 11:55 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-03-15 17:55 . 2009-03-16 15:56 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-03-15 17:55 . 2009-02-11 11:55 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-03-15 17:55 . 2009-02-11 11:55 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-03-15 17:55 . 2009-03-15 18:42 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-03-15 17:55 . 2009-03-15 17:57 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-02-27 19:27 . 2009-02-27 19:27 <DIR> d----c--- c:\windows\system32\DRVSTORE
2009-02-27 19:27 . 2009-02-06 18:08 55,152 --a------ c:\windows\system32\drivers\fssfltr_tdi.sys
2009-02-27 11:36 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-27 11:36 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2009-02-27 11:36 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-26 14:20 . 2009-02-26 14:20 <DIR> d-------- c:\programme\EA SPORTS
2009-02-26 13:11 . 2009-03-15 15:59 <DIR> d-------- c:\dokumente und einstellungen\Alex\Tracing
2009-02-26 12:49 . 2009-02-26 12:49 <DIR> d-------- c:\programme\Windows Live SkyDrive
2009-02-26 12:49 . 2009-02-26 12:49 <DIR> d-------- c:\programme\Microsoft
2009-02-26 12:48 . 2009-02-27 19:27 <DIR> d-------- c:\programme\Windows Live
2009-02-26 12:46 . 2009-02-26 12:46 <DIR> d-------- c:\programme\Gemeinsame Dateien\Windows Live
2009-02-26 12:36 . 2008-12-20 23:30 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-02-26 12:36 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-02-26 12:36 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-02-26 12:36 . 2008-12-20 23:31 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-02-26 12:36 . 2008-12-20 23:30 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-02-26 12:36 . 2008-12-20 23:30 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-02-26 12:36 . 2008-12-20 23:30 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-02-26 12:36 . 2008-12-20 23:31 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-02-26 12:36 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-15 16:02 67,124 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-03-15 16:02 5,709,856 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-03-14 10:49 1,496,576 ----a-w c:\windows\Internet Logs\xDBC.tmp
2009-03-13 19:27 128,512 ----a-w c:\windows\Internet Logs\xDBA.tmp
2009-03-13 19:27 1,496,064 ----a-w c:\windows\Internet Logs\xDBB.tmp
2009-03-13 06:02 --------- d-----w c:\dokumente und einstellungen\Alex\Anwendungsdaten\dvdcss
2009-03-11 06:09 1,493,504 ----a-w c:\windows\Internet Logs\xDB9.tmp
2009-03-09 13:31 --------- d-----w c:\programme\ICQ6.5
2009-03-07 05:26 132,608 ----a-w c:\windows\Internet Logs\xDB8.tmp
2009-03-03 19:58 1,480,192 ----a-w c:\windows\Internet Logs\xDB7.tmp
2009-03-01 06:15 480,768 ----a-w c:\windows\Internet Logs\xDB6.tmp
2009-02-28 18:24 --------- d-----w c:\programme\Gemeinsame Dateien\System Shared
2009-02-28 18:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\System
2009-02-27 18:39 1,462,784 ----a-w c:\windows\Internet Logs\xDB5.tmp
2009-02-27 17:12 1,453,568 ----a-w c:\windows\Internet Logs\xDB4.tmp
2009-02-27 15:20 --------- d-----w c:\dokumente und einstellungen\Alex\Anwendungsdaten\ICQ
2009-02-24 20:06 1,403,904 ----a-w c:\windows\Internet Logs\xDB3.tmp
2009-02-23 20:00 1,403,392 ----a-w c:\windows\Internet Logs\xDB2.tmp
2009-02-16 20:02 1,399,296 ----a-w c:\windows\Internet Logs\xDB1.tmp
2009-02-14 15:22 --------- d-----w c:\dokumente und einstellungen\Alex\Anwendungsdaten\vlc
2009-02-12 11:25 --------- d-----w c:\programme\Programme aus Internet
2009-02-12 11:05 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-11 19:38 --------- d-----w c:\programme\Salfeld
2009-02-11 19:35 --------- d-----w c:\programme\VideoLAN
2009-02-11 19:29 --------- d-----w c:\programme\OpenOffice.org 3
2009-02-11 19:23 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-02-11 19:23 --------- d-----w c:\programme\DVDVideoSoft
2009-02-11 19:20 --------- d-----w c:\programme\CCleaner
2009-02-11 17:40 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-02-11 17:39 --------- d-----w c:\programme\Zone Labs
2009-02-11 13:53 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\MSN6
2009-02-11 11:05 --------- d-----w c:\programme\microsoft frontpage
2009-02-11 11:04 558,142 ----a-w c:\windows\java\Packages\GMBZXVNF.ZIP
2009-02-11 11:04 155,995 ----a-w c:\windows\java\Packages\N1Z7ZFBD.ZIP
2009-02-11 11:03 --------- d-----w c:\programme\Online-Dienste
2009-02-11 11:02 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-02-09 14:04 1,846,912 ----a-w c:\windows\system32\win32k.sys
2009-02-06 17:52 49,504 ----a-w c:\windows\system32\sirenacm.dll
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-10-19 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-10-19 126976]
"fssui"="c:\programme\Windows Live\Family Safety\fsui.exe" [2009-02-06 454000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2009-03-01 11:59 172792 c:\programme\ICQ6.5\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 03:22 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2009-02-06 18:51 3885408 c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

S2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2009-02-27 55152]
S2 fsssvc;Windows Live Family Safety;c:\programme\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]
S3 es1969;ESS 1969-Audiotreiber (WDM);c:\windows\system32\drivers\es1969.sys [2009-02-11 72192]
.
.
------- Zusätzlicher Suchlauf -------
.
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-16 15:57:14
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-16 15:58:26
ComboFix-quarantined-files.txt 2009-03-16 14:58:11

Vor Suchlauf: 8 Verzeichnis(se), 69,366,407,168 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 69,629,030,400 Bytes frei

144 --- E O F --- 2009-03-11 16:00:59

Dann das Hijackthis- Log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:31:00, on 16.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Programme\Windows Live\Family Safety\fssbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [fssui] "C:\Programme\Windows Live\Family Safety\fsui.exe" -autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1234360482187
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3535 bytes

Und im Anhang ist das Uninstall- open von Hijackthis

Beim Combofix musste ich den Avira löschen, im abgesicherten Modus wusste ich nicht, wie man das da deaktiviert.
Habe zwar Avira wieder installiert, kann aber im abgesicherten Modus kein Update machen. Im normalen Modus geht nach wie vor nichts
LG Andrea

#4 Es gibt ein Update von Malwarebytes' Anti-Malware (MBAM)
zu Version 1.34

Deinstalliere die alte Version und lade Dir die Neue.

Update Malwarebytes dann und scanne erneut.
Poste das Log

Gruss Swiss

#5 Vielen Dank für die Antwort. Den neuen Scan habe ich im Anhang rein.
Das löst nun aber immer noch nicht mein Problem. Was kann ich nun tun?
LG Andrea

#6 Lasse bitte deine Festplatte pruefen.
Dazu unter Start --> Ausfuehren --> gib ein: chkdsk /f
und enter druecken.
Es kann sein, das es fragt, ob es nach einem neustart pruefen soll. Sag Ja und starte dann neu.

Gruss Swiss