Nach Beseitigung von Trojanern PC und vor allem Firefox sehr langsam

#0
30.04.2009, 11:26
...neu hier

Beiträge: 2
#1 Habe vor ein paar Tagen durch einen Mc Afee (VirusScan Enterprise 8.5.0i) festgestellt, dass ich ca 10 Trojaner auf meinem Rechner hatte, die ich mir am Tag zuvor beim download mehrerer Dateien eingefangen haben muss.

Das Scanergebnis besagte, dass die Dateien gelöscht sein, jedoch tauchten sie bei einem erneuten Scan wieder auf.
Daraufhin hab ich zuerst MalwareBytes installiert, das Programm fand allerdings nur zwei Trojaner.
Danach hab ich SuperAntiSpyware installiert und damit 5 weitere Trojaner beseitigt bekommen.
McAfee entdeckte aber im anschließenden Scan nach wie vor 2 Trojaner.

Dann hab ich es mit CombiFix probiert. (logfile siehe unten)
Seitdem entdeckt McAfee zwar keine Trojaner mehr, hat aber gestern 2 "RemAdmProcLaunch!171" erkannt.

Den Hinweisen aus einem Forum folgend, habe ich den Wiederherstellungspunkt" deaktiviert und neugestartet.

Heute habe ich nochmals SuperAntiSpyware durchlaufen lassen und es wurde wiederum ein neuer Trojaner entdeckt.

Habe gerade Hijckthis runtergeladen und gescannt. (logfile siehe unten)
Mein Rechner und vor allem Firefox sind jedoch nach wie vor sehr langsam.
Ich hab das Gefühl, dass da etwas nicht stimmt.

Würde mich super freuen, wenn mir jemand helfen kann.
Viele Grüße
Jules

CombiFix.txt

Code

AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated)
* Resident AV is active


Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\IE4 Error Log.txt
c:\windows\system32\drivers\gxvxcekvstjcbrfldkspetyixrowbarmtkltf.sys
c:\windows\system32\drivers\gxvxclrmpfviqjxuwbpftmehcbnyqvxehrvof.sys
c:\windows\system32\drivers\gxvxctkappkctlouccrqrtoyypqjbyuocbitb.sys
c:\windows\system32\gxvxcmbwuethrkbmqweabdqsnopxymqvwksdp.dll
d:\recycler\S-5-2-90-100026600-100008544-100028467-5574.com
d:\recycler\S-5-3-86-100023876-100019410-100007617-4699.com
d:\recycler\S-8-0-64-100023544-100003561-100027315-1723.com

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_GXVXCSERV.SYS


(((((((((((((((((((((((   Dateien erstellt von 2009-05-28 bis 2009-4-28  ))))))))))))))))))))))))))))))
.

2009-04-28 13:47 . 2009-04-28 13:47    --------    d-----w    c:\dokumente und einstellungen\Sandmann\Anwendungsdaten\Malwarebytes
2009-04-28 13:37 . 2009-04-28 13:37    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-28 13:33 . 2009-04-28 13:43    --------    d-----w    c:\programme\SUPERAntiSpyware
2009-04-28 13:33 . 2009-04-28 13:33    --------    d-----w    c:\dokumente und einstellungen\Sandmann\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-28 13:23 . 2009-04-06 13:32    15504    ----a-w    c:\windows\system32\drivers\mbam.sys
2009-04-28 13:23 . 2009-04-06 13:32    38496    ----a-w    c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-28 13:23 . 2009-04-28 13:23    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-28 13:23 . 2009-04-28 13:32    --------    d-----w    c:\programme\Malwarebytes' Anti-Malware
2009-04-23 00:07 . 2009-04-23 00:07    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-04-23 00:03 . 2009-04-23 00:03    --------    d-----w    c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-04-23 00:02 . 2008-04-07 03:38    22872    ----a-r    c:\windows\system32\AdobePDFUI.dll
2009-04-23 00:02 . 2008-04-07 03:38    45392    ----a-r    c:\windows\system32\AdobePDF.dll
2009-04-22 23:10 . 2009-04-22 23:10    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-04-22 22:52 . 2009-04-22 22:52    --------    d-----r    c:\dokumente und einstellungen\LocalService\Favoriten
2009-04-22 22:41 . 2009-04-22 22:41    --------    d-----w    c:\programme\Gemeinsame Dateien\ResearchSoft
2009-04-22 22:37 . 2009-04-27 10:10    --------    d-----w    c:\programme\EndNote X2
2009-04-22 22:36 . 2009-04-22 22:41    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Thomson.ResearchSoft.Installers
2009-04-22 17:19 . 2009-04-28 15:08    --------    d-----w    C:\QUARANTINE
2009-04-22 12:24 . 2009-04-26 08:17    46240    ----a-w    c:\dokumente und einstellungen\Sandmann\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-21 15:59 . 2009-04-26 17:19    --------    d-----w    c:\dokumente und einstellungen\Sandmann\Anwendungsdaten\BitTorrent
2009-04-21 15:58 . 2009-04-21 15:58    --------    d-----w    c:\programme\BitTorrent
2009-04-20 07:48 . 2009-04-22 18:03    --------    d-----w    c:\dokumente und einstellungen\Sandmann\Anwendungsdaten\DNA
2009-04-19 17:31 . 2009-04-19 17:31    --------    d-----w    c:\dokumente und einstellungen\Sandmann\Lokale Einstellungen\Anwendungsdaten\DNA
2009-04-19 17:31 . 2009-04-22 07:21    --------    d-----w    c:\programme\DNA
2009-04-17 07:05 . 2008-04-21 21:13    217600    -c----w    c:\windows\system32\dllcache\wordpad.exe
2009-04-13 14:28 . 2009-04-28 14:57    --------    d-----w    c:\dokumente und einstellungen\Sandmann\Anwendungsdaten\EndNote
2009-04-13 14:28 . 2009-04-22 22:41    --------    d-----w    c:\programme\Gemeinsame Dateien\Risxtd
2009-04-13 14:26 . 2009-04-13 14:55    --------    d-----w    c:\programme\EndNote X
2009-04-13 14:24 . 2009-04-13 14:24    --------    d-----w    c:\programme\Smart Projects
2009-04-13 13:32 . 2009-04-13 13:32    --------    d-----w    c:\programme\Gemeinsame Dateien\Skype
2009-04-09 14:06 . 2009-04-09 14:06    --------    d-----w    c:\programme\NOS
2009-04-09 14:06 . 2009-04-09 14:06    --------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-04-09 07:47 . 2009-04-09 07:47    --------    d-----w    c:\windows\Internet Logs
2009-04-09 07:46 . 2008-03-29 15:36    125328    ----a-w    c:\windows\system32\drivers\dne2000.sys
2009-04-09 07:46 . 2008-03-29 15:36    106768    ----a-w    c:\windows\system32\dneinobj.dll
2009-04-09 07:46 . 2009-04-09 07:46    --------    d-----w    c:\programme\Gemeinsame Dateien\Deterministic Networks
2009-04-09 07:45 . 2009-04-09 07:45    --------    d-----w    c:\programme\Cisco Systems
2009-03-30 14:20 . 2009-03-30 14:20    41780    ---ha-w    c:\windows\system32\mlfcache.dat

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-28 13:33 . 2008-03-28 09:02    --------    d-----w    c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-28 12:56 . 2008-01-12 10:21    --------    d-----w    c:\programme\Mozilla Thunderbird
2009-04-23 00:03 . 2008-01-12 09:44    --------    d-----w    c:\programme\Gemeinsame Dateien\Adobe
2009-04-20 06:17 . 2008-03-28 09:02    --------    d-----w    c:\programme\TuneUp Utilities 2006
2009-04-13 13:32 . 2008-01-12 09:52    --------    d-----r    c:\programme\Skype
2009-04-01 17:08 . 2002-12-31 12:00    408458    ----a-w    c:\windows\system32\perfh007.dat
2009-04-01 17:08 . 2002-12-31 12:00    72524    ----a-w    c:\windows\system32\perfc007.dat
2009-03-18 10:14 . 2008-01-11 21:39    --------    d--h--w    c:\programme\InstallShield Installation Information
2009-02-09 14:04 . 2002-12-31 12:00    1846912    ----a-w    c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\64f433e8-b402-4ee1-ab2b-57106ff960ec.exe" [2009-03-23 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2007-02-22 112216]
"McAfeeUpdaterUI"="c:\programme\McAfee\Common Framework\UdaterUI.exe" [2006-12-19 136768]
"Adobe Acrobat Speed Launcher"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 37232]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2008-06-11 640376]
"ATIModeChange"="Ati2mdxx.exe" - c:\windows\system32\Ati2mdxx.exe [2004-05-05 28672]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2003-07-25 88363]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2004-05-05 65024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05    356352    ----a-w    c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
"BitTorrent DNA"="c:\programme\DNA\btdna.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"NeroCheck"=c:\windows\system32\NeroCheck.exe
"HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe"
"TomcatStartup"=c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
"ISUSPM Startup"=c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe"
"HerculesCamService"=c:\programme\Hercules\Hercules DualPix HD Webcam\CamService.exe
"ATIPTA"=c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
"StatusClient"=c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\Hercules\\Hercules DualPix HD Webcam\\ControlUI.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Hercules\\Hercules DualPix HD Webcam\\Station2.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 APL531;Hercules Dualpix HD Webcam;c:\windows\system32\Drivers\HDvid.sys [2006-09-27 274816]
R3 BTHprint;Microsoft Bluetooth Printer Class;c:\windows\system32\DRIVERS\bthprint.sys [2008-04-13 36480]
R3 camfilt;camfilt;c:\windows\system32\Drivers\camfilt.sys [2006-10-03 22656]
R3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2009-03-03 33176]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]
R3 SetupNTGLM7X;SetupNTGLM7X; [x]
S1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2009-03-23 9968]
S1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2009-03-23 72944]


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-5-3-86-100023876-100019410-100007617-4699.com d:\
\Shell\Open\command - d:\recycler\S-5-3-86-100023876-100019410-100007617-4699.com d:\
.
Inhalt des "geplante Tasks" Ordners

2009-04-27 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2006-10-02 15:22]

2009-04-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 10:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-WgaLogon - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.allyve.com/
uInternet Settings,ProxyOverride = <local>;*.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: An vorhandenes PDF anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Senden an &Bluetooth - c:\programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
LSP: bmnet.dll
FF - ProfilePath - c:\dokumente und einstellungen\Sandmann\Anwendungsdaten\Mozilla\Firefox\Profiles\wgsrlxi6.Arne\
FF - prefs.js: browser.startup.homepage - hxxp://www.allyve.com/
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-28 17:29
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1128)
c:\programme\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'lsass.exe'(1188)
c:\windows\system32\bmnet.dll
.
Zeit der Fertigstellung: 2009-04-28 17:32
ComboFix-quarantined-files.txt  2009-04-28 15:31

Vor Suchlauf: 5.280.555.008 Bytes frei
Nach Suchlauf: 5.372.375.040 Bytes frei

197    --- E O F ---    2009-04-20 07:22
hicackthis.txt

Code

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:46:21, on 30.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Programme\McAfee\Common Framework\UdaterUI.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Mozilla Firefox\FirefoxPreloader\FirefoxPreloader.exe
C:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allyve.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Firefox Preloader.lnk = C:\Programme\Mozilla Firefox\FirefoxPreloader\FirefoxPreloader.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7474 bytes
Dieser Beitrag wurde am 30.04.2009 um 12:51 Uhr von Jules11 editiert.
Seitenanfang Seitenende
30.04.2009, 12:49
Moderator

Beiträge: 7788
#2 Du kannst versuchen mit einem anderen AV Programm, wie z.B. Avira Antivir einen Kontrollscan zu machen, aber bei der Menge an Malware und vor allem der "Qualitaet" der Malware, wuerde ich den Rechner neu aufsetzen.

Erstens kannst du dir dann sicher sein, das er Malwarefrei ist und zweitens ist er auch wieder angenehm schnell!

Eine Anleitung dazu, sofern du sie brauchst, findest du hier:
http://board.protecus.de/t13020.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.04.2009, 14:30
...neu hier

Themenstarter

Beiträge: 2
#3 Wie kannst du auf die Qualität der Malware schließen?
Denkst du, den Rechner neu aufzusetzen ist die einzige sichere Möglichkeit oder habe ich auch so eine Chance den Rechner wieder sauber zu kriegen?

Ich habe zu Hause eine externe Festplatte, auf der ich hin und wieder Daten speichere. Wie kann ich sicherstellen, dass die Trojaner von dort nicht immer wieder auf meinen Rechner gelangen, wenn sie sich denn dort eingenistet haben sollten, das weiß ich bis dato noch nicht?

Habe Avira Antivir installiert und durchlaufen lassen. Hier das Ergebnis:

Code

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 30. April 2009  13:05

Es wird nach 1372319 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ARNE

Versionsinformationen:
BUILD.DAT      : 9.0.0.394     17962 Bytes  17.04.2009 11:13:00
AVSCAN.EXE     : 9.0.3.5      466689 Bytes  17.04.2009 07:57:24
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF   : 7.1.2.12    3336192 Bytes  11.02.2009 19:33:26
ANTIVIR2.VDF   : 7.1.3.63    1588224 Bytes  16.04.2009 11:03:41
ANTIVIR3.VDF   : 7.1.3.135    246272 Bytes  30.04.2009 11:03:42
Engineversion  : 8.2.0.156
AEVDF.DLL      : 8.1.1.0      106868 Bytes  27.01.2009 16:36:42
AESCRIPT.DLL   : 8.1.1.77     381306 Bytes  30.04.2009 11:03:44
AESCN.DLL      : 8.1.1.10     127348 Bytes  30.04.2009 11:03:44
AERDL.DLL      : 8.1.1.3      438645 Bytes  29.10.2008 17:24:41
AEPACK.DLL     : 8.1.3.14     397685 Bytes  30.04.2009 11:03:44
AEOFFICE.DLL   : 8.1.0.36     196987 Bytes  26.02.2009 19:01:56
AEHEUR.DLL     : 8.1.0.122   1737080 Bytes  30.04.2009 11:03:43
AEHELP.DLL     : 8.1.2.2      119158 Bytes  26.02.2009 19:01:56
AEGEN.DLL      : 8.1.1.39     348532 Bytes  30.04.2009 11:03:42
AEEMU.DLL      : 8.1.0.9      393588 Bytes  09.10.2008 13:32:40
AECORE.DLL     : 8.1.6.9      176500 Bytes  30.04.2009 11:03:42
AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 13:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 10:39:55
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.21    2438401 Bytes  09.02.2009 10:41:16
RCTEXT.DLL     : 9.0.37.0      87809 Bytes  17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 30. April 2009  13:05

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '39051' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Mctray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FirefoxPreloader.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UdaterUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'shstat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'naPrdMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VsTskMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FrameworkService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bmwebcfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '38' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '52' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Programme\PDF Split-Merge v2.2\pdfrepair.dll
    [FUND]      Enthält Erkennungsmuster des SPR/PSW.PdfCracker.H-Programmes
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\Programme\PDF Split-Merge v2.2\pdfrepair.dll
    [FUND]      Enthält Erkennungsmuster des SPR/PSW.PdfCracker.H-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5f96cb.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 30. April 2009  14:15
Benötigte Zeit:  1:09:55 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   7857 Verzeichnisse wurden überprüft
324783 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
324780 Dateien ohne Befall
   2211 Archive wurden durchsucht
      2 Warnungen
      3 Hinweise
  39051 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Seitenanfang Seitenende
30.04.2009, 16:18
Moderator

Beiträge: 7788
#4

Zitat

Wie kannst du auf die Qualität der Malware schließen?
Rootkit:
gxvx.....sys

DNS Changer/Autorun Trojaner, bedeutet in deinem Fall auch, das alle angeschlossenen externen DAtentraeger ebenfalls befallen sein koennten!
d:\recycler\S-5-2-90-100026600-100008544-100028467-5574.com


Plus den Dingen, die die anderen Programme schon geloescht haben, plus das, was die Malware in der Registrierung und in anderen Einstellungen alles geaendert haben koennten.

Es ist immer eine Gradwanderung, in wie weit reinigen hilft. Wenn das Ergebniss zufriedenstellend ist, warum nicht(wenn auch mit Restrisiko), aber wenn nach einer Loeschorgie der Rechner immer noch nicht rund laeuft, sollte man spaetestens die Notbremse ziehen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende