Hijack This: Brauche Unterstützung bei der Interpretation des LogFiles

#1 Hallo,

ich bin neu hier und das ist mein erster Beitrag.
Ich glaube, auf meinem System (Windows 7 Professional 32 bit +SP1) hat sich schädliche Software verirrt.
Ich habe mir HijackThis geladen und der Scan ergab folgendes LogFile:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 09:32:29, on 31.10.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Western Digital\WD Apps\WDDriveAutoUnlock.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Mozilla\Firefox\firefox.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Mozilla\Firefox\plugin-container.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_287.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_287.exe
C:\Users\Jannik\Downloads\HiJackThis204.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: StumbleUpon - {DB616CFF-D989-48A8-9C85-E2A8D56AB2CA} - C:\Users\Jannik\AppData\LocalLow\StumbleUpon\IE\StumbleUpon.dll
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [fspuip] "C:\Program Files\FSP\fspuip.exe"
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WD Drive Unlocker] C:\Program Files\Western Digital\WD Apps\WDDriveAutoUnlock.exe
O4 - HKLM\..\Run: [Logitech Download Assistant] C:\Windows\system32\rundll32.exe C:\Windows\System32\LogiLDA.dll,LogiFetch
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Jannik\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Web-Suche - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O21 - SSODL: EldosMountNotificator - {5FF49FE8-B332-4CB9-B102-FB6951629E55} - C:\Windows\system32\CbFsMntNtf3.dll
O22 - SharedTaskScheduler: Virtual Storage Mount Notification - {5FF49FE8-B332-4CB9-B102-FB6951629E55} - C:\Windows\system32\CbFsMntNtf3.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit-Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update-Dienst (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: Cryptainer service (ssoftservice) - Cypherix Software (India) Pvt. Ltd. - C:\Windows\system32\cryptainersrv.exe
O23 - Service: StumbleUpon Updater (StumbleUponUpdater) - Unknown owner - C:\Users\Jannik\AppData\LocalLow\StumbleUpon\IE\StumbleUponUpdater.exe
O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
O23 - Service: WD Drive Manager (WDDriveService) - Western Digital - C:\Program Files\Western Digital\WD Drive Manager\WDDriveService.exe

--
End of file - 6506 bytes

Könntet ihr mir vielleicht weiter helfen? Was soll ich als nächstes tun?

Viele Grüße und lieben Dank,

Janson

#2

Zitat

Janson postete
Ich glaube, auf meinem System (Windows 7 Professional 32 bit +SP1) hat sich schädliche Software verirrt.

Wie kommst Du zu diesem Glauben? Beschreib doch mal Dein Problem...
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Hallo,

ich konnte unerklärlicher Weise keine Windows Updates mehr ausführen. Windows zeigt im Updateverlauf auch alle Updates noch an, jedoch bei der Suche nach installierten Updates werden keine angezeigt und ich erhalte die Meldung, dass keine installiert wurden. Alle Hilfen, die ich erhalten habe funktionieren nicht. So konnte ich zum Beispiel mit der Eingabeaufforderung scannow nicht mehr ausführen, weil auf das Verzeichnis nicht zugegriffen werden kann (auch mit Admi-Rechten) und ein Inplace-Upgrade von Windows bricht ab mit der Fehlermeldung, dass neue Updates zunächst installiert werden müssen. Da genau dies jedoch das Ausgangsproblem darstellt, bin ich zu dem Schluß gekommen, dass sich schädliche Software an dem System zu schaffen macht.

Danke für die Hilfe!

#4 Das Problem hört sich weniger nach einem Befall mit Schadsoftware an, ich will es aber auch nicht ganz ausschließen.

Probiere erstmal Folgendes:

Drücke Windowstaste+R und gib ein: services.msc
Dann drücke Enter (oder Klicke auf OK)

Prüfe, ob der Windows-Update-Dienst läuft. Wenn nicht, dann starte ihn und suche erneut nach Updates.
Wenn der Dienst läuft, stoppe ihn und gehe im Windows Explorer in den Windows-Ordner. Suche dort den Ordner SoftwareDistribution raus und benenne den Ordner um (bspw. in SoftwareDistribution.old). Dann startest Du den Windows-Update-Dienst und suchst nochmal nach Updates.

Und morgen machen wir weiter. Gute Nacht
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 Hallo,

ich hätte das vorher sagen sollen. Genau diesen Schritt bin ich bereits gefolgt und habe damit glaube ich dazugeführt, dass die installierten updates nicht mehr erkannt wurden. Der Fehlercode der mir übrigens angezeigt wird, lautet 80073712.

Vielleicht sollte ich das System einfach komplett neu aufsetzen. Ich schreibe nur leider gerade an meiner Abschlußarbeit und bin im Ausland, sodass ich an meine Software CDs nicht herankomme, um diese dann wieder zu installieren.

Was könnte ich denn noch probieren?

Schöne Grüße!

#6 Ok,

zu dem Fehler gibt es diese Beschreibung bei Microsoft:

Zitat

1. Klicken Sie auf Start, und geben Sie cmd in das Feld Suche starten ein.
2. Klicken Sie mit der rechten Maustaste im Ergebnisbereich auf Cmd.exe, und klicken Sie anschließend auf Als Administrator ausführen. Sie erhalten dann die Aufforderung, das Kennwort für ein Administratorenkonto einzugeben. Wenn Sie der Administrator sind, klicken Sie auf Fortsetzen, oder geben Sie das Administratorkennwort ein. Klicken Sie anschließend auf Fortsetzen.
3. Geben Sie an der Eingabeaufforderung Sfc /scannow ein, und drücken Sie die EINGABETASTE.

Der Scan kann einige Zeit dauern, seien Sie also geduldig. Windows wird alle fehlenden oder beschädigten Dateien reparieren, die es findet. Wenn Informationen von der Installations-CD zur Reparatur des Problems benötigt werden, können Sie aufgefordert werden, Ihre Windows Vista oder Windows 7-CD einzulegen.

Das hast Du ja aber schon ausprobiert. Auch genau so, wie es dort beschrieben wird? (Ich kann mir den Fehler mit den fehlenden Zugriffsrechten nicht wirklich vorstellen - kannst DU ein Screenshot machen?)

Die zweite Möglichkeit, die bei Microsoft beschrieben wird: Systemwiederherstellung aus einem Wiederherstellungspunkt, als alles noch funktionierte.

Um ein Problem mit der Festplatte auszuschließen, mache über die Eingabeaufforderung (auch als Admin ausführen!) ein "chkdsk /f /r". Bestätige mit "J" und starte dann den PC neu. Checkdisk untersucht dann Deine Festplatte auf Fehler (kann aber ne Weile dauern).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 Ich habe das ganze noch einmal ausprobiert. Im Anhang der Screenshot dazu.
Wiederhersellungspunkt wollte ich auch schon machen, jedoch wird der letzte bekannte Wiederherstellungspunkt im Oktober berichtet. Ungefähr zu der Zeit, wo ich das erste mal probiert habe mit dem umbenennen des SoftwareDistribution Ordners den Fehler zu beheben.

Ich werde nachher mal den Scan auf der Festplatte durchlaufen lassen.

Vielen Dank!

#8 Ok, vor dem Check kannst Du noch Nummer 2 und 3 hiervon ausprobieren: http://www.borncity.com/blog/2011/04/19/windows-ressourcenschutz-konnte-den-reparaturdienst-nicht-starten/
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser