[Windows XP-32 bit] XP meldet sich sofort wieder ab

[muehlbach]

Hallo,
mein XP SP3 meldet sich seit ca. 6 Tagen sofort nach der Anmeldung wieder ab.
Dabei ist es egal mit welchem der 5 angelegten User (inkl. Administrator) ich mich anmelde.
Über einen zweiten PC habe ich mir die Registry geholt und den Pfad für die userinit.exe kontrolliert. Der Pfad passt. Anschließend noch die Datei zur Sicherheit ersetzt.
Danach habe ich die Platte via USB-Adapter an mein Notebook mit Symantec Virenscanner gehängt und intensiv suchen lassen.
Leider immernoch kein Erfolg. Hier das Scanergebnis:
Dateiname Risiko Aktion Aktionsbeschreibung Datum und Uhrzeit Nicht verfügbar Tracking Cookies Gelöscht Die Datei wurde erfolgreich gelöscht. 17.04.2011 15:13 A0116175.exe Trojan.FakeAV!gen42 Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 15:50
A0116280.exe Trojan.FakeAV Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 15:56
A0116361.exe Trojan.Bebloh Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 15:57
A0116385.exe Trojan.FakeAV!gen42 Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 15:57
A0116727.exe Trojan.FakeAV!gen42 Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 15:58
A0116892.exe Trojan.FakeAV!gen42 Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 15:58
A0117102.exe Trojan.FakeAV!gen42 Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 15:58
A0117274.exe Trojan.FakeAV!gen42 Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 15:58
A0117666.exe Trojan.FakeAV!gen42 Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 15:58
A0118499.exe W32.IRCbot Neustart erforderlich –Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 15:59
A0119089.exe Trojan.FakeAV!gen42 Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 15:59
A0113364.exe Infostealer Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 16:01
A0113392.exe Trojan.Gen Isoliert Die Datei wurde erfolgreich isoliert. 17.04.2011 16:01 A0114492.exe Trojan.Bebloh Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 16:01
jts[1].exe Trojan.FakeAV!gen42 Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 16:11
hts[1].exe Trojan.FakeAV!gen42 Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 16:11
inc[1].exe Trojan.Gen Isoliert Die Datei wurde erfolgreich isoliert. 17.04.2011 16:11 ots[1].exe Trojan.FakeAV!gen42 Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 16:11
rts[1].exe Trojan.FakeAV!gen42 Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 16:11
sts[1].exe Trojan.FakeAV!gen42 Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 16:11
uts[1].exe Trojan.FakeAV!gen42 Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 16:11
vts[1].exe W32.IRCbot Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 16:11
zats[1].exe Trojan.FakeAV!gen42 Bereinigt durch Löschen Die Datei wurde erfolgreich gelöscht. 17.04.2011 16:11
setupz.exe Trojan.Gen Isoliert Die Datei wurde erfolgreich isoliert. 17.04.2011 16:12

Jetzt habe ich nach der Anleitung via Vista-CD und PPFScan die TXTs erstellt und auf
File-Upload.net - PPF_Scan1.zip
hochgeladen.
Ich bitte um Unterstützung, damit ich meinen PCs über die Osterfeiertage benutzen kann und keine äußerst Zeitaufwändige Neuinstallation durchführen muss...
Danke

Gruß
-muehlbach-

[AHT]

Hast einen Trojaner drauf:

Code:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
16.04.2011
 userinit.exe -> C:\WINDOWS\system32\memmhlp.exe
12.12.2009

Warte etwas, schreibe dir ein Script zum Fixen..

[AHT]

• Von hier PPFScanner Script herunterladen und auf USB-Stick abspeichern: File-Upload.net - Userinit_Umleitung_killen.scp
• Wie beim Scan PPFScanner von CD starten (von CD booten).
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Userinit_Umleitung_killen.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.

Versuche danach, den Rechner neu zu starten.
Bootet er dann korekt, Malwarebytes installieren. Update ausführen. Ein kompletter Scan, alle Funde löschen und den Report posten.
Führe anschließend einen System Neustart durch!

Danach geht's weiter.

[AHT]

Lässt sich der Rechner nach dem Ausführen des Scripts wieder starten? kannst du dich einloggen?

[muehlbach]

Hallo AHT,
vielen Dank.
Alles hat geklappt.
Habe den Scanner zweimal drüberlaufen lassen.
Beim ersten Mal noch 6 Mal Malware gefunden.
Danach beseitigt und beim zweiten Mal nichts mehr gefunden:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes
Datenbank Version: 6414
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
22.04.2011 11:46:16
mbam-log-2011-04-22 (11-46-16).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|W:\|X:\|)
Durchsuchte Objekte: 463887
Laufzeit: 1 Stunde(n), 33 Minute(n), 43 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Allen zusammen schöne Feiertage

Grüße
-Muehlbach-

[AHT]

Das LOG vom ersten Scan mit Malwarebytes - hast du das noch? Wir sind noch nicht fertig...

[AHT]

Hast du eine XP installations - CD?
XP Home oder XP Professionell?

[muehlbach]

Hallo AHT,
ich habe XP Professional

Hier das erste LOG: (danach habe ich die Mals löschen lassen...

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes
Datenbank Version: 6414
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
22.04.2011 08:59:26
mbam-log-2011-04-22 (08-59-20).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|W:\|X:\|)
Durchsuchte Objekte: 463967
Laufzeit: 1 Stunde(n), 24 Minute(n), 31 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\system volume information\_restore{93c35369-5cec-4dae-98d5-c61b593bebd9}\RP354\a0118562.exe.vir (Trojan.FakeAlert.Gen) -> No action taken.
c:\system volume information\_restore{93c35369-5cec-4dae-98d5-c61b593bebd9}\RP354\a0118585.exe.vir (Trojan.FakeAlert.Gen) -> No action taken.
c:\system volume information\_restore{93c35369-5cec-4dae-98d5-c61b593bebd9}\RP326\A0114581.exe (PSWTool.PdfCracker) -> No action taken.
c:\WINDOWS\Temp\execg.exe.vir (Trojan.SpyEyes) -> No action taken.
c:\WINDOWS\Temp\videopdns.exe.vir (Trojan.SpyEyes) -> No action taken.

Gruß
-Muehlbach-

[AHT]

Wichtig: Machst du Online-Banking mit dem Rechner?

[AHT]

Suche dir, wenn möglich, die Installations-CD von XP Prof. Die benötigen wir für einen weiteren Scan.
Mache jetzt erst mal das:

• PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
• Auf Nachfrage Dateien überschreiben lassen.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

MBAM zeigt SpyeEye an: Online-Banking: mTAN-Trojaner SpyEye attackiert deutsche Kunden

Das gehört zu einem der gefährlichsten Usermode RootKits die mir bislang untergekommen sind (verbirgt sich vor Virenscannern).
Der PPFScanner verwendet eine spezielle Technik, um das RootKit aufzudecken. InternetExplorer bitte beim Scan laufen lassen.

[muehlbach]

PPFScan mit der Viste Rep starten oder das installierte XP nehmen?

[AHT]

Installiertes XP nehmen. Machst du Online-Banking mit dem Rechner?

[muehlbach]

Ja, T-Online Software, aber kein Mobile Banking...

[AHT]

Keine Aktionen mit deiner Bank von dem Gerät aus durchführen.

Am sichersten wäre es, den Rechner komplett neu aufzusetzen und zu formatieren. Ob wir weitermachen, überlasse ich dir - poste aber unbedingt die LOGs vom PPFScanner noch.

Nehme möglichst bald Kontakt mit deiner Bank auf. Sage denen, dass du eiinen SpyeEye Trojaner auf dem Rechner hattest (Online-Banking sperren lassen).

[muehlbach]

Hi,
das LOG liegt auf:
File-Upload.net - PPF_Scan1.zip

Ich würde gerne weitermachen, da das neuaufsetzen sehr Zeitaufwändig ist...

Onlinebanking werde ich baldmöglichst sperren lassen und bis auf weiteres nicht nutzen.

Gruß
-Muehlbach-