[Windows XP-32 bit] Trojaner (Festplatte beschädigt) - Paules-PC-Forum.de

Eiker · 23.05.2011, 23:46

Hallo Leute,

Ich habe mir vor ein paar Tagen einen Trojaner eingefangen von dem hier schön des öfteren berichtet wurde. Mein Desktop ist komplett schwarz, meine Programme im Startmenu sind leer sind und ich bekomme ständig Meldungen von Windows System Alert, dass meine Festplatte kaputt ist. Des Weiteren benutze ich Mozilla Thunderbird und dort wird mir jede e-mail seit befall des Trojaners mehrfach angezeigt und nach Programm neustart erscheinen auch wieder die gelöschten e-mails bis zu dem Tag des Befalls. Da ich mich bereits bei anderen Threads informiert habe, habe ich zunächst einmal Malwarebytes durchlaufen lassen, die infizierten Dateien entfernt und anschließend einen OTL Scan durchgeführt. (Die Scanberichte dazu befinden sich im Anhang)

Nachdem ich Malwarebytes durchlaufen lassen habe, erhalte ich keine Windows System Alert Meldungen mehr und kann auch schon wieder meine Desktop Dateien sehen, jedoch werden diese versteckt angezeigt und es gibt auch eine .exe Datei namens Windows XP Recovery die vorher nicht da war und mir noch Sorgen bereitet. Außerdem werden meine Programme im Startmenu weiterhin als leer angezeigt und mein Thunderbird regeneriert mir weiterhin gelöschte e-mails und mehrfach e-mails.

Ich würde mich freuen, wenn sich jemand mal meine logfiles angucken kann und mir sagen kann, wie ich weiter vorgehen soll.

lg
Eiker

**Mopao** · 24.05.2011, 12:26

Hallo Eiker,

Fehlt noch Hijackthis log.

Eiker · 24.05.2011, 20:08

hier dann noch das HijackThis logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:43, on 24.05.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
D:\Programme\Antivir\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
D:\Programme\Antivir\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
D:\Internet\Hotspot Shield\bin\openvpnas.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
D:\Programme\Antivir\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Computerzubehör\Maus\Razer\razerhid.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
D:\Internet\Hotspot Shield\HssWPR\hsssrv.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\WINDOWS\system32\RunDll32.exe
D:\Internet\Hotspot Shield\bin\hsswd.exe
D:\Computerzubehör\Soundkarte\Creative\Sound Blaster X-Fi Surround 5.1\Volume Panel\VolPanlu.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Programme\DivX\DivX Update\DivXUpdate.exe
C:\Programme\DivX\DivX Plus Web Player\DDmService.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ArcCon.ac
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
D:\Handy\Sony Ericsson\PC Suite\SupServ.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Computerzubehör\Maus\Razer\razertra.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\Computerzubehör\Maus\Razer\razerofa.exe
C:\WINDOWS\System32\svchost.exe
D:\Virenvernichtung\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Search-results Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - D:\Internet\Hotspot Shield\hssie\HssIE.dll
O4 - HKLM\..\Run: [Module Loader] C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe -StartUpRun
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Antivir\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Diamondback] D:\Computerzubehör\Maus\Razer\razerhid.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Creative KSRun Persistence Module] RunDll32 KSRun.dll,RunDLLEntry
O4 - HKLM\..\Run: [VolPanel] "D:\Computerzubehör\Soundkarte\Creative\Sound Blaster X-Fi Surround 5.1\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [BCSSync] "C:\Programme\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [DivX Download Manager] "C:\Programme\DivX\DivX Plus Web Player\DDmService.exe" start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\MICROS~1\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MICROS~1\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O13 - Gopher Prefix:
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/soft...5112/CTPID.cab
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Antivir\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Antivir\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - D:\Internet\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - D:\Internet\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - D:\Internet\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - D:\Internet\Hotspot Shield\bin\hsswd.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - D:\Handy\Sony Ericsson\PC Suite\SupServ.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 11310 bytes

**Mopao** · 25.05.2011, 12:04

Hallo,

Lass mal Combifix laufen and log posten.

Eiker · 25.05.2011, 16:23

okay im anhang nun das combofix logfile

Eiker · 27.05.2011, 11:43

Hi,
ich dank schonmal für die bisherigen Anweisungen.
Ich kriege nachdem ich combofix durchlaufen lassen habe keine Meldungen mehr von dem Virus und auch mein Mozilla Thunderbird funktioniert wieder ganz einwand frei. Allerdings sind die Programme im Startmenu weiterhin leer, wie kann ich das noch beheben?

Kann ich jetzt eigentlich davon ausgehen, den Virus beseitigt zu haben oder sollte ich noch weitere checks durchführen?

gruß eiker

**Mopao** · 27.05.2011, 16:26

Hallo Eiker,

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
Auf Nachfrage Dateien überschreiben lassen.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Eiker · 28.05.2011, 04:15

**Mopao** · 03.06.2011, 12:25

Hallo Eiker,

wie läuft der PC jetzt?

Eiker · 11.06.2011, 16:00

hi,

es ist noch so, dass mir übers startmenü keine programme angezeigt werden, da steht dann immer (leer), gibt es da irgendwas, was ich machen kann? ab und an komt auch ein piepen von meinem pc, das sonst nur auftritt, wenn mein antivirenprogramm eine schädliche datei entdeckt, allerdings wird mir nichts angezeigt. ansonsten läuft der pc aber gut.

**Der Leo** · 11.06.2011, 16:45

Hallo,

versuch folgendes um dein Startmenü wiederherzustellen.

Zitat:

Durch die Infektion wurde dein Startmenü leergefegt, bei mir bisher bekannten Varianten verschiebt der Schädling alle Verknüpfungen nach %tmp%\smtmp

Deine Verknüpfungen sollten jetzt hier sein:

C:\Users\[DEIN_NAME]\AppData\Local\Temp\smtmp

Sie müssen passend nach

C:\ProgramData\Microsoft\Windows\Start Menu\Programs

kopiert werden.

**AHT** · 11.06.2011, 22:38

In deinen LOGs vom PPFscanner werden einige wichtige Systemdateien nicht als signiert angezeigt:

Code:

C:\WINDOWS\system32\ntdll.dll                                                                                                                                                        2089877504   757760             DLL für NT-Layer                                                  Microsoft Corporation                          Betriebssystem Microsoft® Windows®                               5.1.2600.5755        5.1.2600.5755 (xpsp_sp3_qfe.090206-1316)                                              
C:\WINDOWS\system32\kernel32.dll                                                                                                                                                     2088763392   1081344            Client-DLL für Windows NT-Basis-API                               Microsoft Corporation                          Betriebssystem Microsoft® Windows®                               5.1.2600.5781        5.1.2600.5781 (xpsp_sp3_qfe.090321-1341)                                              
C:\WINDOWS\system32\GDI32.dll                                                                                                                                                        2012151808   299008             GDI Client DLL                                                    Microsoft Corporation                          Microsoft® Windows® Operating System                             5.1.2600.5698        5.1.2600.5698 (xpsp_sp3_qfe.081022-1941)                                              
C:\WINDOWS\system32\ADVAPI32.dll                                                                                                                                                     2010775552   696320             Erweitertes Windows 32 Base-API                                   Microsoft Corporation                          Betriebssystem Microsoft® Windows®                               5.1.2600.5755        5.1.2600.5755 (xpsp_sp3_qfe.090206-1316)                                              
C:\WINDOWS\System32\MSWSOCK.DLL                                                                                                                                                      1905983488   262144             Microsoft Windows Sockets 2.0-Dienstanbieter                      Microsoft Corporation                          Betriebssystem Microsoft® Windows®                               5.1.2600.5625        5.1.2600.5625 (xpsp_sp3_qfe.080620-1309)                                              
C:\WINDOWS\system32\SHELL32.dll

Das gefällt mir gar nicht.

Mache nochmals einen Scan mit dem PPFscanner:

Von hier den PPFScanner in der aktuellen Version herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
Auf Nachfrage Dateien überschreiben lassen.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Danach das hier tun, um zu listen, was AntiVir angemeckert hat:

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

CREATE_FOLDER->C:\PPFS_SCAN2
SET_OPTIONS->-102
SET_HEADLINE->Windows Defender Messages#Meldungen des Windows Defenders
READ_EVENTS->System,WinDefend,500,3,1,1
SET_HEADLINE->Messages for AntiVir#Meldungen von AntiVir
READ_EVENTS->Application,Avira AntiVir,500,3,1,1
COPY_SCANFILES->C:\PPFS_SCAN2
OPEN->C:\PPFS_SCAN2
END->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Auf Nachfrage ältere Dateien überschreiben lassen.
Nach dem Scan beendet sich der Scanner. Es befinden sich danach im Ordner C:\PPFS_Scan2 einige Textdateien. Lade bitte auch alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Eiker · 11.06.2011, 23:41

@Der Leo

danke für den tip, aber ich find diese ordner bei mir nicht, da ich windows xp habe.

@AHT

spricht das denn für einen trojaner, wenn die systemdateien nicht signiert sind?

hier jedenfalls die zip datei für den ersten scan:

File-Upload.net - PPF_Scan1.zip

und hier für den zweiten scan, bzgl. AntiVir

File-Upload.net - PPFS_SCAN2.zip

**AHT** · 11.06.2011, 23:57

Du hast noch einen Trojaner in der Systemwiederherstellung.

Systemwiederherstellung deaktivieren:

Start->
Systemsteuerung->
System->
Reiter Systemwiederherstellung->
Häkchen bei Systemwiederherstellung auf allen Laufwerken deaktivieren setzen->
OK->
Einige Minuten warten->

Etwas warten. Danach wieder aktivieren:

Häkchen entfernen->
OK->

Eine fehlende Signatur kann auf einen weiteren Trojaner hindeuten. Ich überprüfe das noch.

**AHT** · 12.06.2011, 00:01

Danach im PPFScanner folgendes Script ausführen:

Code:

CREATE_FOLDER->C:\PPFS_SCAN3
SET_OPTIONS->-213
SET_SCANLIST->1
SEARCH_FILES->ADVAPI32.DLL
->
SEARCH_FILES->KERNEL32.DLL
->
SEARCH_FILES->NTDLL.DLL
->
SEARCH_FILES->MSWSOCK.DLL
->
SEARCH_FILES->SHELL32.DLL
->
SEARCH_FILES->*.lnk
->
COPY_SCANFILES->C:\PPFS_SCAN3
OPEN->C:\PPFS_SCAN3
END->

Das Script sucht nach deinen Verlinkungen und gibt mir Infos, ob die nicht signierten Dateien infiziert sind.
Wenn ich die Einträge vom Startmenü finde, schreibe ich dir Morgen ein Script, dass sie dir wiederholt.

24.05.2011, 12:26	#2 (Direktlink)
Mopao Super-Moderator Registriert seit: 16.12.2004 Ort: Wiesbaden Beiträge: 2.691	Hallo Eiker, Fehlt noch Hijackthis log. __________________ Gruss Mopao Malware-Veteran

25.05.2011, 12:04	#4 (Direktlink)
Mopao Super-Moderator Registriert seit: 16.12.2004 Ort: Wiesbaden Beiträge: 2.691	Hallo, Lass mal Combifix laufen and log posten. __________________ Gruss Mopao Malware-Veteran

27.05.2011, 16:26	#7 (Direktlink)
Mopao Super-Moderator Registriert seit: 16.12.2004 Ort: Wiesbaden Beiträge: 2.691	Hallo Eiker, Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja. Auf Nachfrage Dateien überschreiben lassen. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. __________________ Gruss Mopao Malware-Veteran

03.06.2011, 12:25	#9 (Direktlink)
Mopao Super-Moderator Registriert seit: 16.12.2004 Ort: Wiesbaden Beiträge: 2.691	Hallo Eiker, wie läuft der PC jetzt? __________________ Gruss Mopao Malware-Veteran

11.06.2011, 22:38	#12 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	In deinen LOGs vom PPFscanner werden einige wichtige Systemdateien nicht als signiert angezeigt: Code: C:\WINDOWS\system32\ntdll.dll 2089877504 757760 DLL für NT-Layer Microsoft Corporation Betriebssystem Microsoft® Windows® 5.1.2600.5755 5.1.2600.5755 (xpsp_sp3_qfe.090206-1316) C:\WINDOWS\system32\kernel32.dll 2088763392 1081344 Client-DLL für Windows NT-Basis-API Microsoft Corporation Betriebssystem Microsoft® Windows® 5.1.2600.5781 5.1.2600.5781 (xpsp_sp3_qfe.090321-1341) C:\WINDOWS\system32\GDI32.dll 2012151808 299008 GDI Client DLL Microsoft Corporation Microsoft® Windows® Operating System 5.1.2600.5698 5.1.2600.5698 (xpsp_sp3_qfe.081022-1941) C:\WINDOWS\system32\ADVAPI32.dll 2010775552 696320 Erweitertes Windows 32 Base-API Microsoft Corporation Betriebssystem Microsoft® Windows® 5.1.2600.5755 5.1.2600.5755 (xpsp_sp3_qfe.090206-1316) C:\WINDOWS\System32\MSWSOCK.DLL 1905983488 262144 Microsoft Windows Sockets 2.0-Dienstanbieter Microsoft Corporation Betriebssystem Microsoft® Windows® 5.1.2600.5625 5.1.2600.5625 (xpsp_sp3_qfe.080620-1309) C:\WINDOWS\system32\SHELL32.dll Das gefällt mir gar nicht. Mache nochmals einen Scan mit dem PPFscanner: Von hier den PPFScanner in der aktuellen Version herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja. Auf Nachfrage Dateien überschreiben lassen. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. Danach das hier tun, um zu listen, was AntiVir angemeckert hat: PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: CREATE_FOLDER->C:\PPFS_SCAN2 SET_OPTIONS->-102 SET_HEADLINE->Windows Defender Messages#Meldungen des Windows Defenders READ_EVENTS->System,WinDefend,500,3,1,1 SET_HEADLINE->Messages for AntiVir#Meldungen von AntiVir READ_EVENTS->Application,Avira AntiVir,500,3,1,1 COPY_SCANFILES->C:\PPFS_SCAN2 OPEN->C:\PPFS_SCAN2 END-> Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Auf Nachfrage ältere Dateien überschreiben lassen. Nach dem Scan beendet sich der Scanner. Es befinden sich danach im Ordner C:\PPFS_Scan2 einige Textdateien. Lade bitte auch alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

24.05.2011, 20:08	#3 (Direktlink)
Eiker Erfolgreich angemeldet Registriert seit: 11.10.2005 Beiträge: 19	hier dann noch das HijackThis logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:42:43, on 24.05.2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Creative\Shared Files\CTAudSvc.exe D:\Programme\Antivir\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe D:\Programme\Antivir\Avira\AntiVir Desktop\avguard.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe D:\Internet\Hotspot Shield\bin\openvpnas.exe C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe D:\Programme\Antivir\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE D:\Computerzubehör\Maus\Razer\razerhid.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe D:\Internet\Hotspot Shield\HssWPR\hsssrv.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe C:\WINDOWS\system32\RunDll32.exe D:\Internet\Hotspot Shield\bin\hsswd.exe D:\Computerzubehör\Soundkarte\Creative\Sound Blaster X-Fi Surround 5.1\Volume Panel\VolPanlu.exe C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe C:\Programme\DivX\DivX Update\DivXUpdate.exe C:\Programme\DivX\DivX Plus Web Player\DDmService.exe C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ArcCon.ac C:\WINDOWS\system32\ctfmon.exe C:\Programme\Java\jre6\bin\jqs.exe D:\Handy\Sony Ericsson\PC Suite\SupServ.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe C:\WINDOWS\system32\wscntfy.exe D:\Computerzubehör\Maus\Razer\razertra.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe D:\Computerzubehör\Maus\Razer\razerofa.exe C:\WINDOWS\System32\svchost.exe D:\Virenvernichtung\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Search-results Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office14\GROOVEEX.DLL O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~1\Office14\URLREDIR.DLL O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - D:\Internet\Hotspot Shield\hssie\HssIE.dll O4 - HKLM\..\Run: [Module Loader] C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe -StartUpRun O4 - HKLM\..\Run: [avgnt] "D:\Programme\Antivir\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Diamondback] D:\Computerzubehör\Maus\Razer\razerhid.exe O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Creative KSRun Persistence Module] RunDll32 KSRun.dll,RunDLLEntry O4 - HKLM\..\Run: [VolPanel] "D:\Computerzubehör\Soundkarte\Creative\Sound Blaster X-Fi Surround 5.1\Volume Panel\VolPanlu.exe" /r O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe O4 - HKLM\..\Run: [BCSSync] "C:\Programme\Microsoft Office\Office14\BCSSync.exe" /DelayServices O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW O4 - HKLM\..\Run: [DivX Download Manager] "C:\Programme\DivX\DivX Plus Web Player\DDmService.exe" start O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\MICROS~1\Office14\ONBttnIE.dll/105 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MICROS~1\Office14\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O13 - Gopher Prefix: O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/soft...5112/CTPID.cab O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Antivir\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Antivir\Avira\AntiVir Desktop\avguard.exe O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - D:\Internet\Hotspot Shield\bin\openvpnas.exe O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - D:\Internet\Hotspot Shield\HssWPR\hsssrv.exe O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - D:\Internet\Hotspot Shield\bin\HssTrayService.EXE O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - D:\Internet\Hotspot Shield\bin\hsswd.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - D:\Handy\Sony Ericsson\PC Suite\SupServ.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe -- End of file - 11310 bytes

27.05.2011, 11:43	#6 (Direktlink)
Eiker Erfolgreich angemeldet Registriert seit: 11.10.2005 Beiträge: 19	Hi, ich dank schonmal für die bisherigen Anweisungen. Ich kriege nachdem ich combofix durchlaufen lassen habe keine Meldungen mehr von dem Virus und auch mein Mozilla Thunderbird funktioniert wieder ganz einwand frei. Allerdings sind die Programme im Startmenu weiterhin leer, wie kann ich das noch beheben? Kann ich jetzt eigentlich davon ausgehen, den Virus beseitigt zu haben oder sollte ich noch weitere checks durchführen? gruß eiker

28.05.2011, 04:15	#8 (Direktlink)
Eiker Erfolgreich angemeldet Registriert seit: 11.10.2005 Beiträge: 19	Nur zur info. ich hab jetzt doch einige male den Sound meines virenprogramms gehört, der mir sagt, dass eine infizierte datei/anwendung gefunden wurde. allerdings erschien kein pop up fenster, sodass ich keine ahnung habe wovor gewarnt wurde. hier die logfiles von PPFS File-Upload.net - Drivers.txt File-Upload.net - Eventlog.txt File-Upload.net - Files.txt File-Upload.net - Firewall.txt File-Upload.net - Hidden.txt File-Upload.net - MD5.txt File-Upload.net - Modules.txt File-Upload.net - ppFiles.txt File-Upload.net - ppRegistry.txt File-Upload.net - Processes.txt File-Upload.net - Scripting.txt File-Upload.net - Services.txt File-Upload.net - Warnings.txt

11.06.2011, 16:00	#10 (Direktlink)
Eiker Erfolgreich angemeldet Registriert seit: 11.10.2005 Beiträge: 19	hi, es ist noch so, dass mir übers startmenü keine programme angezeigt werden, da steht dann immer (leer), gibt es da irgendwas, was ich machen kann? ab und an komt auch ein piepen von meinem pc, das sonst nur auftritt, wenn mein antivirenprogramm eine schädliche datei entdeckt, allerdings wird mir nichts angezeigt. ansonsten läuft der pc aber gut.

11.06.2011, 23:41	#13 (Direktlink)
Eiker Erfolgreich angemeldet Registriert seit: 11.10.2005 Beiträge: 19	@Der Leo danke für den tip, aber ich find diese ordner bei mir nicht, da ich windows xp habe. @AHT spricht das denn für einen trojaner, wenn die systemdateien nicht signiert sind? hier jedenfalls die zip datei für den ersten scan: File-Upload.net - PPF_Scan1.zip und hier für den zweiten scan, bzgl. AntiVir File-Upload.net - PPFS_SCAN2.zip

11.06.2011, 23:57	#14 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Du hast noch einen Trojaner in der Systemwiederherstellung. Systemwiederherstellung deaktivieren: Start-> Systemsteuerung-> System-> Reiter Systemwiederherstellung-> Häkchen bei Systemwiederherstellung auf allen Laufwerken deaktivieren setzen-> OK-> Einige Minuten warten-> Etwas warten. Danach wieder aktivieren: Häkchen entfernen-> OK-> Eine fehlende Signatur kann auf einen weiteren Trojaner hindeuten. Ich überprüfe das noch. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

12.06.2011, 00:01	#15 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Danach im PPFScanner folgendes Script ausführen: Code: CREATE_FOLDER->C:\PPFS_SCAN3 SET_OPTIONS->-213 SET_SCANLIST->1 SEARCH_FILES->ADVAPI32.DLL -> SEARCH_FILES->KERNEL32.DLL -> SEARCH_FILES->NTDLL.DLL -> SEARCH_FILES->MSWSOCK.DLL -> SEARCH_FILES->SHELL32.DLL -> SEARCH_FILES->.lnk -> COPY_SCANFILES->C:\PPFS_SCAN3 OPEN->C:\PPFS_SCAN3 END-> Das Script sucht nach deinen Verlinkungen und gibt mir Infos, ob die nicht signierten Dateien infiziert sind. Wenn ich die Einträge vom Startmenü finde, schreibe ich dir Morgen ein Script, dass sie dir wiederholt. __________________ ______________ Bitte Schnelltest durchführen:* Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Windows Vista-64 bit] Virus (Festplatte beschädigt)	Bulldogfahrer	Viren-Forum	10	10.06.2011 12:25
[Windows Vista-32 bit] Virus -> Festplatte beschädigt? + Logs	Smoodoo	Viren-Forum	33	23.05.2011 18:37
Externe Festplatte - Bilddateien beschädigt????	shakatak	Hardware - Problemlösungen	3	07.12.2009 15:11
Maxtor Festplatte beschädigt?	>mrgoblin<	Hardware - Problemlösungen	3	16.02.2007 08:25
Masterdateitabelle bei Festplatte beschädigt	Cjara	Hardware - Problemlösungen	1	25.11.2003 16:44