Komputer startet immer nach Erscheinen des Desktops neu

1. Danke für den Duden das mit der Rechtschreibung üben wir nochmal ,,Komputer''.

2. Denke ich eher weniger, dass du mit spybot alles bereinigt hast geh mal in die Viren abteilung, ich schick mal nen Exerten vorbei der sagt dir was du machen sollst, danach reden wir über dein Problem( vielleicht liegt es an den Viren)

Ich übernehme hier (ich lass den Thread in den Sicherheit/Viren Bereich verschieben)

Hast nen Backdoor Trojaner drauf.

Ladt dir Hijackthis runter und erstelle damit ein Logfile. Anleitung siehe hier:
Anleitung Hijackthis

Außerdem mache einen Scan mit Malwarebytes, lasse alle Funde löschen und Poste den Report hier:

Anleitung:
Anleitung Malwarebytes

Und zum guten schluss auch Combofix benutzen und Logfile posten!!
Combofix 

Hallo ersguterjunge,

zunächst meinen allerherzlichsten für die schnelle Antwort (hätte mich ja schon gestern gemeldet, aber da bin ich erst spät von der Arbeit gekommen und hatte keine Lust mehr, mich an den Komputer zu setzen (Marvemann14: ich wais schon, wie man Komputer schraipt, nur ist meine Schraibe folle Apsichd - hingegen wenn ich mir manchen Baidrag in irgentwelchen Foren anschaue <nicht hier, da bin ich noch nichd waid genug vorgetrungen> rollz mir die Fußnegel hoch; da kann ich wenigstens die doitsche Schraibwaise verwenden - schließlich ist der Komputer ja auch eine doitsche Erfindung).

Aber wie 's schon mein Name sagt - wird schwierig werden :-)
Ich komme z. Zt. nur noch mit einer "Notfall-CD" von der Komputer-Bild ins Internet.
Da habe ich mir die Programme alle runtergeladen und habe aber gleich das nächste Problem: Ich finde die Datei HJTInstall.exe zwar auf meiner Kiste und auf der Notfall-CD ist auch ein Button "Befehl ausführen" drauf - wenn ich aber über "Befehl ausführen" die HJTInstall.exe auswähle, wird das Programm nicht installiert.
Wie kann ich das Programm installieren - Windows XP funzt ja nicht?
Besten Dank im voraus für Deinen Tipp.

Gruß

überhauptnixkapier

Ah, also ist windows defekt? nun,hier wäre erstmal eine datensicherung angebracht.
Das sollte mit dieser rettungs cd aus der CB gehen.Alternativ ein knoppix beschaffen.
Das die cd von CB auf linux basiert,entging deiner geschätzen aufmerksamkeit,oder?
Demnach kann popgrammcode für windows nicht unter linux ohne weiteres ausgeführt werden.
Ich würde statt aufwendig das system zu reparieren die daten auf externe platte packen und das ganze system neu instalieren.Das sollte besser sein,als dieses dämliche herumgelösche.
Damit Du in zukunft diese arbeit nicht mehr hast,einige infos:
http://community.magnus.de/forum/showthread.php?t=6074

Tja, lieber Gast,

leider ist diese Antwort nicht sehr hilfreich!
Ob Windows defekt ist, weiß ich nicht - "ersguterjunge" jedenfalls tippt auf einen Trojaner - und das erscheint mir recht schlüssig!
Deshalb habe ich ja ausdrücklich auch ihn weiter um Hilfe gebeten, weil ich nicht 10 Dinge gleichzeitig probieren möchte.
Offenbar hast Du nicht den Anfang hier gelesen..
Abgesehen davon, dass ich über das Hotline-Grundwissen verfüge (bei Hotlines wird grundsätzlich empfohlen, das System neu zu installieren, weil die in 95% der Fälle nicht weiterwissen), habe ich mich ja gerade deshalb an die Spezialisten gewandt, weil ich davor zurückschrecke - ich habe Programme auf C:, die ich im Leben nicht mehr installieren kann und die wären verloren bei einer Neuinstallation.

Ich danke ich Dir trotzdem für Deinen Beitrag, stelle aber die Frage trotzdem lieber nochmal an "ersguterjunge":
zunächst meinen allerherzlichsten für die schnelle Antwort (hätte mich ja schon gestern gemeldet, aber da bin ich erst spät von der Arbeit gekommen und hatte keine Lust mehr, mich an den Komputer zu setzen (Marvemann14: ich wais schon, wie man Komputer schraipt, nur ist meine Schraibe folle Apsichd - hingegen wenn ich mir manchen Baidrag in irgentwelchen Foren anschaue <nicht hier, da bin ich noch nichd waid genug vorgetrungen> rollz mir die Fußnegel hoch; da kann ich wenigstens die doitsche Schraibwaise verwenden - schließlich ist der Komputer ja auch eine doitsche Erfindung).

Aber wie 's schon mein Name sagt - wird schwierig werden :-)
Ich komme z. Zt. nur noch mit einer "Notfall-CD" von der Komputer-Bild ins Internet.
Da habe ich mir die Programme alle runtergeladen und habe aber gleich das nächste Problem: Ich finde die Datei HJTInstall.exe zwar auf meiner Kiste und auf der Notfall-CD ist auch ein Button "Befehl ausführen" drauf - wenn ich aber über "Befehl ausführen" die HJTInstall.exe auswähle, wird das Programm nicht installiert.
Wie kann ich das Programm installieren - Windows XP funzt ja nicht?
Besten Dank im voraus für Deinen Tipp.

Gruß

überhauptnixkapier
 

Ich finde es schon beachtlich,das gegebene infos nicht gelesen uns ausgewertet werden.
Offensichtlich ist es zuviel verlangt,mal über seine eigenen handlungen nachzudenken.
Das lesen der CB war zu schwer oder die ausgabe liegt nicht vor? Unter linux kann man nicht pogrammcode ausführen,der für windows hergestellt wurde.Das geht nur mit einigen verrenkungen,von dieser CB cd wird es nicht gehen,ob genehm oder nicht.

Desweiteren scheinst du keinerlei wertvollen daten zu haben,weshalb Du ohne irgendeine sicherung am system herumwerkelst.

Den von mir gegebenen link hast Du sicher nicht gelesen,oder?
Das der user ersguterjunge nicht sonderlich kompetent ist,sollte Dir sicher aufgefallen sein.Trojaner kann man nicht entfernen,egal,welches sinnfreie pogramm hier empfohlen wird.

Dein system startet nicht mehr,so entnehme ich dies deinem ersten beitrag.Korrigiere mich,wenn dies nicht stimmt.
Desweiteren hast Du nur über eine notfall cd von CB zugriff auf das internet.oder habe ich da etwas falsch verstanden?Ich bitte um korrektur,wenn dies anders ist.

Ich helfe Dir gerne,aber nicht beim basteln an verseuchten systemen.Gerne auch per IRC.
Um eine datensicherung kommst Du beizeiten nicht herum.

Welche pogramme sind denn angeblich so unersetzlich? eventuel kann ich da helfen.

 

 

ich habe Programme auf C:, die ich im Leben nicht mehr installieren kann und die wären verloren bei einer Neuinstallation.

Da scheint die Herkunft derselben doch recht zweifelhaft. Im Regelfall wird ein Programm durch den Kauf einer CD/DVD mit integrierter/beigelegter Lizenz erworben. Bei Internet-basierten Programmen durch den Download mit anschließendem käuflichen Erwerb einer Lizenz/Lizenzschlüssels, meist per Kreditkarte. Dieser ist SELBSTVERSTÄNDLICH auch nach einer Neuinstallation gültig, sofern der Lizenz-Zeitraum nicht abgelaufen ist. Wo wäre also hier das Problem, sofern alles legal erworben wurde?

C.

Lieber Carpenter,

das ist ja Quatsch mit der zweifelhaften Herkunft - nicht jedes Programm, das man nicht mehr installieren kann, ist illegal!!
Es handelt sich um ein Programm (ich verrate aber nicht, welches), für dessen Installation ich eine Woche (natürlich mit Unterbrechungen) gebraucht habe und tausendmal (gut, es waren nur 999 mal) bei einem anderen Besitzer dieses Programms nachfragen musste.
Und ich krieg das deshalb nicht mehr hin, weil ich den Code nicht mehr habe und weil ich auch den o. g. anderen Besitzer nicht mehr fragen kann.

Lieber "Gast":
Das mag ja alles richtig sein von wegen Komputer neu installieren und so - ich will aber trotzdem vor einer Neuinstallation (die kann ich ja jederzeit durchführen) jede andere Möglichkeit ausschöpfen, weil ich einfach auch keinen Bock habe, wieder stundenlang Programme zu installieren (ich sitze während meiner Arbeit schon den ganzen Tag vor 2 Bildschirmen, da möchte ich das abends auf ein Minimum begrenzen).
Ich will jetzt niemandes Qualifikation in Frage stellen, aber wenn man Trojaner nicht entfernen kann, dann muss ich mal annehmen, dass bei CHIP, PC-WELT usw. nur Unterbelichtete arbeiten, weil dort ist schon in mancher Ausgabe erklärt worden, mit welchen Programmen man solche Schädlinge entfernt - wo es doch gar kein Programm gegen sowas gibt.

Da soll sich dann noch einer auskennen!

Das ist jetzt wie beim Arzt: 2 Ärzte, drei Meinungen .

Gruß

überhauptnixkapier

Dann geh einfach meinem Rat nach!!

Ladt dir Hijackthis runter und erstelle damit ein Logfile. Anleitung siehe hier:
Anleitung Hijackthis

Außerdem mache einen Scan mit Malwarebytes, lasse alle Funde löschen und Poste den Report hier:

Anleitung:
Anleitung Malwarebytes

Und zum guten schluss auch Combofix benutzen und Logfile posten!!
Combofix 


Desto länger du wartest, desto schlechter werden deine Chancen bei der Reinigung!

@überhauptnixkapier
Folgenden link mit weiterführenden links hast du gelesen?
http://community.magnus.de/forum/showthread.php?t=6074
Ebenso zeigt mir deine argumentation,das du gennerell keine images von deinem system macht.
Und warum ist das pogramm derart geheim? wenn es einen lizenzschlüssel hat,dann könnter dieser in der regetry hinterlegt sein.Es gibt pogramme,womit man die auslesen kann.

Bei chip und anderen zeitschriften wird in bezug auf schadpogramme nur das geschieben,was die leute lesen wollen.Biher habe ich noch keine anleitung gesehen,die detaliert aufzeigt,welche schäden wo zu beseitigen sind und welche einstellungen bzw rechte man wie zurücksetzen muß.Das die aktuelle malware von hochbezahlten profis programiert wird,setze ich als bekannt voraus.

Zunächst lieber "W - Gast": Lasses gut sein und verwende Deine Zeit für sinnvolleres - in gewisser Weise bin ich beratungsresistent.

Und jetzt ersguterjunge:

Vorhin habe ich meinen "Komputer" mit Hikackthis gescannt und hier ist die Logfile-Datei:
Scan saved at 17:55:37, on 27.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sdt.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SpybotSnD] "E:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\Run: [USSShReg] E:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [SpybotSnD] "E:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [ClipIncSrvTray] "E:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [Werner] C:\Dokumente und Einstellungen\Werner\Werner.exe /i
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzuf�gen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.sdt.net
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\ORSP Client\fsorsp.exe
O23 - Service: HTTP-SSL HTTPFilterFSDFWD (HTTPFilterFSDFWD) - Unknown owner - C:\WINDOWS\system32\wpv451237070981.cpx.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TSMService - Unknown owner - E:\Programme\T-DSL SpeedManager\tsmsvc.exe (file missing)

--
End of file - 9268 bytes


Geht im nächsten Beitrag weiter - sonst überschreite ich die max. Zeichenanzahl

Und dann bin ich mit Malwarebytes drüber - und da ist hierzu die Log-Datei:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3

27.03.2009 18:29:10
mbam-log-2009-03-27 (18-29-10).txt

Scan-Methode: Vollst�ndiger Scan (C:\|)
Durchsuchte Objekte: 177350
Laufzeit: 29 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschl�ssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 23

Infizierte Speicherprozesse:
(Keine b�sartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine b�sartigen Objekte gefunden)

Infizierte Registrierungsschl�ssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7545d8c8-f53c-4e2f-8fa0-d248ef4a6e61} (Rogue.Installer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i386si (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\i386si (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i386si (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ws2_32sik (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ws2_32sik (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ws2_32sik (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine b�sartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Trojan.Agent) -> Data: digeste.dll -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine b�sartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP561\A0998842.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP563\A1001033.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP564\A1002231.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP564\A1004504.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP564\A1004710.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP564\A1005830.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP565\A1006929.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP565\A1007966.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP566\A1009049.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP568\A1010579.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP568\A1010662.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP570\A1011734.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP570\A1013042.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP570\A1013089.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP570\A1013259.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP571\A1013467.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP571\A1014584.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP574\A1019816.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP577\A1025672.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP577\A1025732.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\i386si.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ws2_32sik.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\digeste.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Bei Malware waren 23 Dateien infiziert (was mich wundert, weil ich mit dem Programm schon nach dem ersten Trojanerbefall das System gescannt habe - und da war nur eine Datei infiziert), die ich dann auch bereinigt habe.

Ich habe daraufhin einen Neustart versucht - erfolglos.
Jetzt komme ich erst gar nicht mehr zum Desktop vor, sondern am Anfang erscheint eine Meldung: keine (oder war 's falsche?) Disk im Laufwerk und der Monitor bleibt schwarz und der Cursor blinkt als waagerechter Strich munter vor sich hin :-(

Was tun?

Gruß

überhauptnixkapier 

 

Bei Malware waren 31 Dateien infiziert (was mich wundert, weil ich mit dem Programm schon nach dem ersten Trojanerbefall das System gescannt habe - und da war nur eine Datei infiziert), die ich dann auch bereinigt habe.

Das ergänzt sich doch prima damit:
 

Zunächst lieber "W - Gast": Lasses gut sein und verwende Deine Zeit für sinnvolleres - in gewisser Weise bin ich beratungsresistent.

Sowie mit dieser, deiner Äußerung:
 

Ich will jetzt niemandes Qualifikation in Frage stellen, aber wenn man Trojaner nicht entfernen kann, dann muss ich mal annehmen, dass bei CHIP, PC-WELT usw. nur Unterbelichtete arbeiten, weil dort ist schon in mancher Ausgabe erklärt worden, mit welchen Programmen man solche Schädlinge entfernt - wo es doch gar kein Programm gegen sowas gibt.

Hierzu nochmals der Rat von "W":
 

Ah, also ist windows defekt? nun,hier wäre erstmal eine datensicherung angebracht.
Das sollte mit dieser rettungs cd aus der CB gehen.Alternativ ein knoppix beschaffen.
Das die cd von CB auf linux basiert,entging deiner geschätzen aufmerksamkeit,oder?
Demnach kann popgrammcode für windows nicht unter linux ohne weiteres ausgeführt werden.
Ich würde statt aufwendig das system zu reparieren die daten auf externe platte packen und das ganze system neu instalieren.Das sollte besser sein,als dieses dämliche herumgelösche.
Damit Du in zukunft diese arbeit nicht mehr hast,einige infos:
http://community.magnus.de/forum/showthread.php?t=6074

Aktueller Stand der Dinge:
 

Ich habe daraufhin einen Neustart versucht - erfolglos.
Jetzt komme ich erst gar nicht mehr zum Desktop vor, sondern am Anfang erscheint eine Meldung: keine (oder war 's falsche?) Disk im Laufwerk und der Monitor bleibt schwarz und der Cursor blinkt als waagerechter Strich munter vor sich hin :-(

Was tun?
 

Niemals sich belehren lassen, würde ich sagen

C.

Carpenter:
wie schon mal gesagt: 2 Ärzte - 3 Meinungen.
Wer hat recht?
Einer, der sich nur als Gast einloggt und super Ratschläge gibt, Du mit 1400 Einträgen, ersguterjunge mit ca. 5000 Einträgen, die Zeitschriften, die ja die User verdummen??
Übrigens - ich hatte mal vor einiger Zeit einen Trojaner drauf und den habe ich mit entsprechender Software wieder entfernen können.

Und wie auch schon oben erwähnt: das System neu aufspielen kann ich jederzeit - auch ohne Deine Häme und deine Belehrungen

 

Und wie auch schon oben erwähnt: das System neu aufspielen kann ich jederzeit

Würde mir die Häme ja zu gern ersparen, aber die Resultate deiner (erfolglosen) Aktionen geben mir recht. Dabei habe ich ja die Reaktion auf die "unwiederbringbare" Software, von der u.a. die Rede war, gänzlich ausgelassen.

Nebenbei: Die Anzahl der Beiträge sagt nicht zwingend etwas über die Qualität derselben aus.

C.

Nun,wenn Du derart allwissend bist,warum fragst Du dann hier? Solltest Du an quallifizierter hilfe intresse haben,lass es uns wissen.Jedoch helfen wir leuten,die meinen,alles besser zu wissen,nicht weiter.
Daneben sei angemerkt,das ich aus gutem grunde als gast schreibe.Die anzahl von beiträgen gewisser leute sagt nix über deren kompetenz aus.Ob Du dies nun glaubst oder nicht.
Von daher,spiele weiter mit deinem verseuchten system,die rechnung dürft milttelfristig sehr unangenehm ausfallen.

wenn du schon sagst das du Dreck runtergeladen hast, helfe ich dir nicht mal bei der Formatierung. 

 

helfe ich dir nicht mal bei der Formatierung.

Wird auch nicht nötig sein. Der Herr "überhauptnixkapier" ist doch bestens informiert, wie man sieht 

C.

wenn du schon sagst das du Dreck runtergeladen hast, helfe ich dir nicht mal bei der Formatierung. 

Ist ja echt rührend, wie sich da einige Herren um mich kümmern
Aber schade um die Zeit, die ihr da vergeudet - denn wenn ihr genau lesen würdet, hättet ihr vielleicht gesehen, dass meine letzte Anfrage ausschließlich an ersguterjunge gerichtet war.
Also, lasst gut sein... 

Combofix bitte anwenden!

Combofix bitte anwenden!

Hallo ersguterjunge (und hallo liebe "Unken"),

Windwos läuft wieder Smiley.
Nach HIJACKTHIS und MALWAREBYTES funzt das System wieder - nur 2 gaaanz kleine Problemchen habe ich noch:
1. ich habe mal unter http://virus-protect.org/artikel/tools/combofix.html nachgeschaut, wie Combofix ablaufen sollte - wenn ich Combofix starte, erscheint nur der blaue Bildschirm, auf dem links oben der Cursor blinkt, weiter passiert nichts (Firewall usw. war deaktiviert, wie vorgeschrieben).

2. Windwos startet z. Zt. nur, wenn ich die ganz am Anfang des Threads erwänte Rettungsdisk von Komputerbild reinschiebe und nach dem Hochfahren auf die Option "Windows Starten" gehe.

Ich vermute mal, dass beim 'Malewarebyten' ein paar wichtige Systemdateien abgeschossen wurden.
Hier ist das zugehörige Logfile:
-----------------------------------------------
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1915
Windows 5.1.2600 Service Pack 3

29.03.2009 13:22:19
mbam-log-2009-03-29 (13-22-02).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 184891
Laufzeit: 31 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Spyware.StolenData) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Werner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XKGH1UD4\731l2[1].0xe (Backdoor.KeyStart) -> No action taken.
C:\Dokumente und Einstellungen\Werner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XKGH1UD4\load[1].exe (Trojan.Hiloti) -> No action taken.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP590\A1041996.exe (Trojan.DNSChanger) -> No action taken.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP595\A1046284.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP595\A1046285.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP595\A1106738.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP595\A1106739.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP595\A1107751.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{BE990F5B-896F-42D5-BA4B-F6375A98EDDC}\RP595\A1107752.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Spyware.StolenData) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Spyware.StolenData) -> No action taken.
------------------------------------------------
Nun meine Fragen: ist Combofix noch nötig, wenn das System wieder läuft und wie kriege ich das wieder hin, dass Windows auch ohne die Komputerbild-CD wieder hochfährt?

Die Anfrage geht ausschließlich an ersguterjunge - alle Unken bitte zurückhalten (ich halte mich auch zurück und gebe meinen Kommentar erst ab, wenn alles läuft)

Vielen Dank

Jaa Combofix ist nötig!!!

Auch wenn ich dir hier sagen muss das das Risiko sehr hoch ist dass am ende noch schädlinge drauf sind!

Jaa Combofix ist nötig!!!

Auch wenn ich dir hier sagen muss das das Risiko sehr hoch ist dass am ende noch schädlinge drauf sind!

Okay, aber warum funzt Combofix nicht so, wie es sollte?