Malware, Rootkit oder Virus? (dringend)

Hat vielleicht auch andere Gründe als ein Virus? ;p


Poste mal ein Hijackthis Logfile:

Hijackthis Download

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:14:49, on 14.10.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v9.00 (9.00.7930.16406)
Boot mode: Normal

Running processes:
C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Pidgin\pidgin.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\explorer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.100.14:3128;https=192.168.100.14:3128;ftp=192.168.100.14:3128;socks=192.168.100.14:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;192.168.100.;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: ExplorerBHO Class - {449D0D6E-2412-4E61-B68F-1CB625CD9E52} - C:\Program Files\Classic Shell\ClassicExplorer32.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\Microsoft Office\Office14\GROOVEEX.DLL
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\Microsoft Office\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Classic Explorer Bar - {553891B7-A0D5-4526-BE18-D3CE461D6310} - C:\Program Files\Classic Shell\ClassicExplorer32.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner\RivaTunerWrapper.exe" /S
O4 - HKLM\..\Run: [RivaTuner] "C:\Program Files\RivaTuner\RivaTunerWrapper.exe" /T
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - S-1-5-18 Startup: LockWorkStation.vbs (User 'SYSTEM')
O4 - .DEFAULT Startup: LockWorkStation.vbs (User 'Default user')
O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: (no name) - {64964764-1101-4bbd-8891-B56B1A53B9B3} - C:\Program Files\Classic Shell\ClassicExplorer32.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AppBooster Service (AppBoosterService) - 2tox - C:\Program Files\Common Files\2ToX Common\BoostService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe

--
End of file - 7048 bytes
 

Das log machen wir aber nochmals,diesmal mit version 2.0.4
dann wird auch dein OS und dessen besonderheiten korrekt erkannt.
Bisher schaut system aus wie eine müllhalde...

Zur Müllhalde:
Soll das produktiv sein? Hier geht es um ein ernstzunehmendes Problem, und nicht darum, ob mein Rechner zu viel Software hat. (kleiner Zusatz: In den letzten zwei Wochen sind sage und schreibe 2 Programme dazugekommen, was heißen soll, dass mein Problem nicht daher rührt)

Zur Version 2.0.4:
Da kommt haargenau die selbe Log-File heraus wie bei Version 2.0.2. Also: Liest du oben, bekommt du was du willst  .

Edit: Ja, hab es im Admin-Modus gestartet.
Zusatz zur Müllhalde: Manchmal schadet es nicht, zu sagen, dass jmd Recht hat. 

Helft mir bitte, Problem hat sich auch  NICHT durch das Löschen der zwei Einträge gelöst!!!

 MSIE: Internet Explorer v9.00 (9.00.7930.16406)

Ist eine Beta , und kann noch viel Ärger bereiten .

Starte Virenscan mal von bootbarer CD .

System reparieren kann man,dauert und ist sehr aufwendig.
Besser wäre es,ein derart zugemülltes und verbogenes system neu zu machen,das ist sicherer und effektiver,als das system weiterhin zum hinken zu bewegen,.
Du kannst gerne das machen mit dem reparieren,aber bastellösungen sind andere für zuständig,ich bevorzuge effiziente lösungen.

IE9 schmeiß ich wieder runter. Scan von Boot-CD(Linux) mach ich sofort.
Danke! Mal schauen, was rauskommt.

Frederik

ICH würde ggf nach dem Scan von CD meine Daten sichern & neu installieren .
Und diesmal vom sauberen System ein Image anlegen .

Danke, aber ich wollte mein System nicht neu aufsetzen, sondern retten, trotzdem danke. IE9 ist runter, benutze ihn zwar nicht oft, wollte mich aber als Beta-Tester probieren(gefiehl mir eh nicht: komische Benutzeroberfläche und manche Seiten, wie siese hier, luden trotz DSL ungefähr 15 Sekunden, bevor ein Bild kam). Ansonsten steht jetzt der Scan von Linux aus an. Melde mich, bei Fund oder nicht.
 
Frederik

Post scriptum: Ich sitze an einem Windows 7-Rechner in einer Domäne

von Test-PCs sollte man IMMER ein sauberes Image haben !!

Sooooo, das kam beim Linux-Boot-CD Scan heraus: Keine Funde. Habe mal das Virus Removal Tool von Kaspersky in Anspruch genommen. Normaler Scan nix, beim Manuellen Entfernen (kompletten Ablauf schildern dauert zu lang) per Script wurden ziemlich viele Sachen geblockt, unteranderem auch Sachen in Richtung Avira Antivir, obwohl es deaktiviert war und ca. 10 Dateien oder 15 in Quarantäne verschoben. Ich tat daraufhin folgendes: Virus Removal Tool runter, Malwarebytes' Anti-Malware im Flash-Scan drüber laufen lassen. Voila: Rootkit gefunden, natürlich als .sys im Driver-Ordner mit kryptischen Namen aus Zahlen (Rootkit.Agent.H). Nach Neustart war das Ergegnis, viele werden es kaum raten: keines -.- Problem bleibt bestehen. Mittlerweile lassen sich viele Programme auch nur schwer öffnen, wenn sie minimiert sind, z.B. Skype 5. Klicke ich auf das minimierte Taskleistensymbol, kommt nix, aber das Symbol wird als aktiv angezeigt. Da helfen nurnoch die Hotkeys von Windows, sprich [WIN]+[PFEILTASTE OBEN]. Was nun?

Zusätzliches: 1. Ich habe zusätzlich festgestellt, dass der csrss.exe-Prozess nur von meiner Platte liest, aber nicht ein Bit schreibt. Frage: Warum?! Kommt mir suspekt vor. 2. Könnte vielleicht OTL weiterhelfen?? Wenn ja, bitte mit Unterstützung.
 
Dringend auf Antworten wartend, Frederik

PS: Das ist ein Familien-PC für mich in einem Familiennetzwerk mit Domäne und Proxy.

Solche Beschreibungen helfen nicht wirklich, wenn Du Schädlingsnamen und Pfadangaben der virulenten Dateien weglässt. Poste am besten alle Logfiles mit den Funden.