Merkwürdige Folgen von Virusbefall - mit Hijack Log

Hallo Forum,

Vor ca. 3 Monaten hatte ich das erste mal gemerkt, das mein PC unter Virusbefall leidet. Ich konnte vom Arbeitsplatz nur noch über Rechtsklick -> öffnen auf die Partitionen, Datenträger usw. zugreifen, mit Doppelklick gab es ein "Bling" und Windows sagte mir die, mir völlig unbekannte, Anwendung ntdetec.exe könne nicht gefunden werden. Naja was solls geht man halt über Rechtsklick. Nur bald darauf bekomme ich dazu auch noch Fehlerberichte und Abstürze von der explorer.exe, sobald ich in bestimmte Verzeichnisse navigiere. Stinknormale Dokumente, Videos, Bilder. Mittlerweile hatte ich den PC schon mindestens 5mal formatiert und neu aufgesetzt. Als ich meinen USB-Stick dann an den Laptop eines Freundes anschloss, meldete sein Kaspersky blitzschnell, die Infektion "updatewinc.exe" läge vor. Na toll, Mein AntiVir Free meldete weiterhin ein super sauberes System. Von ihm bekam ich AVG Free als besten kostelosen Virenschutz empfohlen, der bei mir diese Infektion auch fand. Nur besteht der fehler weiterhin und mittlerweile stürzt die explorer.exe nicht mehr ab, sondern verbraucht, sobald ich in diesen wenigen wichtigen verzeichnissen bin, 98 - 99% CPU Leistung und es geht garnix mehr. Ich muss den Prozess jedesmal über den Taskmanager beenden Diese Verzeichnisse habe ich auch immer mit auf meine dauerhaft angeschlossene externe Platte kopiert wenn ich den PC neu aufgesetzt habe. Wenn ich in Adobe Premiere oder AE CS3 ein Video bearbeite und über die "impotieren" Funktionen diese verdammt wichtigen Verzeichnisse aufrufe, werde ich wieder und wieder mit voller CPU Auslastung belohnt. Kann sich der Virus oder was das ist auch auf dem Mainboard, Arbeitspeicher oder Graka festgesetzt haben.....vllt im BIOS?
Habe jetzt die unaktivierte und, laut meldungen, eingeschränkte Kaspersky 2009 Internet Security zum testen geladen, und siehe da es findet Viren oder Infektionen (k.A. wie das genau heißt) Die Hälfte derer werden aber weder "desinfiziert" oder "gelöscht" sondern "zurückgestellt"

Hab mich bereits duselig geoogelt, konnte aber irgendwie nix finden.

Also hier der (oder das?) Log File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:27:44, on 29.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\csrss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Digidesign\Drivers\MMERefresh.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINXP\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINXP\System32\alg.exe
C:\WINXP\explorer.exe
C:\WINXP\System32\UpDateWind.exe
C:\WINXP\System32\UpDateWind.exe
C:\WINXP\system32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F3 - REG:win.ini: run=C:\WINXP\System32\UpDateWinc.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NexusServer] "C:\Programme\Gemeinsame Dateien\Grass Valley\ProCoder 3\Kernel\PNXSERVR.exe" -SelfLaunch
O4 - HKLM\..\Run: [DigidesignMMERefresh] C:\Programme\Digidesign\Drivers\MMERefresh.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: Avid SDM Service (AvidSDMService) - Unknown owner - C:\WINXP\system32\AvidSDMService.exe (file missing)
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - C:\Programme\Digidesign\Drivers\MMERefresh.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 7750 bytes



Und hier nochmal ein Screenshot der mich auch sehr in verwunderung gebracht hat:
(es liefen keine Anwendungen, abgesehen vom Grafik und Audiotreibber, hoffe ich ;-)



Arbeite mit 2 Bildschirmen

Viele liebe grüße,

mcstudios

 

tja, dann würd ich beim aufsetzen überlegen, ob du nicht vielleicht die Malware immer wieder raufschmeisst- vielleicht spielst du immer wieder infizierte Sachen zurück..
Das Log schau ich mir jetzt gar nicht an, da du immer wieder das Prob zu haben scheinst- also musst du jetzt mal nachdenken

 

Aber beim scann findet kaspersky (und auch avg und antivir) in den Dateien nix, und die sind obendrein auch noch enorm wichtig

 

Was ist das?

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

Und das?
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

 

Also den Spyware Doctor hab ich mir eben deswegen erst vor 2 Tagen runtergeladen....der untersucht das ganze nach Spyware denk ich^^

Achja, an dem Schnittrechner um den geht gibts keinen Internetzugang, die Dateien kommen immer von dem an dem ich gerade sitze und USB Stick

Puh keine Ahnung was das ist...ihr seid die Spezialisten....

 

Verwendest du .... öhm ... sagen wir mal nicht gekaufte Software die man besser kaufen sollte?

Seltsam das der Spyware Doktor nicht erkannt wird von der Logauswertung

Is dein Rechner ^^ DU musst wissen welche Software absichtlich läuft

Nachtrag: Nach kurzer Googlesuche würde ich die drei Einträge fixen lassen

 

irgendwo her muss der Mist kommen- sprich wenn nicht übers Netz, dann über befallene Daten:
mein Tip:
Neuaufsetzen
und bevor du Sachen auf den Rechner spielst: online via jotti bzw virustotal auf Malware checken lassen

Experten??? hmm hier sind ein paar die sich ein bisschen mit der Materie beschäftigen.. also Experte - hmm so arrogant bin ich dann auch wieder nciht

 

Dake schon mal für die antworten....werde das mit dem online check heute machen.
Das Programm

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

Kenn ich aber nicht bzw. hab ich nicht wissentlich installiert....

Was meinst du mit "fixen" lassen...?

 

HILFE!!!! Das Limit für die Dateigröße ist um die 20 MB.....die Dateien sind beispielsweise Videos mit einer Größe (jedes Video) von 10GB....
also wenn nix mehr geht könnt ich ja SplitArchive anlegen und die dann hochladen (was ne Arbeit) aber dann findets die Viren ja garnicht oder?

 

die Filmdateien werden sauber sein

HJT--> Haken setzen--> fixen klicken

 

Ah ok vielen dank...mach das glech mal in 5min.

und was bewirkt das genau? werden diese Prozesse (oder was das zu sein scheint) dann gestoppt?


Viele Liebe Grüße,
mcstudios

EDIT: Achja: Welche Dateien außer den Filmdateien sind den noch definitiv sauber? Bilder? Musik? Muss ich nur Anwendungen und Installationsordner prüfen lassen?

 

Hallo,

Kaspersky hat den Virus nun auf C:\ gefunden. Nur sind da die 4 Ordner: WINXP; Programme, Dokumente und Einstellungen und Postinstall (keine Ahnung was Postinstall genau ist). Nirgens eine solche .exe? Kaspersky Trial meldete desweiteren das der Virus "Virus.Worm.Win32.VB.pm" hieße....nach kurzer Suche in Google glaube ich das den noch keiner außer mir hat. Viele haben VB Dinger, aber immer mit anderen Endungen als pm. Nach dem Scan der Trial KIS sagte er mir die externe Platte ist sauber.....und ich sag euch nach dem formatieren ists gleich wieder da.

Wie lösch ich das Ding und sind dann wenigstens die Probleme mit der Explorer.exe usw. weg???
HILFE!!!!

 

Kaspersky Trial konnte nach einem Update den Virus entfernen....seitdem keine Meldungen von Kaspersky mehr....die Probleme mit der Datei "ntdetect.exe" bestehen aber weiterhin! Kaspersky sagte in dieser Anwendung sei der Virus (gewesen). Auch wenn ich diese wenigen Ordner ansteuere hängt die explorer.exe wieder mit 99% an der CPU.
Meint ihr das ganze ist nach einer Neuinstalltaion behoben???

Viele Liebe Grüße
mcstudios

 

ntdetect.exe ist ein Trojaner.
http://www.processlibrary.com/de/directory/files/ntdetect/
Gibt es die ntdetect.com unter c:\ ?

http://www.heise.de/ct/04/10/094/

 

Dann sollte das ganze doch hoffentlich nach einer neuinstalltaion behoben sein....ich werde berichten

 

Meine Idee: prüfen ob externe Festplatte zur Datenrettung sauber ist.

Rechner mit einer Live-CD (Linux oder Bitdefender-rescue-cd) starten, und besagte externe Festplatte anschliessen.

1. diese auf Viren prüfen mit der "Bitdefender rescue CD" oder der "avira rescue cd"

und/oder

2. mit Knoppix oder "DSL" damnsmalllinuxCD prüfen ob sich im Hauptverzeichnis einer der Partitionen der externen Festplatte nicht irgendwo ein bösartiges "autorun.inf" befindet welches den neuaufgesetzten Rechner beim Antecken der Platte sofort wieder infiziert.

Wenn mit der LiveCD ein "autorun.inf" oder eine Malware auf der externen HDD gefunden wird, dann LÖSCHEN bevor die Paltte wieder mit windows genutzt wird.

Oder autorun.inf umbenennen in "neverun.txt" und hier posten zwecks Analyse durch die Experten.

Mit dem infizierten Windows die externe HDD auf Viren zu prüfen oder eine autorun.inf zu suchen, macht hingegen überhaupt keinen Sinn, die Malware kann in Windows ihre eigenen Komponenten verstecken.

 

Hallo,

Wollte heute mit der CHIP Alles-Retter DVD, Barts PE-Builder nutzen um noch einmal in einem zweiten Virenfreien Betriebssystem den Scan durchzuführen....doch siehe da....sobald ich etwas von der Disk auf den PC kopieren möchte, oder Anwendungen von der CHIP Heft-DVD starten will, friert der PC 1-2 Sekunden ein, meine Musik wird langsamer (hört sich seltsam an) und schließlich stürzt er ab und startet neu.

Was soll ich machen?

EDIT:

Hier mal der Screenshot von Nero Disc Speed:



Sieht eher langsam als defekt aus....aber sehr langsam....? oder irre ich mich?

 

Du kannstmal im BIOS gucken, ob der Systembus nicht verstellt ist.

 

Nene, kann nicht sein, hab erstens nix im BIOS gemacht und 2. und das vor allem, einen BIOS reset durchgeführt.

Weiß hier keiner eine andere Lösung als PC Verschrottung???