YAHTL - yet another hijack this log - wieder mal HIJACK

Liebe Forengemeinde,

ich habe die üblichen Anzeichen,
Firefox öffnet Fenster zweimal - ungefragt -
öffnet Fenster mit ungewolltem Inhalt etc.

Da zuvor kein Antivirus Programm installiert war, AVira installiert, drüberlaufen lassen, Resultat etwa 24 unerwünschte Programme wie Trojaner, Viren, Malware.

Leider hat dies das Problem noch nicht behoben.
AddBlocker installiert, hat ebenfalls nicht geholfen.
Deshalb ging ich den nächsten Schritt und hab Hijack This drüberlaufen lassen.

Würdet Ihr, die, die Fähigkeit besitzt, diese Logs zu lesen, mir helfen und das folgende Log mir übersetzen oder mir sagen was ich weiter tun soll.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:11:36, on 01.10.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Silvercrest MTS2218 driver\StartAutorun.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Silvercrest MTS2218 driver\KMConfig.exe
C:\WINDOWS\system32\ctfmon.exe
C:\dokumente und einstellungen\willy\lokale einstellungen\anwendungsdaten\nffmed.exe
C:\Programme\Silvercrest MTS2218 driver\KMProcess.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Dokumente und Einstellungen\Willy\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.web.de/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.web.de/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.web.de/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - (no file)
O2 - BHO: (no name) - {2C86C605-6081-D104-96F7-F765C20B22F1} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Programme\Save Flash\SaveFlash.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Silvercrest MTS2218 driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [nffmed] "c:\dokumente und einstellungen\willy\lokale einstellungen\anwendungsdaten\nffmed.exe" nffmed
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\default\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\default\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - AppInit_DLLs: zipfldra.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

Mit Dank im Voraus, auch im Namen meines Computers.

 

O4 - HKCU\..\Run: [nffmed] "c:\dokumente und einstellungen\willy\lokale einstellungen\anwendungsdaten\nffmed.exe" nffmed
WAS?

*
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\default\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\default\svchost.exe
dürfte das aus für das system bedeuten.
*
mit diesem
O20 - AppInit_DLLs: zipfldra.dll
eintrag könnte weiterer support hier schwierig werden...

 

Ein weiteres größeres Problem dürfte darin liegen, dass weder Windows noch der IE aktuell sind.
Ich würde dringend eine Neuinstallation auf aktuellem Stand empfehlen.

 

Danke für die prompten Antworten.

Updaten von Windows und IE werde ich, sobald das System als rettbar erkannt wurde, durchführen.

Deshalb würde ich Boston bitten, dass Du mir deine Antwort etwas detaillierter aufschlüsselst.
Denn die unbeschwerte Art deiner Antwort lässt bei mir kurz den Eindruck der Unbedenklichkeit entstehen.
Und ich hoffe, dass Du mit z.b.
"dürfte das aus für das system bedeuten."
kein grosses Wort gelassen ausgesprochen hast.

Also,ist das System wirklich nicht mehr zu retten oder mache ich nur die Pferde scheu, das System ist in Ordnung und Du sagst mir das auf charmante Weise?

Vom worst case aufgehend, falls das System nicht mehr zu retten wäre, bedeutet das: vollständige Neuinstallation, Änderung aller PWs etc.
Falls das System noch zu retten wäre, was kann ich tun und sind die amortisierten Kosten geringer als eine Neuinstallation?

 

Hallo Willy001

Bei 24 unerwünschten Programmen auf deinem Rechner würde ich das System als "unrettbar" bezeichnen. Ich an deiner Stelle würde keine weitere Zeit verschwenden und das System neu aufsetzen.

Besorge dir von einem sauberen Rechner das SP3 für Windows XP sowie das aktuellste Update-Pack für Windows XP SP3 (beides auf CD/DVD brennen oder auf einen virenfreien USB-Stick kopieren) und aktualisiere damit offline deinen Rechner nach der Neuinstallation von Windows XP. Danach gehst du online und besorgst dir die restlichen Updates.

Nachstehend noch einige Tipps, wie du deinen Rechner zukünftig sauber und aktuell hältst:

http://www.pcwelt.de/start/sicherhe...0272/10_grundregeln_fuer_ein_sicheres_system/

http://www.pcwelt.de/start/sicherhe...eber_windows_sicher_in_5_schritten/index.html

Gruß
Nevok

 

Etwas weniger charmant: Das ist ein softwaremäßiger Totalschaden. Es besteht der dringende Verdacht, dass dir eine Backdoor eingebaut wurde. Durch dieses Hintertürchen konnten Menschen, denen du nicht in einer dunklen Gasse begegnen möchtest,mit deinem Computer machen, was sie wollten.

Ich bin übrigens nicht der Aufassung, dass du neu aufsetzen und den PC weiter benutzen solltest. So ein Gerät ist nichts für dich.

So, das war jetzt völlig uncharmant.

 

schön erklärt! - und wenn man sich das Log genau anschaut, könnte man auch auf die Idee kommen, dass der "Support" hier im Forum in diesem (Pflege-)Fall eingestellt werden sollte! so, mehr Charme geht nicht ...

 

an sich gerne, und wenn es (u.a.) um eines meiner lieblingsthemen, navipromo/favorit, geht, noch lieber, allerdings dürfte support bei warez-kisten wie deiner nicht mit den forenrichtlinien vereinbar sein.
von einer moralischen sicht der dinge mal ganz zu schweigen...