Menüleisten nach erstem Klicken weiß/grau unterlegt

[Semmling]

Hallo Petra,

nein, unter Systemsteuerung/Software war nichts zu finden mit diesem Namen, was ich löschen konnte. Soll ich es mit dem Fix dennoch versuchen, auch wenn das Programm nicht mehr drauf sein könnte?

[Petra]

ja bitte

[Semmling]

Juchu, diesmal war es erfolgreich!

Hier das Logfile:

Code:

========== SERVICES/DRIVERS ==========
Error: No service named EverestDriver was found to stop!
Service\Driver key EverestDriver not found.
Error: No service named StarOpen was found to stop!
Service\Driver key StarOpen not found.
Service PEVSystemStart stopped successfully!
Service PEVSystemStart deleted successfully!
 
OTL by OldTimer - Version 3.2.58.0 log created on 08192012_181718

[Petra]

Hallo Semmling,

ich warte noch auf Rückmeldung von Jintan. Inzwischen kannst Du schon folgendes tun:



===== Punkt 1 =====

Welche Java-Version ist installiert?

Viele Schädlinge kommen über Sicherheitslücken in Java (sog. Exploits) auf ein System. Daher ist es sehr ratsam, alte Versionen (sofern vorhanden) zu deinstallieren und das Risiko zu minimieren, indem Java immer topaktuell gehalten wird.

Kontrolliere über Systemsteuerung => Programme, welche Java-Version installiert ist.
Falls es nicht Java Version 7 Update 5 ist:

Eventuell vorhandene ältere Versionen von Java über Systemsteuerung => Programme deinstallieren
ggfs. auch im Firefox unter Addons => Erweiterungen die alten Java-Versionen entfernen.
Bei Dir sehe ich: Java(TM) 6 Update 31

Die Offline-Version von Java Version 7 Update 5 von Oracle findest Du hier.
Eventuell angebotene Toolbars nicht mitinstallieren, ggfs. also den Haken beim Toolbar-Angebot entfernen.

User mit 64Bit-System sollten die 32Bit-Version installieren. Es hat sich mehrfach gezeigt, dass die 64Bit-Version Probleme bereitet.


Unter Systemsteuerung => Java => Aktualisierung einstellen:
Benachrichtigung ausgeben => Vor der Installation
Haken bei Automatisch nach Aktualisierung suchen machen und unter Erweitert auf "Wöchentlich" einstellen.


Java-Cache leeren

Start => Systemsteuerung => Java => Allgemein => Temporäre Internet-Dateien "Einstellungen" => Dateien löschen => Haken bei "Anwendungen und Applets" sowie bei "Verfolgungs- und Protokolldateien" setzen => OK




===== Punkt 2 =====

Scan mit SystemLook

Hiermit prüfe ich, ob für diese Infektion übliche Einträge noch vorhanden sind. Das Tool ändert nichts, wirft mir nur die nötigen Infos aus.

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).

Download Mirror #1 - Download Mirror #2
User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code:

  :filefind
  wshbth.dll

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

===== Punkt 3 =====

Wird an diesem Rechner überhaupt Bluetooth (Datenübertragung zwischen Geräten über kurze Distanz per Funktechnik (WPAN)) benutzt?

Ich frage, weil unter den O10-Einträgen ein angeblich nicht auffindbare Datei gelistet wird, die meiner Recherche nach, etwas mit Bluetooth zu tun hat. Im vorherigen Punkt schauen wir, ob die Datei wirklich nicht da. In Deiner Uninstall-Liste befinden sich diesbezüglich folgende Programme, die möglicherweise damit zu tun haben könnten:

"31BC243044B2C02B454ECDA8F5B44427F3754DD0" = Windows-Treiberpaket - Apple Inc. (applebt) Bluetooth (03/01/2010 3.0.0.5)
"5D1F13EEF9A42CC17001EAFFC701D57AF8D13E9D" = Windows-Treiberpaket - Apple Inc. Apple Broadcom Bluetooth (03/01/2010 3.1.0.3)
"5F8BE32FAE3D6BC77B512F7B0624D7B6C8A26EFB" = Windows-Treiberpaket - Apple Inc. Apple Bluetooth Enabler (06/27/2007 2.0.0.1)
"DE32692B1421420518B0CA8EEDD6DF2A494F279F" = Windows-Treiberpaket - Apple Inc. Apple Wireless Mouse (11/30/2009 3.0.0.6)
"E0C32821F1E2CE3EB89C177BEA1AEF6558D681D9" = Windows-Treiberpaket - Apple Inc. Apple Wireless Trackpad (04/12/2010 3.1.0.5)




===== Punkt 4 =====

Da immer wieder folgende Fehlermeldung in den Ereignissen auftaucht, schauen wir wie folgt nach, was mit dem Dienst "Computerbrowser" (interner Name "Browser") los ist:

Error - 16.08.2012 11:04:30 | Computer Name = HENDRIK-81422A4 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060


Details eines Dienstes ausgeben lassen

Start => ausführen => cmd reinschreiben und Enter drücken.

Es öffnet sich die Eingabeaufforderung.

Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.

Code:

sc qc browser > C:\services.txt

Schließe das DOS-Fenster.

Inhalt von C:\services.txt hier posten.

[Semmling]

Hallo Petra,

hier die Ergebnisse:

Zu Punkt 1: Ich habe die bisherige Java-Version gelöscht, die neueste aufgespielt sowie die Aktualisierung eingerichtet.

Zu Punkt 2: Ergebnis von SystemLook:

Code:

SystemLook 30.07.11 by jpshortstuff
Log created at 11:10 on 20/08/2012 by Hendrik
Administrator - Elevation successful

========== filefind ==========

Searching for "wshbth.dll"
C:\Windows\$NtServicePackUninstall$\wshbth.dll	--a---- 108032 bytes	[10:00 28/02/2006]	[10:00 28/02/2006] B553D716F3E089CB16B09A7052AEFA95
C:\Windows\ServicePackFiles\i386\wshbth.dll	--a---- 108032 bytes	[05:52 14/04/2008]	[05:52 14/04/2008] 41CCC4CD535579D27AEAB485B36CEB9E
C:\Windows\system32\wshbth.dll	--a---- 108032 bytes	[10:00 28/02/2006]	[05:52 14/04/2008] 41CCC4CD535579D27AEAB485B36CEB9E
C:\Windows\system32\ReinstallBackups\0016\DriverFiles\i386\wshBth.dll	--a---- 108032 bytes	[10:00 28/02/2006]	[10:00 28/02/2006] B553D716F3E089CB16B09A7052AEFA95

-= EOF =-

Zu Punkt 3: Ja, ich benutze die Apple Magic Mouse sowie eine kabellose Tastatur von Apple, die mit Bluetooth arbeiten. Die von dir erwähnten Eintragungen dürften die Treiber für diese Geräte sein, damit diese auch unter Windows funktionieren, was sie auch anstandslos tun.

Zu Punkt 4: Ich habe es mit der Eingabeaufforderung versucht, jedoch tut sich nichts, nachdem ich den Text eingegeben und auf Enter gedrückt habe, habe ich dann was falsch gemacht oder ist die Datei dann nicht vorhanden?

[Petra]

Ist bzgl. Punkt 4 also keine Textdatei namens services.txt auf C:\ erstellt worden?

Was siehst Du in der Eingabeaufforderung, wenn Du nur eingibst:

sc qc browser


Mache bitte noch folgendes:

Lanmanworkstation-Check

Um zu testen, ob Dein Computer von dem Virus befallen ist, der die Dienste Arbeitsstationsdienst und DNS-Client auf schädliche Dateien umleitet, führe bitte folgenden Schnelltest durch:

Lade die LanmanCheck.exe herunter und speichere sie auf Deinem Desktop.
Führe die Datei aus und lasse Dir die Infos anzeigen, indem Du die Frage mit "Ja" antwortest.
Es öffnet sich eine Messagebox, die darüber informiert, ob der Rechner infiziert ist oder nicht und was ggfs. zu tun ist.
Markiere in beiden Fällen den Inhalt der Messagebox und kopiere den Text hier in den Thread.

[Semmling]

Hallo Petra,

zu Punkt 4: Doch, die Datei ist erstellt worden; ich dachte, es ginge ein Fenster auf, daher... Hier also der Inhalt der Datei:

Code:

[SC] GetServiceConfig SUCCESS

SERVICE_NAME: browser
        TYPE               : 20  WIN32_SHARE_PROCESS 
        START_TYPE         : 2   AUTO_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:\WINDOWS\system32\svchost.exe -k netsvcs  
        LOAD_ORDER_GROUP   :   
        TAG                : 0  
        DISPLAY_NAME       : Computerbrowser  
        DEPENDENCIES       : LanmanWorkstation  
                           : LanmanServer  
        SERVICE_START_NAME : LocalSystem

Und hier das Ergebnis von LanmanCheck:

Code:

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\wkssvc.dll
Geladene DLL: C:\WINDOWS\System32\wkssvc.dll
Signatur der DLL: Microsoft Windows Component Publisher
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.
MD5 der DLL: 1869B14B06B44B44AF70548E1EA3303F

DLL im Dnscache Schlüssel: %SystemRoot%\System32\dnsrslvr.dll
Geladene DLL: C:\WINDOWS\System32\dnsrslvr.dll
Signatur der DLL: Microsoft Windows Component Publisher
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.
MD5 der DLL: 407F3227AC618FD1CA54B335B083DE07

Alles OK, der Rechner ist nicht vom Lanmanworkstation Trojaner befallen!

[Petra]

Hallo Semmling,

das ist ja schonmal gut, dann so weiter:

Scan mit SystemLook

Hiermit prüfe ich, ob für diese Infektion übliche Einträge noch vorhanden sind. Das Tool ändert nichts, wirft mir nur die nötigen Infos aus.

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).

Download Mirror #1 - Download Mirror #2
User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code:

  :regfind
  wshbth.dll

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

[Semmling]

Hallo Petra,

nachdem ich auf "Look" geklickt habe, startet die Suche, wird allerdings abgebrochen und die Fehlermeldung erscheint, dass SystemLook ein Problem festgestellt hat und beendet werden musste - in Form eines Problemberichtfensters; es gibt sowohl eine einsehbare Textdatei, die in den Problembericht mit aufgenommen wird, und auch einen Problemberichtinhalt, den ich aber leider nicht aus dem Fenster kopieren kann, sonst würde ich ihn mal hier reinstellen. Aber vielleicht hilft ja der Inhalt der in den Bericht einbezogenen Datei auch weiter:

Code:

<?xml version="1.0" encoding="UTF-16"?>
<DATABASE>
<EXE NAME="SystemLook.exe" FILTER="GRABMI_FILTER_PRIVACY">
    <MATCHING_FILE NAME="aswMBR.exe" SIZE="4731392" CHECKSUM="0xFB63CD60" BIN_FILE_VERSION="0.9.9.1665" BIN_PRODUCT_VERSION="0.9.9.1665" PRODUCT_VERSION="0, 9, 9, 1665" FILE_DESCRIPTION="avast! Antirootkit" COMPANY_NAME="AVAST Software" PRODUCT_NAME="avast! Antirootkit" FILE_VERSION="0, 9, 9, 1665" ORIGINAL_FILENAME="aswMBR.exe" INTERNAL_NAME="aswMBR.exe" LEGAL_COPYRIGHT="Copyright (c) 2010 AVAST Software.  All rights reserved." VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x4" VERFILETYPE="0x1" MODULE_TYPE="WIN32" PE_CHECKSUM="0x0" LINKER_VERSION="0x50000" UPTO_BIN_FILE_VERSION="0.9.9.1665" UPTO_BIN_PRODUCT_VERSION="0.9.9.1665" LINK_DATE="03/13/2012 19:14:14" UPTO_LINK_DATE="03/13/2012 19:14:14" VER_LANGUAGE="Englisch (USA) [0x409]" />
    <MATCHING_FILE NAME="ComboFix.exe" SIZE="4731953" CHECKSUM="0x153F51EB" BIN_FILE_VERSION="12.8.16.1" BIN_PRODUCT_VERSION="12.8.16.1" FILE_DESCRIPTION="ComboFix NSIS Installer" COMPANY_NAME="Swearware" PRODUCT_NAME="ComboFix" FILE_VERSION="12.08.16.01" ORIGINAL_FILENAME="ComboFix.exe" INTERNAL_NAME="ComboFix.exe" LEGAL_COPYRIGHT="sUBs" VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x4" VERFILETYPE="0x1" MODULE_TYPE="WIN32" PE_CHECKSUM="0x492501" LINKER_VERSION="0x60000" UPTO_BIN_FILE_VERSION="12.8.16.1" UPTO_BIN_PRODUCT_VERSION="12.8.16.1" LINK_DATE="12/05/2009 22:50:46" UPTO_LINK_DATE="12/05/2009 22:50:46" VER_LANGUAGE="Englisch (USA) [0x409]" />
    <MATCHING_FILE NAME="LanmanCheck.exe" SIZE="623304" CHECKSUM="0xFCCBCFE3" BIN_FILE_VERSION="1.1.0.3" BIN_PRODUCT_VERSION="1.1.0.3" PRODUCT_VERSION="1.1.0.3" FILE_DESCRIPTION="Lanmanworkstation Überprüfung" COMPANY_NAME="No company" PRODUCT_NAME="LanmanworkstationChecker" FILE_VERSION="1.1.0.3" ORIGINAL_FILENAME="LanmanworkstationCheck.exe" INTERNAL_NAME="LanmanworkstationCheck" LEGAL_COPYRIGHT="AHT" VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x4" VERFILETYPE="0x1" MODULE_TYPE="WIN32" PE_CHECKSUM="0x0" LINKER_VERSION="0x0" UPTO_BIN_FILE_VERSION="1.1.0.3" UPTO_BIN_PRODUCT_VERSION="1.1.0.3" LINK_DATE="06/19/1992 22:22:17" UPTO_LINK_DATE="06/19/1992 22:22:17" VER_LANGUAGE="Deutsch (Deutschland) [0x407]" />
    <MATCHING_FILE NAME="OTL.exe" SIZE="598016" CHECKSUM="0x10E3AC09" BIN_FILE_VERSION="3.2.58.0" BIN_PRODUCT_VERSION="3.2.58.0" PRODUCT_VERSION="3.0.0.0" FILE_DESCRIPTION="" COMPANY_NAME="OldTimer Tools" PRODUCT_NAME="OTL" FILE_VERSION="3.2.58.0" ORIGINAL_FILENAME="OTL.exe" INTERNAL_NAME="OTL.exe" LEGAL_COPYRIGHT="" VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x4" VERFILETYPE="0x1" MODULE_TYPE="WIN32" PE_CHECKSUM="0x9DD67" LINKER_VERSION="0x0" UPTO_BIN_FILE_VERSION="3.2.58.0" UPTO_BIN_PRODUCT_VERSION="3.2.58.0" LINK_DATE="06/19/1992 22:22:17" UPTO_LINK_DATE="06/19/1992 22:22:17" VER_LANGUAGE="Englisch (USA) [0x409]" />
    <MATCHING_FILE NAME="SystemLook.exe" SIZE="139264" CHECKSUM="0xB28B5C40" MODULE_TYPE="WIN32" PE_CHECKSUM="0x2EB57" LINKER_VERSION="0x0" LINK_DATE="07/30/2011 07:47:45" UPTO_LINK_DATE="07/30/2011 07:47:45" />
    <MATCHING_FILE NAME="TDSSKiller.exe" SIZE="2208856" CHECKSUM="0xDE69C5DA" BIN_FILE_VERSION="2.8.6.0" BIN_PRODUCT_VERSION="2.8.6.0" PRODUCT_VERSION="2.8.6.0" FILE_DESCRIPTION="TDSS rootkit removing tool" COMPANY_NAME="Kaspersky Lab ZAO" PRODUCT_NAME="TDSSKiller" FILE_VERSION="2.8.6.0" ORIGINAL_FILENAME="TDSSKiller.exe" INTERNAL_NAME="TDSSKiller" LEGAL_COPYRIGHT="© 1997-2012 Kaspersky Lab ZAO." VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x40004" VERFILETYPE="0x1" MODULE_TYPE="WIN32" PE_CHECKSUM="0x2232C0" LINKER_VERSION="0x0" UPTO_BIN_FILE_VERSION="2.8.6.0" UPTO_BIN_PRODUCT_VERSION="2.8.6.0" LINK_DATE="08/13/2012 13:24:24" UPTO_LINK_DATE="08/13/2012 13:24:24" VER_LANGUAGE="Englisch (USA) [0x409]" />
    <MATCHING_FILE NAME="xzz6lc2w.exe" SIZE="302592" CHECKSUM="0xCC30B510" BIN_FILE_VERSION="1.0.15.15641" BIN_PRODUCT_VERSION="1.0.15.15641" FILE_VERSION="1, 0, 15, 15641" VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x40004" VERFILETYPE="0x2" MODULE_TYPE="WIN32" PE_CHECKSUM="0x0" LINKER_VERSION="0x0" UPTO_BIN_FILE_VERSION="1.0.15.15641" UPTO_BIN_PRODUCT_VERSION="1.0.15.15641" LINK_DATE="07/16/2011 20:21:05" UPTO_LINK_DATE="07/16/2011 20:21:05" VER_LANGUAGE="Polnisch [0x415]" />
</EXE>
<EXE NAME="kernel32.dll" FILTER="GRABMI_FILTER_THISFILEONLY">
    <MATCHING_FILE NAME="kernel32.dll" SIZE="1063424" CHECKSUM="0xD288FF05" BIN_FILE_VERSION="5.1.2600.5781" BIN_PRODUCT_VERSION="5.1.2600.5781" PRODUCT_VERSION="5.1.2600.5781" FILE_DESCRIPTION="Client-DLL für Windows NT-Basis-API" COMPANY_NAME="Microsoft Corporation" PRODUCT_NAME="Betriebssystem Microsoft® Windows®" FILE_VERSION="5.1.2600.5781 (xpsp_sp3_gdr.090321-1317)" ORIGINAL_FILENAME="kernel32" INTERNAL_NAME="kernel32" LEGAL_COPYRIGHT="© Microsoft Corporation. Alle Rechte vorbehalten." VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x40004" VERFILETYPE="0x2" MODULE_TYPE="WIN32" PE_CHECKSUM="0x106D93" LINKER_VERSION="0x50001" UPTO_BIN_FILE_VERSION="5.1.2600.5781" UPTO_BIN_PRODUCT_VERSION="5.1.2600.5781" LINK_DATE="03/21/2009 14:06:58" UPTO_LINK_DATE="03/21/2009 14:06:58" VER_LANGUAGE="Deutsch (Deutschland) [0x407]" />
</EXE>
</DATABASE>

[Petra]

merkwürdig. Starte einmal neu und versuche es noch einmal. Falls wieder eine Fehlermeldung kommen sollte, mache mir bitte davon einen Screenshot nach dieser Anleitung. Alternativ kannst Du auch das Freeware-Tool Snipping Tools Plus oder die Freeware-Version von FastStone Caputure benutzen.