Hallo,

ich habe hier einen Rechner, der von ein paar Viren befallen ist.
Durch Avira Antivir habe ich diese gefunden:
DR/Agent.yna
TR/Agent.xge.1 bis 18 oder so
HTML/Crypted.Gen

Mein Problem ist, dass irgendetwas verbietet, die registry zu editieren, was dazu führt, dass HijackThis bestimmte Probleme nicht beseitigen kann.

Auffällig ist, dass XP Police Antivir auf dem Rechner ist und ein roter Kreis mit einem weißen Kreuz im Tray immer an Spyware auf dem Rechner erinnert.
Ein paar Probleme habe ich schon deaktiviert / beseitigt.

Ich hoffe, ihr könnt mir helfen, die restlichen Plagegeister auch noch zu entfernen.
Hier mein Hijack-log:

Code: Alles auswählenLarusso Modus

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:49, on 08.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\system32\advpackr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\system32\advpackr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - h**p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O20 - AppInit_DLLs: interceptor.dll 
O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - C:\DOKUME~1\ADMINI~1.D-6\LOKALE~1\Temp\wndutl32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 5153 bytes

ntos.exe wurde von HJT als auffällig / gefährlich erkannt.
Deshalb habe ich es mit der Hilfe von Unlocker gelöscht (es wurde durch winlogon gesperrt), weil ich dachte, dass dieses Programm die Registry sperrt.

Außerdem habe ich versucht, mit folgendem VB-Script die Registry wieder freizuschalten:

Code: Alles auswählenLarusso Modus

' ***************************************************
'
' VBScript generated by SystemScripter 5.0
' www.scriptinternals.de
'
' Author: Lutze
' Date:   Donnerstag, 15. Januar 2004, geändert 08.11.04
' Version: 1
'
' h**p://www.wintotal.de/Tipps/Eintrag.php?TID=177
'
' "Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert"
' 
' (C) 2004 by Lutz Sterbies
'
' ***************************************************
Option Explicit
Dim frage
Dim WshShell 
 
Set WshShell = WScript.CreateObject("Wscript.Shell")
frage = MsgBox ("Script ausführen?",36 , "DisableRegistryTools") 

If frage = 6 Then  
On Error Resume Next
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\" _ 
& "Policies\System\DisableRegistryTools"

MsgBox "Sollte Regedit nach klicken auf ""OK"" nicht starten,"_
& " bitte das System rebooten!",64,"Starte Regedit"
WshShell.run "Regedit.exe"

Else 
MsgBox "Dann eben nicht!" ,64 , ":-(("
End If

Irgendwelche Ideen?

Hallo wullxz und

Das System gilt als Kompromittiert, es nicht mehr vertrauenswürdig und es bedarf einer Neuinstallation!

Hier mal die schädlichsten Sachen auf dem System:

Zitat:

O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\system32\advpackr.exe
O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\system32\advpackr.exe
Worm -> ADVPACKR.EXE, Prevx

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe
Trojan.Downloader (Dropper) -> Troj/Dloadr-AWQ Trojaner - Sophos Sicherheitsanalyse

O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - C:\DOKUME~1\ADMINI~1.D-6\LOKALE~1\Temp\wndutl32.dll
Backdoortrojaner -> wndutl32.dll - Dangerous

Das die Registrierung deaktiviert wurde ist eine Sicherheitsmaßnahme des Trojaners um sich selbst zu schützen.

Hier hilft keine Bereinigung mehr, hier gilt nur noch das -> Neuinstallation!


Sunny

Ok, vielen Dank für deine Hilfe!