Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.10.2011, 22:35   #1
Jojo69
 
Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei? - Standard

Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?



Hallo,

habe einen Laptop (XP-Pro) von Bekannten, voll mit Viren verseucht.
Erst wurde das WIN-Update abgestellt. Später (ca. 2 Wochen) wurde die Firewall abgeschaltet. Und 2 Wochen später ist der Avira außer Gefecht. (ersichtlich aus Ereignisprotokoll)

Im abgesicherten Modus als admin konnte ich den Avira noch starten und habe einen Scan durchgeführt. Er hatte 9 Funde, die ich mir zum Glück notiert hatte.

TR/Crypt.ZPack.Gen2
TR/Crypt.XPack.Gen
TR/Priminay.cox
TR/Gendal.Kd.371252
TR/Kazy.24292
W32/PatchLoad.A
W32/PatchLoad.A,afd.sys
W32/PatchLoad.A,svchost.exe
W32/PatchLoad.A,IgDCtrl.exe

Nach dem Scan war Avira auch hier komplett außer Gefecht. Kam nicht mehr an die Berichte usw.

Also habe ich mir die Rescue-CD von Avira (ISO Download) besorgt und damit einen Scan durchgeführt. Den ersten Bericht konnte ich leider nicht auf der Festplatte speichern (Zugriff verweigert) und USB-Stick ließ sich nachträglich nicht mehr anschließen. Den zweiten Scan habe ich auf dem USB-Stick. Und den dritten Scan nach Deinstallation und Löschen der Verzeichnisse von Avira und Tune Up habe ich auch auf dem Stick und kann ich auf Wunsch posten.

Dann habe ich den bootkit_remover (damals vom Microsoft-Support erhalten) von Laufwerk c starten wollen. Ging aber nicht (Zugriff verweigert). Vom USB-Stick konnte ich das Tool starten. Aber es wurde nicht der Bootcode angezeigt. Es gab folgende Meldung: \\.\PhysicalDrive0
MD5 6def5ffcbcdbdb4082f1015625e597bd

Auch der TDSSKiller von Kaspersky ließ sich nicht von c starten. Aber vom USB-Stick. Es folgte eine Meldung „1 threat found“ und dann wurde eine Versteckte Datei angezeigt. Am Ende des Scans verschwanden alle Meldungen und es hieß: es wurde nichts gefunden. Habe den Scan noch einmal laufen lassen und die versteckte Datei notiert. C:\windows\3506907014:2044262446.exe (Wie erzeugt man einen Dateinamen mit Doppelpunkt/Sonderzeichen?)
MD5 8f2bb1827cac01aee6a16e30a1260199
Die Datei konnte ich aber nie finden.

Das Protect von AVM (Fritzsoftware) ließ sich auch nicht mehr einrichten. Wenn ich versuchte Avira zu installieren kam immer eine Fehlermeldung.

Scheinbar ist nur eine Neuinstallation sinnvoll.

Wollte Ubunt Linux 6.10 Installieren, ging nicht.
Auch Suse Linux 9.3 (Professional), ließ sich nicht installieren.
Wieso habe ich keine Berechtigung auf c: zuzugreifen obwohl ich ja als first boot CD/DVD im Bios eingestellt habe und der PC vorher ausgestellt war? (Im Speicher kann der Virus ja wohl nicht mehr aktiv gewesen sein – Akku für 20 min ausgebaut)

Bei der XP-Installation hat er nicht zugelassen die Partition zu löschen. Er hat einfach eine Paralleinstallation gemacht. Mit der neuen Installation konnte ich im abgesicherten Modus nur Eingabeaufforderung die versteckte exe-Datei unter Windows finden und löschen. Mein System war jetzt automatisch im Verzeichnis WINXP nach der Instalation. Aus der Boot.ini habe ich den Eintrag für das alte Windows entfernt. Ich habe alles vom alten System gelöscht.

Aber auch hier konnte ich nach Neustart (also nicht im abgesicherten Modus) Avira nicht installieren. Es gab die gleiche Fehlermeldung wie beim alten System.
„Die Anwendung konnte nicht ausgeführt werden, weil MSVCR100.dll nicht gefunden wurde. Neuinstallation der Anwendung könnte das Problem beheben.“
Auch das Protect von AVM konnte man nicht starten.

Was kann man noch machen? – Muss man die Festplatte ausbauen und in einem anderen Rechner „LÖSCHEN“?

Habe dann mit einer alten Boot CD (2.31) vom PC Magazin mit jede Menge tools gestartet.
Mit AutoClave V0.3 (Linux) konnte ich die Festplatte nicht Löschen, da schon beim Start Errormeldungen kamen (irgendwas mit kernel panik oder so!)
Mit Active@ KillDisk Free Edition V3.0 konnte ich die gesamte Festplatte mit 0 überschreiben. Worauf diese Software basiert (DOS, Linux…) weiß ich nicht. Wollte eigentlich nach Godman verfahren (mehrmaliges Überschreiben), aber in der free Version war das nicht möglich.

Danach konnte ich eine ganz normale XP-Installation (XP-Pro Spk2) durchführen. Anschließend habe ich das SPK3 von CD aufgespielt. Dann das Protect von AVM, Avira. Dann habe ich Alles mit Svc2kxp.cmd eingestellt. (Do All).
Anschließend habe ich den DHCP Dienst und Auto-Update für Wndows wieder auf automatisch gestellt.
Mit netstat –a –b –v habe ich überprüft, was für ports geöffnet sind. Es waren nur 2 von Avira, was auch i.O. ist.

So habe ich dann mein Netzwerk über LAN aktiviert und Avira upgedatet. Das Protect von AVM hat funktioniert, musste Avira update usw. erst freigeben. Gleichzeitig wurden schon Updates von Windows runter geladen. Dann habe ich XP aktiviert.
Alles verlief ganz normal. Nachdem alles aktuell war, habe ich die Software aufgespielt. Alles war ganz normal. Dann wollte ich auch wieder das WLAN aktivieren, und ab da fingen die Probleme an. Das LAN hatte ich deaktiviert.
Irgendwie ließ sich nie eine Verbindung aufbauen. Habe die WLAN-Karte mehrmals in dem Gerätemanager gelöscht und die Treiber wieder neu Installiert. Irgendwann funktionierte es schließlich doch. Dachte, schön endlich alles geschafft. Da das Internet über LAN schneller ist als über WLAN, wollte ich das LAN auch wieder aktivieren. In dem Moment, wo ich das LAN aktiviert habe, kam die Meldung, dass das Protect abgeschaltet wurde. Das wollte ich natürlich nicht. Habe gleich LAN und WLAN deaktiviert.

Das Protect ließ sich nicht mehr starten. So habe ich die Fritzsoftware deinstalliert und wieder neu installiert. Kein Erfolg.
Daraufhin habe ich nochmals deinstalliert und alles in der Registrie von AVM und Fritz gelöscht. Auch unter Anwendungsdaten habe ich das Fritzverzeichnis gelöscht. Und dann habe ich es noch einmal neu installiert. Und siehe da, es funktioniert wieder.
Allerdings gab es bei der Installation komische Zeichen im Text des Installationsfensters. Und in der Taskleiste macht sich hin und wieder so ein kleines Fenster im Hintergrund auf (siehe Bild 1). Auch der Lautstärkeregler hat komische Sachen gemacht. Dann sind plötzlich 2 da und man kann sie nicht schließen, oder er ist hinter der Taskleiste und so tief, dass man gar nicht an den Regler kommt (in der Taskleiste angeklickt – beim Doppelklick öffnet sich ja das erweiterte Einstellungsfenster, So konnte ich trotzdem die Lautstärke regeln.)

Bin jetzt ziemlich unsicher ob der Virus auch wirklich weg ist. Virenscanner finden nichts. Der Bootcode war aber nicht von DOS oder Microsoft (mit bootkit_remover aber wieder korrigiert – benutze keinen Bootmanager, da nur XP und auch nur eine Partition)

Habe von einem Bekannten gehört, dass hier sehr fähige Leute sind und mir wohl weiterhelfen könnten.

Habe nach Anweisung erst den defrogger ausgeführt. Allerdings kam keine Aufforderung zum Neustart. Habe dann auch keinen durchgeführt. Einfach oben rechts auf X und geschlossen. Hier das defrogger_disable.log:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:45 on 10/10/2011 (Pilo)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-


Dann habe ich wie gefordert das OTL ausgeführt:

OTL.txtOTL Logfile:
Code:
ATTFilter
OTL logfile created on: 10.10.2011 19:56:56 - Run 1
OTL by OldTimer - Version 3.2.29.1 Folder = C:\Dokumente und Einstellungen\Pilo\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
894,05 Mb Total Physical Memory | 585,73 Mb Available Physical Memory | 65,51% Memory free
2,12 Gb Paging File | 1,80 Gb Available in Paging File | 85,20% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 65,05 Gb Free Space | 87,29% Space Free | Partition Type: NTFS
 
Computer Name: ASTRID | User Name: Pilo | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.10.10 19:49:13 | 000,582,656 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Pilo\Desktop\OTL.exe
PRC - [2011.07.21 12:08:02 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.05.09 05:42:04 | 000,428,200 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
PRC - [2011.04.21 07:53:10 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.04.21 07:52:51 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.04.21 07:52:36 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2011.01.17 18:50:34 | 011,322,880 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe
PRC - [2011.01.17 18:50:34 | 011,314,688 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.10.17 15:02:50 | 001,114,112 | ---- | M] (Ralink Technology, Corp.) -- C:\Programme\RALINK\Common\RaUI.exe
PRC - [2007.09.11 15:50:28 | 000,804,144 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\StCenter.exe
PRC - [2007.09.07 11:06:46 | 001,070,384 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\FwebProt.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.10.09 15:06:43 | 000,985,088 | ---- | M] () -- C:\Programme\OpenOffice.org 3\program\libxml2.dll
MOD - [2011.07.21 15:12:30 | 000,355,688 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2006.07.12 14:36:36 | 001,167,360 | ---- | M] () -- C:\Programme\RALINK\Common\acAuth.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- -- (HidServ)
SRV - [2011.07.21 12:08:02 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.05.09 05:42:04 | 000,428,200 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2011.04.21 07:52:51 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2007.09.04 10:14:34 | 000,087,344 | ---- | M] (AVM Berlin) [Disabled | Stopped] -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE -- (IGDCTRL)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.07.21 12:11:12 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.21 12:11:11 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.10.08 17:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.09.29 16:05:15 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2007.12.12 15:44:42 | 000,989,696 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV)
DRV - [2007.12.12 15:44:42 | 000,730,112 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2007.12.12 15:44:42 | 000,209,152 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys -- (HSFHWAZL)
DRV - [2007.12.12 15:43:46 | 000,714,240 | ---- | M] (S3 Graphics Co., Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\S3gIGPm.sys -- (S3GIGP)
DRV - [2007.11.14 17:14:02 | 004,625,408 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007.10.01 12:06:40 | 000,451,968 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rt73.sys -- (RT73)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.10.09 01:49:20 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.10.09 01:55:13 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2011.10.09 01:49:33 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Pilo\Anwendungsdaten\Mozilla\Extensions
[2011.10.09 16:31:17 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.10.09 15:05:10 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.10.09 16:31:17 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2011.10.09 15:05:01 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.09.29 09:09:51 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.09.29 03:24:37 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.09.29 03:16:42 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.09.29 03:24:37 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.09.29 03:24:37 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.09.29 03:24:37 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.09.29 03:24:37 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe (Ralink Technology, Corp.)
O4 - Startup: C:\Dokumente und Einstellungen\Pilo\Startmenü\Programme\Autostart\FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe (AVM Berlin)
O4 - Startup: C:\Dokumente und Einstellungen\Pilo\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\FRITZ!DSL\\sarah.dll ()
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{5081AB40-76DB-4E15-987C-F1931349BE22}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.10.08 21:37:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\INF\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 - File not found
NetSvcs: HidServ - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found
 
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.10.10 19:49:13 | 000,582,656 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Pilo\Desktop\OTL.exe
[2011.10.09 23:15:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pilo\Desktop\Tools
[2011.10.09 21:19:30 | 000,000,000 | ---D | C] -- C:\Programme\xp-AntiSpy
[2011.10.09 21:19:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pilo\Startmenü\Programme\xp-AntiSpy
[2011.10.09 21:16:41 | 000,000,000 | ---D | C] -- C:\Programme\DPA SHA
 
Extras.txt
 
OTL Extras logfile created on: 10.10.2011 19:56:56 - Run 1
OTL by OldTimer - Version 3.2.29.1 Folder = C:\Dokumente und Einstellungen\Pilo\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
894,05 Mb Total Physical Memory | 585,73 Mb Available Physical Memory | 65,51% Memory free
2,12 Gb Paging File | 1,80 Gb Available in Paging File | 85,20% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 65,05 Gb Free Space | 87,29% Space Free | Partition Type: NTFS
 
Computer Name: ASTRID | User Name: Pilo | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP520_series" = Canon MP520 series
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{2457326B-C110-40C3-89B0-889CC913871A}" = AVM FRITZ!DSL
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 26
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{DEE88727-779B-47A9-ACEF-F87CA5F92A65}" = ScanSoft OmniPage SE 4
"{E91E8912-769D-42F0-8408-0E329443BABC}" = Ralink Wireless LAN
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CanonMyPrinter" = Canon My Printer
"CanonSolutionMenu" = Canon Utilities Solution Menu
"CNXT_MODEM_PCI_VEN_14F1&DEV_2C06&SUBSYS_14F10000" = Soft Modem with SmartCP
"DPASHA" = DPA SHA 1.98
"Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager
"Mozilla Firefox 7.0.1 (x86 de)" = Mozilla Firefox 7.0.1 (x86 de)
"Mozilla Thunderbird (7.0.1)" = Mozilla Thunderbird (7.0.1)
"MP Navigator EX 1.0" = Canon MP Navigator EX 1.0
"VIA Chrome9 HC IGP Family Display" = VIA Display Driver 6.14.10.0099
"Windows XP Service Pack" = Windows XP Service Pack 3
"xp-AntiSpy" = xp-AntiSpy 3.97-11
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 09.10.2011 08:02:07 | Computer Name = ASTRID | Source = COM+ | ID = 135763
Description = Transaktionen, die zur Unterstützung von Transaktionskomponenten erforderlich
sind, konnten von der Laufzeitumgebung nicht initialisiert werden. Stellen Sie 
sicher, dass MS DTC ausgeführt wird.(DtcGetTransactionManagerEx(): hr = 0x8004d01
 
Error - 09.10.2011 09:58:21 | Computer Name = ASTRID | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 09.10.2011 14:08:17 | Computer Name = ASTRID | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung fwebprot.exe, Version 2.4.2.0, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x00036822.
 
[ System Events ]
Error - 09.10.2011 10:25:23 | Computer Name = ASTRID | Source = Service Control Manager | ID = 7000
Description = Der Dienst "WebClient" wurde aufgrund folgenden Fehlers nicht gestartet:
%%1290
 
Error - 09.10.2011 12:07:23 | Computer Name = ASTRID | Source = Service Control Manager | ID = 7000
Description = Der Dienst "WebClient" wurde aufgrund folgenden Fehlers nicht gestartet:
%%1290
 
Error - 09.10.2011 13:03:59 | Computer Name = ASTRID | Source = Service Control Manager | ID = 7000
Description = Der Dienst "WebClient" wurde aufgrund folgenden Fehlers nicht gestartet:
%%1290
 
Error - 09.10.2011 13:14:06 | Computer Name = ASTRID | Source = Service Control Manager | ID = 7000
Description = Der Dienst "WebClient" wurde aufgrund folgenden Fehlers nicht gestartet:
%%1290
 
Error - 09.10.2011 13:46:49 | Computer Name = ASTRID | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "wuauserv"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {E60687F7-01A1-40AA-86AC-DB1CBF673334}
 
Error - 09.10.2011 14:46:11 | Computer Name = ASTRID | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "wuauserv"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {E60687F7-01A1-40AA-86AC-DB1CBF673334}
 
Error - 09.10.2011 14:46:14 | Computer Name = ASTRID | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "wuauserv"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {E60687F7-01A1-40AA-86AC-DB1CBF673334}
 
Error - 09.10.2011 17:09:18 | Computer Name = ASTRID | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
 
Error - 09.10.2011 17:10:12 | Computer Name = ASTRID | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
 
Error - 09.10.2011 17:11:21 | Computer Name = ASTRID | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
geantwortet.
 
 
< End of report >
         
--- --- ---



Danach habe ich GMER ausgeführt.
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-10-10 21:49:53
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Hitachi_HTS541680J9SA00 rev.SB2OC70P
Running: rh3g4oj4.exe; Driver: C:\DOKUME~1\Pilo\LOKALE~1\Temp\pwtdrpob.sys
 
 
---- System - GMER 1.0.15 ----
 
SSDT F7AE5304 ZwClose
SSDT F7AE52BE ZwCreateKey
SSDT F7AE530E ZwCreateSection
SSDT F7AE52B4 ZwCreateThread
SSDT F7AE52C3 ZwDeleteKey
SSDT F7AE52CD ZwDeleteValueKey
SSDT F7AE52FF ZwDuplicateObject
SSDT F7AE52D2 ZwLoadKey
SSDT F7AE52A0 ZwOpenProcess
SSDT F7AE52A5 ZwOpenThread
SSDT F7AE52DC ZwReplaceKey
SSDT F7AE52D7 ZwRestoreKey
SSDT F7AE5313 ZwSetContextThread
SSDT F7AE52C8 ZwSetValueKey
SSDT F7AE52AF ZwTerminateProcess
 
---- EOF - GMER 1.0.15 ----
         
--- --- ---


Wäre toll schnell etwas zu erfahren. Möchte den Laptop schnell wieder meinen Bekannten geben.

Jojo

PS: GMER hatte ich schon einmal vorher ausgeführt. Da ich selber mit dem Protokoll nichts anfangen kann, wollte ich doch hier ein Thema eröffnen. Aber der Verlauf ist diesmal anders. Als ich das Programm GMER ohne vorher defrogger gestartet zu haben laufen ließ, hat der Scan sofort gestartet. Jetzt nach der Schritt für Schritt Anleitung kamen nach dem Start des Programms unter in der Leiste schnell ein paar Meldungen (die ich aber nicht lesen konnte) und dann stand alles, dass ich wie in der Anleitung IAT/EAT den Hacken löschen konnte und erst dann den Scan starten konnte.

Hallo,

habe gerade im Internet etwas über ZeroAccess (Rootkit.Sirefef) gelesen. Dort war ein link zu Bitdefender und ein link direkt zum Download des tools von Malware city. Allerdings konnte ich mit Chrome nicht auf diese Seiten zugreifen. Das Fenster wurde immer gleich geschlossen.

Das betrifft jetzt nicht den neu aufgesetzten Laptop, sondern meinen Desktop PC mit Windows XP-Home.

Kann es sein, dass ich meinen PC mit dem Virus vom Laptop infiziert habe?
Meine Homeversion arbeitet mit eingeschränkten User Rechten. Ich habe Ativir Premium und die Autorunfunktion ist deaktiviert. Ich habe nur txt- und log-Dateien kopiert und an meinem PC angeschaut.

Bis zum Zeitpunkt, wo ich die exe-Datei auf dem Laptop gelöscht hatte, war ich mir sicher einen Virus zu haben, da immer eine autorun auf den stick erstellt wurde. Mein Avira hat die aber immer geblockt und ich habe sie gelöscht und den Stick mit Avira überprüft.

Die Programme bootkit_remover und TDSS Killer habe ich auf den Stick kopiert, um sie auf dem Laptop auszuführen. Auf meinem PC habe ich diese Programme auf der Festplatte und von dort starte ich sie auch. D.h. ich habe die Programme vom Stick nicht auf meinem PC laufen lassen. Das würde aber bedeuten, dass der Virus sich auch über normale txt- und log-Datei verbreitet.

Da alle Sicherheitsanwendungen wie Avira, AVM Protect funktionieren, gehe ich davon aus, dass nur mein Chrome bisher verseucht ist.

Chrome halte ich sowieso für sehr suspekt, da ich chrome auch ohne adminrechte installieren konnte. Mit firefox kann ich die besagten links Problemlos öffnen.

Hat sich schon jemand meine log-files angeschaut?

Jojo
Miniaturansicht angehängter Grafiken
Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?-bild-1.jpg  

Alt 11.10.2011, 16:43   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei? - Standard

Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?



Zitat:
Wollte Ubunt Linux 6.10 Installieren, ging nicht.
Auch Suse Linux 9.3 (Professional), ließ sich nicht installieren.
Sind auch Uralt-Versionen. Ubuntu 6.10 ist fünf Jahre (!!) alt!!

Zitat:
Was kann man noch machen? – Muss man die Festplatte ausbauen und in einem anderen Rechner „LÖSCHEN“?
Kommt drauf an was du jetzt vor hast, hab jetzt nicht den gesamten Strang gelesen, willst du um jeden Preis eine Bereinigung oder lieber eine Neuinstallation von Windows? Oder gar gleich weg von Windows und nur noch Ubuntu oder Suse nutzen?


Hm, hab jetzt etwas weiter gelesen, du hast also die gesamte Platte löschen können und dann ein XP auch neu installiert bekommen? Wenn ja, sollte jeder Schädling der ursprünglich drauf war auch komplett weg sein.


Zitat:
Dann habe ich Alles mit Svc2kxp.cmd eingestellt. (Do All).
Hättest du dir eigentlich sparen können, unnötige Dienste beenden war vor Jahren für 2000/XP Rechner vor SP2-Zeiten ein Thema, und auch eigentlich nur dann wenn man diese Rechner nicht hinter einem Router hatte.
__________________

__________________

Alt 11.10.2011, 18:39   #3
Jojo69
 
Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei? - Standard

Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?



Hallo Arne,

die Linuxversionen sind zwar alt, aber sollten dennoch installierbar sein.

Für die Bekannten muss schon XP auf dem Laptop bleiben. Eigentlich ist der Laptop für Vista konzipiert. Allerdings wollten sie XP benutzen (da bei VHS Kurse gemacht, ältere Herrschaften). XP-Treiber waren nicht direkt dabei. Aber da viele lieber XP nutzen wollten, wurden später auch XP-Treiber im Internet vom Herrsteller bereitgestellt.

Ich selbst wollte nur Linux installieren, weil damit alte Systeme besser gekilled werden können. Habe selbst (paradoxer Weise) vom Microsoftsupport vor 5 Jahren die Anweisung bekommen dieses Linux zu installieren.

Das bei einer Neuinstallation alle Viren beseitigt sind ist nicht richtig. Ich habe mit Original CD Windows XP installiert und anschließend war der Bootcode nicht der Code von Microsoft. Microsoft hat mir dann mitgeteilt, dass der Virus im Bios sitzen muss. Ich sollte das Bios flashen. Aber das wurde durch den Virus verhindert. Ich hatte mich dann mit dem Motherbordhersteller verbunden. Aber die konnten mir auch nicht helfen. Die einzige Möglichkeit wäre der Austausch des Bios gewesen. Da der aber nicht gesockelt war (hätte man also auslöten müssen), habe ich mich für ein neues Motherbord entschieden. Für die Microsoftentwickler sollte ich alle Logfiles, Ereignisse und Protokolle mit einem Programm von Microsoft erstellt, zuschicken. Die wollten wohl feststellen wie und was schon bei der Installation manipoliert wird.
Was wir (Microsoft und ich) festgestellt hatten war, dass der "Virus" irgendwie auch Teile von sich auf Grafikkarte und Festplatte hinterlegt hat.

Das Bios von den Bekannten werde ich jetzt aber nicht versuchen zu flashen. Sollte der Lapi dann nämlich gar nicht mehr funktionieren, bin ich auch noch Schuld.

Ich werde den Laptop morgen wieder abgeben und abwarten, wie lange er ohne ernsthafte Probleme läuft. Solange Firewall und Virusprogramm laufen ist der Lapi in meinen Augen o.k.

Hast du denn etwas in den Logfiles finden können?

mfg

Jojo
__________________

Alt 11.10.2011, 19:14   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei? - Standard

Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?



Zitat:
die Linuxversionen sind zwar alt, aber sollten dennoch installierbar sein.
Schon aber wozu? Längst nicht mehr supportete Versionen zu nutzen ist sinnfrei und bei der Fehlersuche ein zusätzlicher Stein im Weg.

Zitat:
Das bei einer Neuinstallation alle Viren beseitigt sind ist nicht richtig. Ich habe mit Original CD Windows XP installiert und anschließend war der Bootcode nicht der Code von Microsoft.
Man sollte auch schon alle Partitionen löschen und neu erstellen, gerade die verseuchte Systempartition.
Beim Setup wird ein neue Bootcode/MBR geschrieben.
Du hast Recht, dass das nicht immer passiert, gerade bei Recovery-Setups hab ich schon oft beobachtet, dass der MBR nicht neu gemacht wird.

Zitat:
Microsoft hat mir dann mitgeteilt, dass der Virus im Bios sitzen muss.
MS höchstpersönlich?
Also die letzten Wochen kursierte da was rum, dass ein Schädling des BIOS völlig neu flashen könnte. => Die Rückkehr des BIOS-Trojaners | heise Security

Zitat:
Zitat von heise.de
Bisher ist jedoch keinem BIOS-Schädling der Durchbruch gelungen. Vermutlich, weil es einfach zu viele unterschiedliche Mainboards gibt – und somit auch unterschiedliche Wege, das BIOS zu flashen.
Deswegen halte ich das für unwahrscheinlich. Deswegen Betonung auf könnte

Zitat:
Ich selbst wollte nur Linux installieren, weil damit alte Systeme besser gekilled werden können. Habe selbst (paradoxer Weise) vom Microsoftsupport vor 5 Jahren die Anweisung bekommen dieses Linux zu installieren.
halte ich für "etwas" abwegig...
MS hat zwar steinige aber durchaus mögliche Wege ohne Linux sowas zu bewerkstelligen zu lassen, die Wiederherstellungskonsole ist dir da bestimmt bekannt, deswegen glaub ich einfach nicht, dass MS den Linuxweg vorschlägt
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 12.10.2011, 09:44   #5
Jojo69
 
Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei? - Standard

Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?



Zitat:
Zitat von heise.de
Bisher ist jedoch keinem BIOS-Schädling der Durchbruch gelungen. Vermutlich, weil es einfach zu viele unterschiedliche Mainboards gibt – und somit auch unterschiedliche Wege, das BIOS zu flashen.

Das hat man mir vor 5 Jahren auch schon erzählt. Aber ich selbst habe schon ein Dozent PC´s gehabt, wo das Bios nicht mehr geflashed, bzw. ganz geflashed werden konnte. Weiß noch bei einem Acer PC konnte man den Bootbereich nicht flashen. Das Bios war in mehrer Bereiche unterteilt. Hatte mich auch da mit den Herstellern des Motherboards in Verbindung gesetzt. Die haben aber die Zuständigkeit an Acer abgegeben, da die das Bios angeblich firmenspezifisch modifizieren. Und Acer hat auf meine Anfragen nie reagiert.
Ein Grund mehr keinen ACER-PC zu kaufen.

Fujitsu Siemens dagen ist sehr gut. Das Bios ist gesockelt und man kann heute noch Austausch bekommen. Auch der Service für alte Geräte ist super.

Also wer wirklich glaubt, dass das Bios nicht über den Weg des Internets manipuliert wird, tut mir leid. Bereits 2002 habe ich die ersten Erfahrungen damit gemacht.

mfg

Jojo


Alt 12.10.2011, 17:59   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei? - Standard

Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?



Zitat:
Also wer wirklich glaubt, dass das Bios nicht über den Weg des Internets manipuliert wird, tut mir leid. Bereits 2002 habe ich die ersten Erfahrungen damit gemacht.
Was sollen solche Aussagen?
Dass das BIOS manipuliert werden kann bestreitet niemand, nur sind tatsächliche Fälle wo das auch passiert sind extrem selten!
Und ich bin noch nicht wirklich überzeugt, dass dein BIOS tatsächlich mit einer schädlichen BIOS-Version neu geflasht wurde!
__________________
--> Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?

Antwort

Themen zu Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?
0x00000001, afd.sys, avira rescue cd, c:\windows\system32\rundll32.exe, exe-datei, igdctrl.exe, intranet, laufwerk c, mozilla thunderbird, neustart., nicht gefunden, ntdll.dll, probleme bei neuinstallation, svchost.exe, tr/crypt.xpack.gen, tr/crypt.zpack.gen2, tr/gendal.kd.371252, tr/kazy.24292, tr/priminay.cox, w32/patchload.a, windows e, windows internet, zeroaccess, zugriff verweigert



Ähnliche Themen: Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?


  1. McAffe meldet Trojanerangriff - Laptop jetzt wirklich sauber?
    Log-Analyse und Auswertung - 18.01.2014 (5)
  2. Bin ich den Trojaner jetzt wirklich los?!
    Plagegeister aller Art und deren Bekämpfung - 10.09.2013 (15)
  3. Groupon Trojaner mit Antivir gefunden. Ist mein Rechner jetzt wirklich sauber?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2013 (9)
  4. Notebook jetzt vom Plagegeister befreit - aber ist auch wirklich sauber?
    Log-Analyse und Auswertung - 11.01.2013 (24)
  5. System Fix entfernt- Laptop virenfrei?
    Log-Analyse und Auswertung - 10.12.2011 (10)
  6. System Fix, wirklich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 23.11.2011 (19)
  7. Bin ich jetzt wirklich Virenfrei?
    Log-Analyse und Auswertung - 04.07.2010 (4)
  8. Trojan.BHO wurde gefunden und entfernt, ist der jetzt wirklich weg ?
    Log-Analyse und Auswertung - 09.05.2010 (1)
  9. System Probleme nach Trojaner/ Trojaner wirklich besiegt?
    Plagegeister aller Art und deren Bekämpfung - 28.10.2009 (3)
  10. AntispyXP 2009 und diverse andere Viren ... jetzt virenfrei?
    Log-Analyse und Auswertung - 01.08.2009 (13)
  11. Ist mein System virenfrei?
    Log-Analyse und Auswertung - 02.06.2009 (5)
  12. Ist der Trojaner jetzt wirklich runter?
    Antiviren-, Firewall- und andere Schutzprogramme - 27.04.2009 (0)
  13. PC jetzt virenfrei?
    Mülltonne - 31.08.2008 (0)
  14. Ist mein System virenfrei?
    Log-Analyse und Auswertung - 27.01.2008 (9)
  15. Trojaner jetzt wirklich weg??? oO
    Plagegeister aller Art und deren Bekämpfung - 02.07.2007 (2)
  16. Ich brauche jetzt wirklich dringend HILFE !!
    Plagegeister aller Art und deren Bekämpfung - 26.06.2007 (2)
  17. Ist der Worm/RBot.on jetzt wirklich weg?
    Log-Analyse und Auswertung - 02.11.2004 (8)

Zum Thema Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei? - Hallo, habe einen Laptop (XP-Pro) von Bekannten, voll mit Viren verseucht. Erst wurde das WIN-Update abgestellt. Später (ca. 2 Wochen) wurde die Firewall abgeschaltet. Und 2 Wochen später ist der - Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?...
Archiv
Du betrachtest: Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.