Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.11.2011, 19:52   #1
lala181
 
Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Standard

Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%



Hallo,
erbitte dringend um Hilfe!!! Habe über Malewarebytes zwei Viren gefunden die sich nicht löschen lassen namens Hijack.WindowsUpdates!!! Kann mir jemand helfen wie ich die Dinger weg bekomme???

Hier meine LogDatei

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4148

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28.11.2011 20:50:38
mbam-log-2011-11-28 (20-50-38).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 140153
Laufzeit: 4 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 28.11.2011, 20:09   #2
Larusso
/// Selecta Jahrusso
 
Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Standard

Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%





Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden
  • Sollte ich innerhalb der nächsten 3 Tage keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
  • Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.


Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Schritt 1

Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.scr
dds.pif
  • Schließe alle laufenden Programme.
  • Starte DDS mit Doppelklick.
  • Es wird 2 Logfiles erstellen.
    • dds.txt
    • attach.txt
  • Speichere beide Logfiles auf deinem Desktop
  • Poste beide Logfiles hier.


Bitte poste in deiner nächsten Antwort
dds.txt
attach.txt
__________________

__________________

Alt 28.11.2011, 20:13   #3
lala181
 
Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Standard

Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%



Du schreibst Vista und Win 7 User ich habe XP ist das trotzdem ok??? Soll ich die Anweisungen dennoch befolgen???
__________________

Alt 28.11.2011, 20:16   #4
Larusso
/// Selecta Jahrusso
 
Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Standard

Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%



Dann wird dies wohl nur für Vista und Win 7 gelten ^^
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 28.11.2011, 20:19   #5
lala181
 
Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Standard

Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%



Zitat:
Zitat von Larusso Beitrag anzeigen
Dann wird dies wohl nur für Vista und Win 7 gelten ^^
OK ich stand auf der Leitung passt schon!!!


Alt 28.11.2011, 20:23   #6
lala181
 
Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Standard

Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%



.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702
Run by HKS at 21:21:27 on 2011-11-28
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.894.371 [GMT 1:00]
.
AV: AVG Anti-Virus Free Edition 2011 *Enabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
============== Running Processes ===============
.
C:\PROGRA~1\AVG\AVG10\avgchsvx.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost -k DcomLaunch
svchost.exe
C:\WINXP\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\WINXP\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\AVG\AVG10\avgtray.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe
C:\Programme\AVG\AVG10\avgwdsvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINXP\system32\svchost.exe -k imgsvc
C:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\AVG\AVG10\avgnsx.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\AVG\AVG10\avgrsx.exe
C:\Programme\AVG\AVG10\avgcsrvx.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.web.de/
uWindow Title = Windows Internet Explorer
uDefault_Page_URL = hxxp://go.web.de/home
uSearchURL,(Default) = hxxp://go.web.de/suchbox/webdesuche?su=%s
uURLSearchHooks: AVG Security Toolbar BHO: {a3bc75a2-1f87-4686-aa43-5347d756017c} - c:\programme\avg\avg10\toolbar\IEToolbar.dll
uURLSearchHooks: H - No File
mURLSearchHooks: AVG Security Toolbar BHO: {a3bc75a2-1f87-4686-aa43-5347d756017c} - c:\programme\avg\avg10\toolbar\IEToolbar.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\programme\avg\avg10\avgssie.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} -
BHO: AVG Security Toolbar BHO: {a3bc75a2-1f87-4686-aa43-5347d756017c} - c:\programme\avg\avg10\toolbar\IEToolbar.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\programme\google\google toolbar\GoogleToolbar_32.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.7.6406.1642\swg.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} -
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} -
TB: AVG Security Toolbar: {ccc7a320-b3ca-4199-b1a6-9f516dd69829} - c:\programme\avg\avg10\toolbar\IEToolbar.dll
TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\programme\google\google toolbar\GoogleToolbar_32.dll
TB: {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No File
uRun: [CTFMON.EXE] c:\winxp\system32\ctfmon.exe
uRun: [<NO NAME>]
uRun: [StartCCC] c:\programme\ati technologies\ati.ace\core-static\CLIStart.exe
uRun: [EPSON Stylus DX4400 Series] c:\winxp\system32\spool\drivers\w32x86\3\e_faticae.exe /fu "c:\winxp\temp\E_S117.tmp" /EF "HKCU"
uRun: [MSMSGS] "c:\programme\messenger\msmsgs.exe" /background
uRun: [SpywareTerminatorUpdate] "c:\programme\spyware terminator\SpywareTerminatorUpdate.exe"
uRun: [swg] "c:\programme\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"
uRun: [1und1Dispatcher] "c:\programme\1und1softwareaktualisierung\SchedDispatcher.exe" xp
uRunOnce: [FlashPlayerUpdate] c:\winxp\system32\macromed\flash\FlashUtil10p_ActiveX.exe -update activex
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [Alcmtr] ALCMTR.EXE
mRun: [SunJavaUpdateSched] "c:\programme\java\jre6\bin\jusched.exe"
mRun: [SpywareTerminator] "c:\programme\spyware terminator\SpywareTerminatorShield.exe"
mRun: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime
mRun: [AVG_TRAY] c:\programme\avg\avg10\avgtray.exe
mRun: [PDFPrint] c:\programme\pdf24\pdf24.exe
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
dRun: [CTFMON.EXE] c:\winxp\system32\CTFMON.EXE
dRunOnce: [nltide_2] regsvr32 /s /n /i:U shell32
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\adobeg~1.lnk - c:\programme\gemeinsame dateien\adobe\calibration\Adobe Gamma Loader.exe
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\hks\anwendungsdaten\dvdvideosoftiehelpers\freeyoutubetomp3converter.htm
IE: Google Sidewiki... - c:\programme\google\google toolbar\component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~2\office11\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLL
DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://dl8-cdn-01.sun.com/s/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?e=1230631377169&h=774b876d9d005ff21e4359d2b7561f5c/&filename=jinstall-6u11-windows-i586-jc.cab
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game09.zylom.com/activex/zylomgamesplayer.cab
DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: DhcpNameServer = 82.212.62.62 78.42.43.62
TCP: Interfaces\{BAC8C3F2-B0DA-46E3-A570-F44E0D307E44} : DhcpNameServer = 82.212.62.62 78.42.43.62
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - c:\programme\avg\avg10\toolbar\IEToolbar.dll
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:\programme\avg\avg10\avgpp.dll
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\winxp\system32\wpdshserviceobj.dll
SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digiwet.dll
mASetup: ccc-core-static - msiexec /fums {A75BF1D0-C7C3-CB55-EE17-3225387FD154} /qb
Hosts: 127.0.0.1 www.spywareinfo.com
.
============= SERVICES / DRIVERS ===============
.
R0 AVGIDSEH;AVGIDSEH;c:\winxp\system32\drivers\AVGIDSEH.sys [2010-9-13 22992]
R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\winxp\system32\drivers\avgrkx86.sys [2010-9-7 32592]
R1 Avgldx86;AVG AVI Loader Driver;c:\winxp\system32\drivers\avgldx86.sys [2010-9-7 248656]
R1 Avgmfx86;AVG Mini-Filter Resident Anti-Virus Shield;c:\winxp\system32\drivers\avgmfx86.sys [2010-9-7 34896]
R1 Avgtdix;AVG TDI Driver;c:\winxp\system32\drivers\avgtdix.sys [2010-9-7 297168]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\winxp\system32\drivers\sp_rsdrv2.sys [2010-5-27 142592]
R2 AVGIDSAgent;AVGIDSAgent;c:\programme\avg\avg10\identity protection\agent\bin\AVGIDSAgent.exe [2011-8-18 7390560]
R2 avgwd;AVG WatchDog;c:\programme\avg\avg10\avgwdsvc.exe [2011-2-8 269520]
R3 AVGIDSDriver;AVGIDSDriver;c:\winxp\system32\drivers\AVGIDSDriver.sys [2010-8-19 134480]
R3 AVGIDSFilter;AVGIDSFilter;c:\winxp\system32\drivers\AVGIDSFilter.sys [2010-8-19 24144]
R3 AVGIDSShim;AVGIDSShim;c:\winxp\system32\drivers\AVGIDSShim.sys [2010-8-19 27216]
S1 fb33d3cb;fb33d3cb;c:\winxp\system32\drivers\fb33d3cb.sys --> c:\winxp\system32\drivers\fb33d3cb.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\google\update\GoogleUpdate.exe [2011-5-9 136176]
S2 ThemesCiSvc;Designs ThemesCiSvc;c:\winxp\system32\ahuie.exe srv --> c:\winxp\system32\ahuie.exe srv [?]
S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\programme\avg\avg10\toolbar\ToolbarBroker.exe [2011-4-14 947528]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\google\update\GoogleUpdate.exe [2011-5-9 136176]
S3 rkhdrv40;Rootkit Unhooker Driver; [x]
.
=============== Created Last 30 ================
.
.
==================== Find3M ====================
.
2011-09-19 09:11:16 357278 ----a-w- c:\winxp\system32\ZBScreenSaver_1.scr
2011-09-18 20:40:02 319960 ----a-w- c:\dokumente und einstellungen\hks\anwendungsdaten\mdbu.bin
.
============= FINISH: 21:21:53,92 ===============

Alt 28.11.2011, 20:24   #7
lala181
 
Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Standard

Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%



.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows XP Professional
Boot Device: \Device\HarddiskVolume1
Install Date: 02.08.2008 14:14:54
System Uptime: 28.11.2011 19:56:48 (2 hours ago)
.
Motherboard: ASUSTeK Computer INC. | | M2A-VM
Processor: AMD Athlon(tm) Dual Core Processor 4050e | Socket AM2 | 2099/200mhz
.
==== Disk Partitions =========================
.
A: is Removable
C: is FIXED (NTFS) - 233 GiB total, 201,433 GiB free.
D: is CDROM ()
E: is CDROM ()
G: is Removable
H: is Removable
I: is Removable
J: is Removable
.
==== Disabled Device Manager Items =============
.
==== System Restore Points ===================
.
RP778: 30.08.2011 20:53:39 - Systemprüfpunkt
RP779: 01.09.2011 20:12:07 - Systemprüfpunkt
RP780: 02.09.2011 20:44:34 - Systemprüfpunkt
RP781: 04.09.2011 20:55:50 - Systemprüfpunkt
RP782: 07.09.2011 20:47:15 - Systemprüfpunkt
RP783: 09.09.2011 12:00:12 - Systemprüfpunkt
RP784: 10.09.2011 12:29:22 - Systemprüfpunkt
RP785: 11.09.2011 21:31:45 - Systemprüfpunkt
RP786: 12.09.2011 21:50:04 - Systemprüfpunkt
RP787: 15.09.2011 11:36:41 - Systemprüfpunkt
RP788: 16.09.2011 16:48:34 - Systemprüfpunkt
RP789: 18.09.2011 10:14:08 - Systemprüfpunkt
RP790: 18.09.2011 10:20:01 - Windows Media Encoder 9-Reihe wird installiert
RP791: 18.09.2011 10:32:05 - Windows Media Encoder 9-Reihe wird entfernt
RP792: 19.09.2011 09:43:00 - Removed IMinent Toolbar
RP793: 19.09.2011 09:50:35 - Installed iSpring Free 5
RP794: 19.09.2011 10:02:29 - Removed iSpring Free 5
RP795: 19.09.2011 10:09:23 - Wiederherstellungsvorgang
RP796: 19.09.2011 10:24:10 - Wiederherstellungsvorgang
RP797: 19.09.2011 10:28:52 - Wiederherstellungsvorgang
RP798: 21.09.2011 08:15:25 - Systemprüfpunkt
RP799: 21.09.2011 19:16:30 - Fotostory 3 für Windows wird installiert
RP800: 22.09.2011 19:51:32 - Systemprüfpunkt
RP801: 23.09.2011 20:13:27 - Systemprüfpunkt
RP802: 24.09.2011 20:47:41 - Systemprüfpunkt
RP803: 26.09.2011 12:06:27 - Systemprüfpunkt
RP804: 27.09.2011 12:38:05 - Systemprüfpunkt
RP805: 29.09.2011 07:45:23 - Systemprüfpunkt
RP806: 01.10.2011 20:44:59 - Systemprüfpunkt
RP807: 02.10.2011 21:25:23 - Systemprüfpunkt
RP808: 04.10.2011 19:44:13 - Systemprüfpunkt
RP809: 06.10.2011 11:00:24 - Systemprüfpunkt
RP810: 07.10.2011 14:51:20 - Systemprüfpunkt
RP811: 08.10.2011 16:28:36 - Systemprüfpunkt
RP812: 09.10.2011 19:11:34 - Systemprüfpunkt
RP813: 10.10.2011 19:47:57 - Systemprüfpunkt
RP814: 10.10.2011 20:31:45 - Druckertreiber PDF24 PDF installiert
RP815: 12.10.2011 07:54:41 - Systemprüfpunkt
RP816: 13.10.2011 11:11:36 - Systemprüfpunkt
RP817: 14.10.2011 12:51:00 - Systemprüfpunkt
RP818: 16.10.2011 09:02:18 - Systemprüfpunkt
RP819: 17.10.2011 20:04:08 - Systemprüfpunkt
RP820: 20.10.2011 16:06:38 - Systemprüfpunkt
RP821: 22.10.2011 18:36:07 - Systemprüfpunkt
RP822: 23.10.2011 19:52:34 - Systemprüfpunkt
RP823: 25.10.2011 13:24:10 - Adobe Reader 8.1.3 - Deutsch wird entfernt
RP824: 25.10.2011 13:25:12 - Installed Adobe Reader X (10.1.1) - Deutsch.
RP825: 27.10.2011 08:29:43 - Systemprüfpunkt
RP826: 28.10.2011 08:54:56 - Systemprüfpunkt
RP827: 29.10.2011 20:37:09 - Systemprüfpunkt
RP828: 02.11.2011 09:30:42 - Systemprüfpunkt
RP829: 03.11.2011 19:28:55 - Systemprüfpunkt
RP830: 06.11.2011 09:29:55 - Systemprüfpunkt
RP831: 07.11.2011 12:07:00 - Systemprüfpunkt
RP832: 10.11.2011 10:32:25 - Systemprüfpunkt
RP833: 12.11.2011 17:56:37 - Systemprüfpunkt
RP834: 13.11.2011 19:10:00 - Systemprüfpunkt
RP835: 13.11.2011 20:27:00 - Installed Envisioneer Express 5.0
RP836: 13.11.2011 20:35:30 - Configured Envisioneer Express 5.0
RP837: 13.11.2011 21:02:41 - Configured Envisioneer Express 5.0
RP838: 17.11.2011 17:38:12 - Systemprüfpunkt
RP839: 20.11.2011 10:07:14 - Systemprüfpunkt
RP840: 23.11.2011 09:00:15 - Systemprüfpunkt
RP841: 24.11.2011 09:27:25 - Systemprüfpunkt
RP842: 26.11.2011 12:50:41 - Systemprüfpunkt
RP843: 27.11.2011 20:14:24 - Systemprüfpunkt
.
==== Installed Programs ======================
.
3D-Viewer-innoplus
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Photoshop 6.0
Adobe Reader X (10.1.1) - Deutsch
Adobe Shockwave Player 11.5
AMD Processor Driver
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
ATI Parental Control & Encoder
AVG 2011
Caillous Vorschule
Canon Camera Access Library
Canon Camera Support Core Library
Canon Camera Window DC_DV 5 for ZoomBrowser EX
Canon Camera Window DC_DV 6 for ZoomBrowser EX
Canon Camera Window MC 6 for ZoomBrowser EX
Canon G.726 WMP-Decoder
CANON iMAGE GATEWAY Task for ZoomBrowser EX
Canon Internet Library for ZoomBrowser EX
Canon MovieEdit Task for ZoomBrowser EX
Canon RAW Image Task for ZoomBrowser EX
Canon RemoteCapture Task for ZoomBrowser EX
Canon Utilities EOS Utility
Canon Utilities PhotoStitch
Canon Utilities ZoomBrowser EX
Catalyst Control Center Core Implementation
Catalyst Control Center Graphics Full Existing
Catalyst Control Center Graphics Full New
Catalyst Control Center Graphics Light
Catalyst Control Center Localization Chinese Standard
Catalyst Control Center Localization Chinese Traditional
Catalyst Control Center Localization Czech
Catalyst Control Center Localization Danish
Catalyst Control Center Localization Dutch
Catalyst Control Center Localization Finnish
Catalyst Control Center Localization French
Catalyst Control Center Localization German
Catalyst Control Center Localization Greek
Catalyst Control Center Localization Hungarian
Catalyst Control Center Localization Italian
Catalyst Control Center Localization Japanese
Catalyst Control Center Localization Korean
Catalyst Control Center Localization Norwegian
Catalyst Control Center Localization Polish
Catalyst Control Center Localization Portuguese
Catalyst Control Center Localization Russian
Catalyst Control Center Localization Spanish
Catalyst Control Center Localization Swedish
Catalyst Control Center Localization Thai
Catalyst Control Center Localization Turkish
ccc-core-static
ccc-utility
CCC Help Chinese Standard
CCC Help Chinese Traditional
CCC Help Czech
CCC Help Danish
CCC Help Dutch
CCC Help English
CCC Help Finnish
CCC Help French
CCC Help German
CCC Help Greek
CCC Help Hungarian
CCC Help Italian
CCC Help Japanese
CCC Help Korean
CCC Help Norwegian
CCC Help Polish
CCC Help Portuguese
CCC Help Russian
CCC Help Spanish
CCC Help Swedish
CCC Help Thai
CCC Help Turkish
CCleaner (remove only)
Die Sims - Party ohne Ende
EPSON-Drucker-Software
EPSON Scan
FaceLift
Fotostory 3 für Windows
Google Toolbar for Internet Explorer
Google Update Helper
Haushaltskassenbuch
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB954550-v5)
IhrPlatz Online Fotoservice
Java(TM) 6 Update 11
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Nero 7 Lite v7.5.7.0
PDF24 Creator 3.5.3
REALTEK GbE & FE Ethernet PCI-E NIC Driver
Realtek High Definition Audio Driver
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Skins
Spyware Terminator
Uninstall 1.0.0.1
Update für Windows XP (KB898461)
Update für Windows XP (KB942763)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
VLC media player 0.9.8a
WEB.DE Softwareaktualisierung
WEB.DE Update
WebFldrs XP
Windows Genuine Advantage Notifications (KB905474)
Windows Internet Explorer 8
WinRAR
XML Paper Specification Shared Components Language Pack 1.0
.
==== End Of File ===========================

Alt 28.11.2011, 20:31   #8
Larusso
/// Selecta Jahrusso
 
Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Standard

Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%



Gute Arbeit

Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
    Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!



Bitte poste in deiner nächsten Antwort
gmer.txt
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 28.11.2011, 21:22   #9
lala181
 
Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Standard

Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%



Hoffe ich habe alles richtig gemacht!!!

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-11-28 22:21:16
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HD250HJ rev.FH100-06
Running: h2kk4ngz.exe; Driver: C:\DOKUME~1\HKS\LOKALE~1\Temp\fxacraoc.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. )  ZwOpenProcess [0xF7811738]
SSDT            \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. )  ZwTerminateProcess [0xF78117DC]
SSDT            \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. )  ZwTerminateThread [0xF7811878]
SSDT            \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. )  ZwWriteVirtualMemory [0xF7811914]

---- Kernel code sections - GMER 1.0.15 ----

?               C:\DOKUME~1\HKS\LOKALE~1\Temp\mbr.sys                                                                                       Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                      AVGIDSFilter.Sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. )
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                    avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                   avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                   avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                 avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                    fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                    AVGIDSFilter.Sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. )

---- EOF - GMER 1.0.15 ----
         
--- --- ---

Alt 28.11.2011, 21:37   #10
Larusso
/// Selecta Jahrusso
 
Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Standard

Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%



Okay, sieht auch OK aus.


Downloade bitte Wus Fix.exe und starte diese Datei.


Starte den Rechner neu auf


  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 28.11.2011, 21:42   #11
lala181
 
Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Standard

Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%



Habe Wus Fix runter geladen aber es lässt sich nicht öffnen. Erscheint nur ne Sekunde ein schwarzes kleines Fenster in dem was steht aber dann schließt es sich gleich wieder ist das normal oder stimmt was nicht???

Alt 28.11.2011, 21:43   #12
Larusso
/// Selecta Jahrusso
 
Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Standard

Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%



Ja, sollte normal sein

Starte den Rechner neu auf und fahre mit MBAM fort
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 28.11.2011, 22:11   #13
lala181
 
Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Standard

Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%



Oh man hoffentlich poste ich hier nun den richtigen Log. Die alten Trojaner wurden nämlich nicht mehr angezeigt dafür ein neuer ich glaube Trojan Agent hieß er. Den habe ich gelöscht und dann die Aufforderung bekommen den PC neu zu starten. dann habe ich nun einfach den letzten Log aus der Datei gewählt das müsste der richtige sein hier ist er:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8261

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28.11.2011 23:06:29
mbam-log-2011-11-28 (23-06-29).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 197757
Laufzeit: 2 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASPIMGR (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 28.11.2011, 22:15   #14
Larusso
/// Selecta Jahrusso
 
Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Standard

Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%



Sieht ganz gut aus



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




Bitte poste in deiner nächsten Antwort
log.txt
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 28.11.2011, 23:03   #15
lala181
 
Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Standard

Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%



So das war eine lange Geburt!!!

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=39dae0a86ba4f64fb25a129270cda6d0
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-28 11:01:14
# local_time=2011-11-29 12:01:14 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 19668 19668 0 0
# compatibility_mode=768 16777215 100 0 47543435 47543435 0 0
# compatibility_mode=1032 16777189 100 96 48887 65686920 0 0
# compatibility_mode=7937 16777213 100 100 20958 47544101 0 0
# compatibility_mode=8192 67108863 100 0 3695 3695 0 0
# scanned=71772
# found=0
# cleaned=0
# scan_time=2098

Antwort

Themen zu Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%
%systemroot%, action, anti-malware, bösartige, dateien, dinger, dringend, explorer, hilfe!, hilfe!!, local, löschen, maleware, minute, namens, nicht löschen, service, services, svchost.exe, system, system32, version, verzeichnisse, viren, virus



Ähnliche Themen: Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%


  1. Diverse Maleware-Meldungen über Avira - FlowSurf - Teil 1
    Log-Analyse und Auswertung - 19.01.2015 (6)
  2. Maleware zeigt über 20 Bedrohungen an!
    Plagegeister aller Art und deren Bekämpfung - 12.06.2014 (26)
  3. maleware anzeige über malewarebytes
    Plagegeister aller Art und deren Bekämpfung - 24.11.2013 (25)
  4. C:\WINDOWS\system32\scvhost\svchost.exe,wuauserv.exe; Win32 Malware
    Plagegeister aller Art und deren Bekämpfung - 19.09.2012 (10)
  5. Trojaner/Virus über malwarebyte gefunden; Infizierung über Link - was nun?
    Log-Analyse und Auswertung - 14.09.2012 (5)
  6. Infizierung mit Trojaner TR/Drop.Softomat.An und TR/Trash.Gen und Maleware über Seite Mywebface
    Log-Analyse und Auswertung - 26.04.2012 (20)
  7. Windowsupdates blockiert+Nebenerscheinungen
    Plagegeister aller Art und deren Bekämpfung - 16.01.2011 (28)
  8. Wuauserv und BITS infiziert
    Log-Analyse und Auswertung - 07.06.2010 (9)
  9. Hijack this logfile bitte angucken aufgrund von maleware befall
    Log-Analyse und Auswertung - 24.09.2009 (1)
  10. (wuauserv) (BITS) - Unknown owner - C:\WINDOWS\
    Log-Analyse und Auswertung - 27.03.2009 (4)
  11. Windowsupdates funktionieren nicht
    Alles rund um Windows - 20.10.2007 (3)
  12. Automatische Windowsupdates und Userprofil
    Plagegeister aller Art und deren Bekämpfung - 21.11.2006 (7)
  13. Probleme nach WindowsUpdates
    Alles rund um Windows - 16.09.2006 (3)
  14. wer kann helfen über Hijack ???
    Log-Analyse und Auswertung - 27.10.2004 (10)
  15. mehr k/bits
    Netzwerk und Hardware - 27.04.2003 (2)

Zum Thema Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% - Hallo, erbitte dringend um Hilfe!!! Habe über Malewarebytes zwei Viren gefunden die sich nicht löschen lassen namens Hijack.WindowsUpdates!!! Kann mir jemand helfen wie ich die Dinger weg bekomme??? Hier meine - Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot%...
Archiv
Du betrachtest: Virus über Maleware Hijack.WindowsUpdates BITS Wuauserv %fystemRoot% auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.