Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.10.2008, 21:54   #1
activO
 
Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Böse

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten



Hallo Leute,

ich habe ein ziemlich schweres Problem. Es mag viel zum Lesen sein, aber bitte hört nicht auf, ich bin verzweifelt und weiß nicht wirklich weiter.

Es scheint, als wäre ein Virus o.ä. auf meinem Laptop, denn das Updaten von Antivirensoftware ist nicht mehr möglich. Auch ist es mir nicht möglich die Webseiten von Softwareherstellern wie kaspersky.com; eset.com; bitdefender.de; trend-micro.com; (symantec.com); etc. zu besuchen. Es kommt immer die Meldung (im Firefox): "Verbindung fehlgeschlagen" und die IP ist die folgende: 127.0.0.1 (der Laptop selbst). Dieselbe IP steht auch im CMD beim "ping .....". Muss also Loopback können, diese Schadsoftware.

Der Virus hat die Arbeitsgeschwindigkeit meines Laptops enorm heruntergedrückt. Das Internet funktioniert auch nicht immer.

Beim suchen mit Google werden mir manche Seiten nicht gezeigt, stattdessen komm ich auf Pornographie-Seiten. Wenn ich es schaffe (Link man. kopieren) und etwas downloaden will, kommt in fast 90% der Fälle das untere Bild - der Name der Datei (hijackthis) ändert sich entsprechend dem Download und die Dateifröße von 82kb ist immer gleich.




Als ersten Schritt habe ich die folgende Software benutzt um den Virus zu finden:
- Kaspersky Internet Security 2009 (hatte ich vorher installiert)
- Kaspersky Internet Security 2007
- Stinger (aktuellste Version)
- Dr. Web Cure It
- MWAV
- eScan
- NOD Smart Security
- NOD32 Anti virus 2.7 (ohne Updates, da unmöglich)
- Bitdefender Online Scanner (in der Schule möglich)

Nach 1.5 Tagen Entäuschung suchte ich wieder bei Google und lies etwas über die "hosts"-Datei. Diese ist bei mir sauber und zudem habe ich sie ersetzt, durch die von meinem Standrechner.
Dann las ich vom bekannten Virus "Dos AgoBot", mit einem Entfernungstool suchte ich und fand nix.

Ich finde keine andere Lösung. Daher würde ich mich überaus freuen, wenn Ihr mir helfen könntet. Als letzte Option steht ja noch das HDD-Shredding und Neuinstallation von Windows, allerdings würde es mich sehr traurig stimmen dies machen zu müssen.

Ich wollte so viele Infos wie möglich für Euch hier stellen und habe auch eine Logfile von HiJackThis:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:10, on 06.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Eset\nod32krn.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://global.acer.c*m
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://admin/proxy.p**
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://ww*.bitdefender.d*/scan_de/scan8/oscan8.cab
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programme\Eset\nod32krn.exe

--
End of file - 5592 bytes
         


Sollte ich noch etwas für Euch hier bereitstellen können, meldet euch bitte.
Ich freue mich auf jede Hilfe / jeden Tipp / jede Lösung!

MfG activO

Geändert von activO (06.10.2008 um 22:13 Uhr)

Alt 06.10.2008, 22:14   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Standard

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten



Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
7.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________

Alt 06.10.2008, 22:45   #3
The Jack
 
Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Standard

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten



Hi ActivO,

ich hatte das selbe Problem, versuche es mal mit MAM ( Malwarebytes Antimalware), ist Freeware.

Falls Du es nicht von der Herstellerseite laden kannst (wegen dem Virus) versuche es über Seiten wie Chip, Pc Welt oder Znet (da drückt der Virus wohl ein Auge zu).

Danach sollte alles wieder laufen ( bei mir tat´s das jedenfalls)

Eigentlich stand hier im Board ein Beitrag von mir dazu aber der is wohl weg

Schreib doch mal ob´s geklappt hat.

Grüße The Jack
__________________

Alt 06.10.2008, 23:33   #4
activO
 
Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Standard

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten



DANKE an <root24> und <The Jack> für die tollen Beschreibungen.
Ich werde heute nur mehr die Malwarebytes Anti-Malware Software benutzen, aufgrund des Zeitmangels.
Werde aber morgen die Liste von <root24> durchgehen und euch sofort Bericht erstatten.

Danke,

MfG

Alt 07.10.2008, 00:28   #5
activO
 
Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Standard

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten



Unfassbar, aber das Malwarebytes Antimalware hat mich befreit, das Updaten geht, die Internetseiten gehen, toll. Morgen mach ich noch die Liste von <roo24> inkl. der Log-Files (Auch das Log-File von heute ...).

Danke für den Tipp <The Jack> ,

:aplaus:

Gruß,


Alt 07.10.2008, 20:57   #6
activO
 
Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Standard

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten



1) Hier die neue HJT-Log-Datei:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:48:01, on 07.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Eset\nod32krn.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\*\Desktop\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.a*/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht**://global.acer.**m
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = **tp://admin/proxy.*a*
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - ht*p://**w.bitdefender.*e/scan_de/scan8/oscan8.cab
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programme\Eset\nod32krn.exe

--
End of file - 5574 bytes
         

2) Systemwiederherstellung deaktiviert und laut Anleitung wieder aktiviert.


3)
Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

4)
- Blacklight:
Code:
ATTFilter
10/07/08 17:33:52 [Info]: BlackLight Engine 2.2.1092 initialized
10/07/08 17:33:52 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/07/08 17:33:52 [Note]: 7019 4
10/07/08 17:33:52 [Note]: 7005 0
10/07/08 17:34:02 [Note]: 7006 0
10/07/08 17:34:02 [Note]: 7011 484
10/07/08 17:34:02 [Note]: 7035 0
10/07/08 17:34:03 [Note]: 7026 0
10/07/08 17:34:03 [Note]: 7026 0
10/07/08 17:34:05 [Note]: FSRAW library version 1.7.1024
10/07/08 17:34:30 [Note]: 7007 0
         
- Malwarebytes Antimalware (2x ausgeführt, d.h. 2 Log-Files):
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1235
Windows 5.1.2600 Service Pack 2

07.10.2008 18:15:02
mbam-log-2008-10-07 (18-15-02).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 127843
Laufzeit: 37 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\tdssadw.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSerrors.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSl.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf1.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Rootkit.Agent) -> Delete on reboot.
         
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1240
Windows 5.1.2600 Service Pack 2

07.10.2008 18:55:11
mbam-log-2008-10-07 (18-55-11).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 117998
Laufzeit: 33 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Temp\TDSSabc3.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Durim\Lokale Einstellungen\Temp\TDSS8a8d.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
         


5) Silent Runners
File-Upload.net - Silent-Runners-Log.zip



6)
Combofix Log-File:
File-Upload.net - Combofix-Log.zip



7) Filelisting-Log-File als ZIP-File auf file-upload.net:
File-Upload.net - Filelisting-Log.zip


Hoffe, es ist alles korrekt. Würde mich auf eine Analyse freuen!

MfG

Alt 07.10.2008, 21:24   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Standard

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten



Hast Du zufällig mit MWAV/escan gescannt? Hab da einige Dateien gesehen, die darauf schließen lassen, bin mir da aber nicht ganz sicher, weil MWAV (das für escan typisch ist!) nicht da ist!!
Weiter geht's:

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\QtZgAcer.UNI
C:\WINDOWS\system32\QtBtLib.dll
C:\WINDOWS\system32\drivers\DKbFltr.SYS
C:\WINDOWS\system32\DRIVERS\xmasbus.sys
         
Danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
drivers to delete:
TDSSSERV
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.10.2008, 18:33   #8
activO
 
Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Standard

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten



Ja, ich habe letztes Wochenende auch mit MWAV gescannt, wo Du das siehst, versteh ich nicht.
Aber hier die vier Files, die auf virustotal untersucht werden sollten (hab sie als *.html files gespeichert und auf meinen ftp geladen:

C:\WINDOWS\QtZgAcer.UNI

C:\WINDOWS\system32\QtBtLib.dll

C:\WINDOWS\system32\drivers\DKbFltr.SYS

C:\WINDOWS\system32\DRIVERS\xmasbus.sys


-------------------------------------------------------------------------


Hier nun die Log-Datei von Avenger:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSSERV" not found!
Deletion of driver "TDSSSERV" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         

Sollte etwas nicht in Ordnung sein, meldest Du dich einfach .

Danke auf jeden Fall für Deine Mühe/Hilfe!

MfG

Alt 08.10.2008, 20:56   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Standard

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten



Zitat:
Ja, ich habe letztes Wochenende auch mit MWAV gescannt, wo Du das siehst, versteh ich nicht.
eScan/MWAV erstellt da (zumindest der kostenlose nur-scanner) ganz bestimmte Ordner im Windowsverzeichnis. Daher kam ich auf die Idee und wollte von Dir den MWAV-Einsatz bestätigt haben.

Der Rest dürfte an sich okay sein, sofern es eine Bereinigung zulässt (Neuaufsetzen ist bei Schädlingsbefall immer die sicherste Methode), gibt's denn noch Probleme/Auffälligkeiten am System?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.10.2008, 21:42   #10
activO
 
Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Standard

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten



Jap, genau das war es auch, (kam aber später darauf, wusste es vorher nicht) der kostenlose nurscanner. Wäre nett, wenn Du mir diesen Ordner nennen könntest, damit ich ihn lösche, da ich den ja nicht mehr brauche.


Ja, das dachte ich mir auch vom Neuaufsetzen, aber ich hab ihn neulich (Anfang August 08) neu aufgesetzt und wollte diesen langen Vorgang (Daten hin und her) vermeiden. Aber dank Eurer Hilfe hier im Trojaner-Board läuft eigentlich alles wieder normal, hoffe, dass es auch so bleibt.

Auch Dateien wie cidaemon.exe; cisvc.exe; MDM.exe starten nicht wieder.
Danke nochmal!

Meine letzte Frage:
Kann der Virus eigentlich schon viel länger oben gewesen sein, und ist aber vore kurzem aktiv geworden, da mir vieles von Programmen wie xampp, diversen irc-versionen gelöscht wurde?


MfG activO

Alt 09.10.2008, 10:29   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Cool

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten



Zitat:
damit ich ihn lösche, da ich den ja nicht mehr brauche.
Das sind leere Ordner, die stören nicht weiter.

Zitat:
Kann der Virus eigentlich schon viel länger oben gewesen sein, und ist aber vore kurzem aktiv geworden, da mir vieles von Programmen wie xampp, diversen irc-versionen gelöscht wurde?
Möglich schon, lässt sich aber nun nicht mehr nachvollziehen. Auch wenn es nun scheint, dass der Rootkit TDSSSERV erfolgreich entfernt wurde, die Garantie für ein sauberes System hast Du erst nach dem Neuaufsetzen...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.10.2008, 21:05   #12
activO
 
Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Standard

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten



Ich werds mir in den nächsten Tagen überlegen, ob ich die Zeit habe, da bei mir dies alles eher länger dauert, vlt. einen ganzen Tag durch.

Aber, weil du sagst TDSSSERV scheint weg zu sein:

In der Schule dauert das Anmelden auf Windows ziemlich lange, da nach Benutzername- und Passworteingabe der "Begrüßungsschirm" von NOD32 AntiVirus kommt und bis zu 2mins bleibt und nichts getan/gestartet werde kann. Ich muss also immer warten bis er sich dazu entschließt wegzugehen. Kann das am Proxyserver meiner Schule liegen, oder ist das ein Zeichen, dass TDSSSERV nicht vollständig weg ist?

Danke!

MfG,

activO

Alt 10.10.2008, 16:33   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Frage

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten



In der Schule? Wie wo loggst Du Dich da ein? Von Deinem Notebook?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.10.2008, 13:09   #14
activO
 
Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Standard

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten



Ja genau, von meinem Notebook. Mit von der Schule erstellten Benutzername und meinem Passwort. Sobald ich Firefox aufmache, fragt er nach diesen Daten, sonst ist eine Verbindung mit dem Internet nicht möglich.


Bin an der Schul-Domäne angemeldet und am IP-Pool der Schule (mit der Mac-Adr).


Zu Hause läuft alles ganz normal, eben nur nicht in der Schule.

MfG

Alt 11.10.2008, 15:28   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Standard

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten



Was ist das für ein Begrüßungsschirm von NOD32? Taucht der erst jetzt auf? Also nach unserer Bereingungsprozedur, oder was das schon immer, nur jetzt ist er so langsam?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten
adobe, bho, dll, excel, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, internet security, launch, logfile, microsoft, nicht möglich, notebook, programme, rundll, security, software, stimme, system, täuschung, updates, verbindung fehlgeschlagen, virus, windows, windows xp



Ähnliche Themen: Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten


  1. MSE meldet während Youtube-Besuch Virus DOS/Dexo
    Log-Analyse und Auswertung - 20.09.2014 (5)
  2. Apple veröffentlicht Java-6-Updates und Anti-Malware-Tool
    Nachrichten - 21.02.2013 (0)
  3. Virus: Updates nicht möglich und Installation von Malwarebytes Anti-Malware 1.70 nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 17.02.2013 (10)
  4. Vireninfektion nach wetter.com Besuch; Anti-Virenseiten blockiert :-/
    Log-Analyse und Auswertung - 13.08.2012 (15)
  5. Anti-Malewarebytes: kann nicht nach Updates suchen
    Plagegeister aller Art und deren Bekämpfung - 03.05.2012 (8)
  6. Virus/Malware verhindert Installation/Start jeglicher Anti-Malware/Virusprogramme
    Plagegeister aller Art und deren Bekämpfung - 03.02.2012 (17)
  7. keygenguru.com Virus! Zerstört Anti-Viren Programme und andere Programme! (XP)
    Alles rund um Windows - 29.07.2011 (2)
  8. keine Updates von Win-Defender, Anti-Vir und Win allgemein mehr möglich
    Antiviren-, Firewall- und andere Schutzprogramme - 06.06.2011 (2)
  9. Anti Virus Anti Spyware 2011 - Nach der Anleitung von AdminBot / DaGuRu gelöscht
    Log-Analyse und Auswertung - 03.04.2011 (1)
  10. Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten
    Antiviren-, Firewall- und andere Schutzprogramme - 03.09.2009 (22)
  11. Virus Attacke verhindert Aktivierung von Anti-Viren-Programme
    Plagegeister aller Art und deren Bekämpfung - 25.05.2009 (2)
  12. Virus verhindert Updates, Pop-Ups, falsche Links
    Plagegeister aller Art und deren Bekämpfung - 23.01.2009 (0)
  13. keine Updates der Anti-Viren Software mehr moeglich, falsche Weiterleitung
    Log-Analyse und Auswertung - 15.12.2008 (0)
  14. Kann kein Anti Wir / Windos Updates mehr installieren
    Log-Analyse und Auswertung - 01.06.2008 (11)
  15. Viren bekämpfen ohne Anti Viren Programm
    Plagegeister aller Art und deren Bekämpfung - 28.11.2007 (22)
  16. Etrust Antivirus verhindert Systemstart!!!Hilfe-Viren,Würmer,Trojaner???
    Log-Analyse und Auswertung - 06.03.2007 (1)
  17. Wie oft nach Viren scannen/Updates runterladen?
    Plagegeister aller Art und deren Bekämpfung - 08.10.2004 (1)

Zum Thema Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten - Hallo Leute, ich habe ein ziemlich schweres Problem. Es mag viel zum Lesen sein, aber bitte hört nicht auf, ich bin verzweifelt und weiß nicht wirklich weiter. Es scheint, als - Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten...
Archiv
Du betrachtest: Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.