Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: hartnäckiger Schädling

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.06.2009, 00:44   #1
apsis
 
hartnäckiger Schädling - Standard

hartnäckiger Schädling



Schöne guten Nabend,

ich habe zur Zeit mit einem sehr widerspenstigen Schädling zu tun. Seid zwei Tagen kann ich trotz bestehender Internetverbindung keine Webseiten aufrufen, sowohl im Internetexplorer als auch im Firefox. Zu erst bin ich von einem Fehler im DNS-Speicher ausgegangen, aber die Webseiten lassen sich auch nicht über die direkte IP anzeigen. Danach habe ich meine Netzwerkverbindungen mit ' netstat' (Kommandozeile) überprüft und dabei herausgefunden das mein PC mehrere hundert Verbindungen hergestellt hat, es scheint so als seien alle Ports geöffnet. Nach einem Neustart ist bis zur Ínternet Einwahl alles in Ordnung,darum denke ich das es sich um einen Schädling handelt. Da dieser auch sämtliche Updatefunktionen aller Sicherheitsprogramme außer Kraft setzt (keine Verbindung zum Updateserver) habe ich sämtliche aktuelle Versionen mit dem Laptop heruntergeladen und einige Scans gemacht. Antivir konnte 4 Funde verbuchen die auch laut Programm gelöscht wurden, doch das Problem besteht weiterhin selbst nach einem Neustart.
Bisher unternommen:
Komplettscan mit
-Antivir Personal
-Asquared
-Spybot Search and Destroy
-Kaspersky Anti Virus (Testversion)
jeweils im abgesicherten Modus von Windows.

HijackThis findet dazu folgendes:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:00:51, on 21.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Samurize\Client.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Client Default.lnk = C:\Programme\Samurize\Client.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: rncsys32.eoe (User 'SYSTEM')
O4 - .DEFAULT Startup: Client Default.lnk = C:\Programme\Samurize\Client.exe (User 'Default user')
O4 - .DEFAULT Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe (User 'Default user')
O4 - .DEFAULT Startup: rncsys32.eoe (User 'Default user')
O4 - Startup: Client Default.lnk = C:\Programme\Samurize\Client.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: rncsys32.eoe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Append to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E363B3F7-45E9-4369-BF80-8C4EFBDAF2A8}: NameServer = 217.0.43.1 217.0.43.193
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: IPSEC-Dienste PolicyAgentdmadmin (PolicyAgentdmadmin) - Unknown owner - C:\WINDOWS\system32\iasr.exe (file missing)
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\services.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 7618 bytes
O4 - Startup: rncsys32.eoe - ursprünglich rncsys32.exe, habe ich zuerst aus dem Autostart gelöscht und dann manuell von der Festplatte, nach einem Neustart war besagte Datei allerdings wieder vorhanden, der Autostart nistet sich automatisch wieder ein. Daher habe ich erst einmal die Endung umbenannt.
Die anderen von der Logfileauswertung vorgeschlagenen Prozesse wurden auch gefixt, nach einem Neustart ist aber alles wieder da.

Einen Fehler in der Internetverbindung würde ich erstmal ausschließen , da Thunderbird, ICQ und Co wunderbar funktionieren. Nun Suche ich einen weg die oben genannten Schädlinge loszuwerden, bin allerdings mit meinem Latein am Ende. Ich hoffe das ihr mir helfen könnt, eine Formatierung sollte erstmal der letzte Ausweg sein.

Zu meinem System:
Windows XP SP2
Internet Explorer (aktuellste Version)
Firefox 2.02
Sicherheitsprogramme: (standardmäßig installiert)
Antivir Personal
HijackThis
Spybot Search and Destroy

Zwecksmäßig installiert:
AVG free Antivirus
Kaspersky Antivirus Trial
Asquared free
Adaware
Zonealarm free (leider nicht installiert, da Internetinstallation).

Ich hoffe das ihr mir helfen könnt, ich weiß nicht mehr weiter.
mfg dennis

Alt 22.06.2009, 07:44   #2
nochdigger
 
hartnäckiger Schädling - Standard

hartnäckiger Schädling



Hallo und

Zitat:
Antivir konnte 4 Funde verbuchen die auch laut Programm gelöscht wurden, doch das Problem besteht weiterhin selbst nach einem Neustart.
Was wurde wo gefunden?
Oder besser poste bitte das Log von Antivir hierher.

Diese Einträge gefallen mir überhaupt nicht
Zitat:
O23 - Service: IPSEC-Dienste PolicyAgentdmadmin (PolicyAgentdmadmin) - Unknown owner - C:\WINDOWS\system32\iasr.exe (file missing)
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\services.exe (file missing)

Zitat:
O4 - Startup: rncsys32.eoe - ursprünglich rncsys32.exe, habe ich zuerst aus dem Autostart gelöscht und dann manuell von der Festplatte, nach einem Neustart war besagte Datei allerdings wieder vorhanden, der Autostart nistet sich automatisch wieder ein.
Lass die Datei bitte mal hier auswerten
VirusTotal - Kostenloser online Viren- und Malwarescanner
und poste das gesamte Ergebnis hierher oder verlinke auf das Ergebnis, dann sehen wir weiter.

MFG
__________________

__________________

Antwort

Themen zu hartnäckiger Schädling
abgesicherten modus, antivir, antivir guard, aufrufe, avg free, avira, desktop, dll, downloader, explorer, fehler, festplatte, handel, hkus\s-1-5-18, installation, internet explorer, logfile, netstat, neustart, nicht installiert, nvidia, pdf, problem, prozesse, rundll, schädling, sich automatisch, software, suche, system, tuneup.defrag, virus, windows xp



Ähnliche Themen: hartnäckiger Schädling


  1. Hartnäckiger Keim
    Log-Analyse und Auswertung - 27.02.2014 (11)
  2. Hartnäckiger GVU-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 25.06.2013 (11)
  3. Hartnäckiger Trojaner
    Log-Analyse und Auswertung - 15.08.2012 (1)
  4. Hartnäckiger Trojaner
    Log-Analyse und Auswertung - 29.03.2010 (13)
  5. hartnäckiger Trojaner
    Plagegeister aller Art und deren Bekämpfung - 29.05.2009 (3)
  6. hartnäckiger Trojaner
    Log-Analyse und Auswertung - 04.03.2009 (4)
  7. Hartnäckiger Trojaner
    Log-Analyse und Auswertung - 12.01.2009 (5)
  8. Hartnäckiger trojan.xxx.xxx
    Plagegeister aller Art und deren Bekämpfung - 19.09.2008 (16)
  9. Hartnäckiger Virus
    Mülltonne - 06.11.2007 (0)
  10. Hartnäckiger Virus
    Plagegeister aller Art und deren Bekämpfung - 31.05.2007 (2)
  11. Hartnäckiger Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.11.2006 (1)
  12. Hartnäckiger Virus!!!
    Plagegeister aller Art und deren Bekämpfung - 10.12.2005 (1)
  13. Hartnäckiger Hijacker
    Log-Analyse und Auswertung - 19.05.2005 (0)
  14. Hartnäckiger Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.11.2004 (4)
  15. HILFE! Hartnäckiger hijacker, hartnäckiger Trojaner!
    Log-Analyse und Auswertung - 07.09.2004 (3)
  16. MSN : hartnäckiger Hijacker
    Plagegeister aller Art und deren Bekämpfung - 04.06.2004 (7)
  17. Schädling oder nicht Schädling ?!?
    Plagegeister aller Art und deren Bekämpfung - 07.05.2004 (0)

Zum Thema hartnäckiger Schädling - Schöne guten Nabend, ich habe zur Zeit mit einem sehr widerspenstigen Schädling zu tun. Seid zwei Tagen kann ich trotz bestehender Internetverbindung keine Webseiten aufrufen, sowohl im Internetexplorer als auch - hartnäckiger Schädling...
Archiv
Du betrachtest: hartnäckiger Schädling auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.