Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows Defender und Folgeerkrankungen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.11.2009, 09:28   #1
newuser
 
Windows Defender und Folgeerkrankungen - Standard

Windows Defender und Folgeerkrankungen



Hallo Forum,

ich bin vor kurzem mit dem Windows Defender infiziert worden, der mir den ganzen PC versaut hat. Ich habe bereits zahlreiche Scans durchgeführt, und zwar:
1. CC-Cleaner
2. Spybot Seek & Destroy
3. malwarebytes
4. a-squared
5. Anti-Vir.

Außerdem habe ich mit Hijack einiges verdächtige gelöscht.

Trotzdem bin ich wohl noch infiziert, denn es öffnen sich nach einiger Zeit im Netz Werbeseiten : ria thomsonreuters und ads right-ads.

Anbei mein aktuelle Hijack-Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:09:03, on 02.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NewSoft\Presto! PVR\Monitor.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\xampplite\apache\bin\httpd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\xampplite\apache\bin\httpd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\SoftwareDistribution\Download\Install\IE8-WindowsXP-x86-DEU.exe
C:\Programme\Hijack\HijackThis.exe
c:\8b9d96f8162b96f9db4ada76\update\iesetup.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ChangeFilterMerit] C:\Programme\NewSoft\Presto! PVR\ChangeFilterMerit.exe
O4 - HKLM\..\Run: [Presto! PVR Monitor] C:\Programme\NewSoft\Presto! PVR\Monitor.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C92C6ED-6A89-491C-A7E1-9521AE7DA690}: NameServer = 213.191.74.18 62.109.123.196
O17 - HKLM\System\CCS\Services\Tcpip\..\{E60D3402-F95B-4C2B-95CE-AA9F832B4FD5}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - C:\xampplite\apache\bin\httpd.exe" -k runservice (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: HICBTH - Unknown owner - C:\DOKUME~1\******~1\LOKALE~1\Temp\HICBTH.exe (file missing)
O23 - Service: MySQL - Unknown owner - C:\xampplite\mysql\bin\mysqld.exe" --defaults-file="C:\xampplite\mysql\bin\my.ini" MySQL (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

Bin für eure Hilfe sehr dankbar!

Alt 02.11.2009, 10:49   #2
undoreal
/// AVZ-Toolkit Guru
 
Windows Defender und Folgeerkrankungen - Standard

Windows Defender und Folgeerkrankungen



Moin Moin.

Arbeite bitte das hier ab:
http://freenet-homepage.de/rene-gad/...Anleitung.html
Lade die beiden AVZ log dateien (.zip Archive) bitte bei rapidshare hoch und poste uns den downloadlink.
__________________

__________________

Alt 02.11.2009, 12:17   #3
newuser
 
Windows Defender und Folgeerkrankungen - Standard

Windows Defender und Folgeerkrankungen



Erstmal danke für die schnelle Antwort!

Habe die Anleitung bis zum HiJack-Part abgearbeitet, die Downloadlinks für Rapidshare:

1. Syscheck: h**p://rapidshare.com/files/301337769/check_20091102.zip.html
2. Syscure: h**p://rapidshare.com/files/301338957/cure_20091102.zip.html

Braucht es einen neuen HiJack-Log?

Könntest Du Bescheid geben, wenn ich die Dateien auf Rapid wieder löschen kann? Ist mir doch recht viel Info auf öffentlichem Space ;-)

Vielen Dank!
__________________

Alt 02.11.2009, 18:07   #4
undoreal
/// AVZ-Toolkit Guru
 
Windows Defender und Folgeerkrankungen - Standard

Windows Defender und Folgeerkrankungen



Das mit dem öffentlich ist egal. Es kann ja keiner Zuordnen wer du bist. Außerdem kannst du das Archiv auch nochmal zippen und mit einem Passwort belegen das du mir dann per PN schickst.

Ich guck mir das mal an. Hast du CCleaner laufen lassen bevor du den Scan gemacht hast?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 02.11.2009, 18:20   #5
newuser
 
Windows Defender und Folgeerkrankungen - Standard

Windows Defender und Folgeerkrankungen



hallo undoreal,

ja CC-Cleaner hab ich laufen lassen, das Problem mit diesen aufspringenden Werbeseiten tritt nach wie vor sporadisch auf, irdendwas läuft also schief. Morgen habe ich keinen Netzzugang, das Dankeschön folgt dann spätestens tagsdrauf :-)


Alt 02.11.2009, 18:49   #6
undoreal
/// AVZ-Toolkit Guru
 
Windows Defender und Folgeerkrankungen - Standard

Windows Defender und Folgeerkrankungen



Führe bitte folgendes Skript mit AVZ aus (File -> Custom Skript)

Code:
ATTFilter
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMasK('C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp', '*.*', true);
 DeleteDirectory('C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{36ECAF82-3300-8F84-092E-AFF36D6C7040}');
 DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
         
Lasse danach den CCleaner laufen (Punkte 1&2)

Erstelle bitte danach abermals beide AVZ logs und poste diese. Poste auch ein frisches HJT log und eine Beschriebung wie es deinem Rechner geht.
__________________
--> Windows Defender und Folgeerkrankungen

Alt 02.11.2009, 20:25   #7
newuser
 
Windows Defender und Folgeerkrankungen - Standard

Windows Defender und Folgeerkrankungen



Das Script habe ich ausgeführt und anschließend erneut die Scans mit AVZ durchlaufen. Die Log-Dateien finden sich hier:

Cure: h**p://rapidshare.com/files/301527417/cure_20091102_abends.zip.html
Check: h**p://rapidshare.com/files/301527103/check_20091102_abends.zip.html

Der neue Log von HJT sieht wie folgt aus:

Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 20:58:38, on 02.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NewSoft\Presto! PVR\Monitor.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\xampplite\apache\bin\httpd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\xampplite\apache\bin\httpd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ChangeFilterMerit] C:\Programme\NewSoft\Presto! PVR\ChangeFilterMerit.exe
O4 - HKLM\..\Run: [Presto! PVR Monitor] C:\Programme\NewSoft\Presto! PVR\Monitor.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O17 - HKLM\System\CCS\Services\Tcpip\..\{E60D3402-F95B-4C2B-95CE-AA9F832B4FD5}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - C:\xampplite\apache\bin\httpd.exe" -k runservice (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: HICBTH - Unknown owner - C:\DOKUME~1\******~1\LOKALE~1\Temp\HICBTH.exe (file missing)
O23 - Service: MySQL - Unknown owner - C:\xampplite\mysql\bin\mysqld.exe" --defaults-file="C:\xampplite\mysql\bin\my.ini" MySQL (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
         
Der PC verhält sich normal, Ladevorgang von Programmen dauert nach dem Hochfahren länger, als vor der Infektion, aber kein Wunder nach den vielen Scans und Virenlöschungen.

Das eigentliche Problem waren drei Web-Seiten, die unregelmäßig in einem neuen Fenster aufgesprungen sind: ria thomsonreuters, ads right-ads, die dritte Seite weiß ich nicht mehr. Nach 15 Minuten Surfen ist bislang nichts passiert, ich hoffe also, es ist behoben?

UPDATE: Muss mich leider korrigieren, gerade sind die Seiten wieder aufgesprungen. Nach welchem Muster es passiert, ist mir unklar. Bin also weiter auf Hilfesuche.

Vielen Dank!

Geändert von newuser (02.11.2009 um 20:41 Uhr)

Alt 03.11.2009, 15:22   #8
undoreal
/// AVZ-Toolkit Guru
 
Windows Defender und Folgeerkrankungen - Standard

Windows Defender und Folgeerkrankungen



Führe bitte folgendes Skript aus:

Code:
ATTFilter
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
 DeleteFile('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\tdc.ocx');
 DeleteFileMask('C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp', '*.*', true);
 DeleteDirectory('C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteService('ZTMNF');
 SetServiceStart('ZTMNF', 4);
 BC_DeleteService('YYNUTW');
 SetServiceStart('YYNUTW', 4);
 BC_DeleteService('YYHHJSLGQ');
 SetServiceStart('YYHHJSLGQ', 4);
 BC_DeleteService('YNYAWN');
 SetServiceStart('YNYAWN', 4);
 BC_DeleteService('YN');
 SetServiceStart('YN', 4);
 BC_DeleteService('XYA');
 SetServiceStart('XYA', 4);
 BC_DeleteService('XVLGFHMN');
 SetServiceStart('XVLGFHMN', 4);
 BC_DeleteService('XJGHVT');
 SetServiceStart('XJGHVT', 4);
 BC_DeleteService('WTE');
 SetServiceStart('WTE', 4);
 BC_DeleteService('VNECIYNBQ');
 SetServiceStart('VNECIYNBQ', 4);
 BC_DeleteService('VMH');
 SetServiceStart('VMH', 4);
 BC_DeleteService('VD');
 SetServiceStart('VD', 4);
 BC_DeleteService('VAT');
 SetServiceStart('VAT', 4);
 BC_DeleteService('UYGGSIHJK');
 SetServiceStart('UYGGSIHJK', 4);
 BC_DeleteService('UVA');
 SetServiceStart('UVA', 4);
 BC_DeleteService('TTPAC');
 SetServiceStart('TTPAC', 4);
 BC_DeleteService('TPIISKIZHK');
 SetServiceStart('TPIISKIZHK', 4);
 BC_DeleteService('SAZZVBKWL');
 SetServiceStart('SAZZVBKWL', 4);
 BC_DeleteService('RZWZSP');
 SetServiceStart('RZWZSP', 4);
 BC_DeleteService('RLVYEZCGXYBEM');
 SetServiceStart('RLVYEZCGXYBEM', 4);
 BC_DeleteService('QU');
 SetServiceStart('QU', 4);
 BC_DeleteService('QITYUKSG');
 SetServiceStart('QITYUKSG', 4);
 BC_DeleteService('PQ');
 SetServiceStart('PQ', 4);
 BC_DeleteService('ONHXXXSTPGMYA');
 SetServiceStart('ONHXXXSTPGMYA', 4);
 BC_DeleteService('OBIXLNPA');
 SetServiceStart('OBIXLNPA', 4);
 BC_DeleteService('LWEDYQMEFQF');
 SetServiceStart('LWEDYQMEFQF', 4);
 BC_DeleteService('LVDDLZQCY');
 SetServiceStart('LVDDLZQCY', 4);
 BC_DeleteService('KVGVGFODJ');
 SetServiceStart('KVGVGFODJ', 4);
 BC_DeleteService('JYWO');
 SetServiceStart('JYWO', 4);
 BC_DeleteService('JQLBCQME');
 SetServiceStart('JQLBCQME', 4);
 BC_DeleteService('IQEGSMR');
 SetServiceStart('IQEGSMR', 4);
 BC_DeleteService('HWWOGUGIZD');
 SetServiceStart('HWWOGUGIZD', 4);
 BC_DeleteService('HWPBWQLHP');
 SetServiceStart('HWPBWQLHP', 4);
 BC_DeleteService('HVZAXCM');
 SetServiceStart('HVZAXCM', 4);
 BC_DeleteService('HUK');
 SetServiceStart('HUK', 4);
 BC_DeleteService('HICBTH');
 SetServiceStart('HICBTH', 4);
 BC_DeleteService('FZX');
 SetServiceStart('FZX', 4);
 BC_DeleteService('FQBQJMWQVENT');
 SetServiceStart('FQBQJMWQVENT', 4);
 BC_DeleteService('EY');
 SetServiceStart('EY', 4);
 BC_DeleteService('DGTXIIAMUG');
 SetServiceStart('DGTXIIAMUG', 4);
 BC_DeleteService('CDSXGTI');
 SetServiceStart('CDSXGTI', 4);
 BC_DeleteService('BLLBWP');
 SetServiceStart('BLLBWP', 4);
 BC_DeleteService('BAFKYBGW');
 SetServiceStart('BAFKYBGW', 4);
 BC_DeleteService('AEHEWW');
 SetServiceStart('AEHEWW', 4);
BC_Activate;
RebootWindows(true);
end.
         
Räume danach mit dem CCleaner auf (Punkte 1&2).

Schafft das Abhilfe gegen die PopUps?

Erstelle bitte ein GMER log.


GMER - Rootkit Detection
  • Lade GMER von hier herunter. (Etwas weiter unten auf der Seite findet sich der Button "Download EXE". Es wird ein zufälliger Dateiname erzeugt.)
  • Doppelklicke die zufälligerDateiname.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten


Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 04.11.2009, 11:54   #9
newuser
 
Windows Defender und Folgeerkrankungen - Standard

Windows Defender und Folgeerkrankungen



Bin wieder da & Vielen Dank.

Bei der Ausführung des Scripts für AVZ bekomme ich folgende Fehlermeldung:

Error: undeclared identifier 'BC_DeleteService' at position 12:18

Ich habe die Anleitung trotzdem weiter abgearbeitet und poste hier das Log von

Gmer Rootkit Detection

Code:
ATTFilter
GMER 1.0.15.15163 - h**p://www.gmer.net
Rootkit scan 2009-11-04 12:43:57
Windows 5.1.2600 Service Pack 2
Running: t00bk18f.exe; Driver: C:\DOKUME~1\******~1\LOKALE~1\Temp\pgliqpow.sys


---- System - GMER 1.0.15 ----

SSDT            BAF4329C                                                                                         ZwCreateThread
SSDT            BAF43288                                                                                         ZwOpenProcess
SSDT            BAF4328D                                                                                         ZwOpenThread
SSDT            BAF43297                                                                                         ZwTerminateProcess
SSDT            BAF43292                                                                                         ZwWriteVirtualMemory

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\a-squared Free\a2service.exe[368] kernel32.dll!CreateThread + 1A                    7C810661 4 Bytes  CALL 0045495D C:\Programme\a-squared Free\a2service.exe (a-squared Service/Emsi Software GmbH)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRequest]                                   [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                              [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                               [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                        [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                          [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                         [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRequest]                                  [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                              [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                             [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                       [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRequest]                                    [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                         [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                           [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                               [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                          [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                              [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRequest]                                   [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                               [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                        [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest]                                     [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                 [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                            [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                         [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                           [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                               [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRequest]                                    [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                              [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                               [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRequest]                                   [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]                        [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]                          [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisOpenAdapter]                                  [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisRegisterProtocol]                             [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisCloseAdapter]                                 [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisDeregisterProtocol]                           [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisRequest]                                      [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                          [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                        [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRequest]                                   [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                              [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                               [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001fcf40d76f                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001fcf40d76f@0023b48f8020         0x5C 0x1A 0x25 0x3A ...
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001fcf40d76f (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001fcf40d76f@0023b48f8020             0x5C 0x1A 0x25 0x3A ...

---- EOF - GMER 1.0.15 ----
         
Die Master-Boot-Record-Überprüfung mit mbr.exe hat folgendes Log ergeben:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Scheint also sauber zu sein?

Dann wäre vielleicht das AVZ-Script die Lösung für die aufspringenden Webseiten? Wäre für ein korrigiertes Script dankbar.

Viele Grüße

Alt 04.11.2009, 12:23   #10
undoreal
/// AVZ-Toolkit Guru
 
Windows Defender und Folgeerkrankungen - Standard

Windows Defender und Folgeerkrankungen



Neues Skript:



Code:
ATTFilter
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
 DeleteFile('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\tdc.ocx');
 DeleteFileMask('C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp', '*.*', true);
 DeleteDirectory('C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('ZTMNF');
 BC_DeleteSvc('YYNUTW');
 BC_DeleteSvc('YYHHJSLGQ');
 BC_DeleteSvc('YNYAWN');
 BC_DeleteSvc('YN');
 BC_DeleteSvc('XYA'); 
 BC_DeleteSvc('XVLGFHMN');
 BC_DeleteSvc('XJGHVT');
 BC_DeleteSvc('WTE');
 BC_DeleteSvc('VNECIYNBQ');
 BC_DeleteSvc('VMH');
 BC_DeleteSvc('VD'); 
 BC_DeleteSvc('VAT');
 BC_DeleteSvc('UYGGSIHJK'); 
 BC_DeleteSvc('UVA');
 BC_DeleteSvc('TTPAC');
 BC_DeleteSvc('TPIISKIZHK');
 BC_DeleteSvc('SAZZVBKWL'); 
 BC_DeleteSvc('RZWZSP'); 
 BC_DeleteSvc('RLVYEZCGXYBEM'); 
 BC_DeleteSvc('QU');
 BC_DeleteSvc('QITYUKSG');
 BC_DeleteSvc('PQ'); 
 BC_DeleteSvc('ONHXXXSTPGMYA');
 BC_DeleteSvc('OBIXLNPA');
 BC_DeleteSvc('LWEDYQMEFQF');
 BC_DeleteSvc('LVDDLZQCY');
 BC_DeleteSvc('KVGVGFODJ');
 BC_DeleteSvc('JYWO');
 BC_DeleteSvc('JQLBCQME');
 BC_DeleteSvc('IQEGSMR');
 BC_DeleteSvc('HWWOGUGIZD');
 BC_DeleteSvc('HWPBWQLHP');
 BC_DeleteSvc('HVZAXCM');
 BC_DeleteSvc('HUK');
 BC_DeleteSvc('HICBTH');
 BC_DeleteSvc('FZX');
 BC_DeleteSvc('FQBQJMWQVENT');
 BC_DeleteSvc('EY');
 BC_DeleteSvc('DGTXIIAMUG');
 BC_DeleteSvc('CDSXGTI');
 BC_DeleteSvc('BLLBWP');
 BC_DeleteSvc('BAFKYBGW');
 BC_DeleteSvc('AEHEWW');
BC_Activate;
RebootWindows(true);
end.
         
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 04.11.2009, 14:09   #11
newuser
 
Windows Defender und Folgeerkrankungen - Standard

Windows Defender und Folgeerkrankungen



So, das Script hat funktioniert, ich habe danach noch einmal CC-Cleaner, Gmer, Malwarebytes und a-squared laufen lassen. Bislang sind beim surfen keine Webseiten mehr aufgesprungen und alles deutet darauf hin, dass da Problem gelöst ist.

Vielen Dank für die Hilfe! Gibt's hier eigentlich keinen zumindest symbolischen Donor-Button?

Viele Grüße

Alt 04.11.2009, 18:08   #12
newuser
 
Windows Defender und Folgeerkrankungen - Standard

Windows Defender und Folgeerkrankungen



Sorry, nach sechs Stunden ist das Problem wieder aufgetreten.

Ich habe die (eine immer wiederkehrende) Seite notiert: h**p://67.201.36.16/nolink.html. Googled man die Adresse, finden sich zahlreiche Forenbeiträge aus den letzten fünf Tagen, die das gleiche Problem beschreiben. Eine Lösung ist bislang nicht zu entdecken. Ich vermute, dass torrent Schuld ist (zumindest eine Ähnlichkeit unter einigen Betroffenen), habe das Programm ohnehin fast nie benutzt und werde es jetzt für ewig verbannen.

Außerdem werde ich mich gleich hinsetzen und den PC komplett neue formatieren. Hoffe nur, dass sich mögliche Viren durch das Backup der Arbeitsdateien nicht auf das neu aufgespielte System einschleusen.

Also, wohl neuer Virus im Umlauf, Hilfe ....

Alt 04.11.2009, 18:41   #13
undoreal
/// AVZ-Toolkit Guru
 
Windows Defender und Folgeerkrankungen - Standard

Windows Defender und Folgeerkrankungen



Ich sagte nicht, dass dich das Skript heilen würde.

Bei dir läuft ein sehr neues ziemlich fieses Rootkit.

Bitte führe nicht selbstständig irgendwelche Scans durch sondern poste einfach jedes mal nachdem du ein Skript ausgeführt hast wieder zwei frische AVZ-logs sowie eine Beschreibung der momentanen Symptome.
Um das Rootkit zu bereinigen sind mehrere Durchläufe nötig.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 04.11.2009, 19:37   #14
newuser
 
Windows Defender und Folgeerkrankungen - Standard

Windows Defender und Folgeerkrankungen



Danke, werde mich dran halten. Ich habe zwei frische AVG-Logs erstellt:

Check: h**p://rapidshare.com/files/302452867/check_20091104.zip.html
Cure: h**p://rapidshare.com/files/302453988/cure_20091104.zip.html

Zu den Symptomen, die mir inzwischen auffallen:

Nach der Anmeldung von Windows ist die Ladezeit ungewöhnlich lang. Beim ersten Versuch wird meist die Verzeichnisstruktur im Windows Explorer nicht angezeigt oder gefunden, beim erneuten Start vom Explorer klappt es dann.

Weiterhin gibt es wie gesagt die unregelmäßigen PopUps (bzw. normale separate Fenster, also keine Tabs) im Firefox.

Viele Grüße

Alt 04.11.2009, 19:41   #15
undoreal
/// AVZ-Toolkit Guru
 
Windows Defender und Folgeerkrankungen - Standard

Windows Defender und Folgeerkrankungen



Gut.

Du kannst die .zip Dateien mitlerweile übrigens auch einfach an deinen Post anhängen. Das macht die Sache für uns beide einfacher.


Edit: Grummel grmf. Kannst du sie bitte anhängen. Rapidshare hat keine DownloadPlätze mehr frei

PS: Warum haben die nicht den regulären Namen?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu Windows Defender und Folgeerkrankungen
adobe, antivir, avira, bho, defender, dll, explorer, firefox, hijack, hijackthis, hängen, infiziert, internet, internet explorer, konvertieren, malwarebytes anti-malware, malwarebytes' anti-malware, mozilla, nvidia, pdf, pdf-datei, programme, rundll, senden, solution, system, temp, windows, windows xp



Ähnliche Themen: Windows Defender und Folgeerkrankungen


  1. Windows 10 Virenschutz mit Defender
    Antiviren-, Firewall- und andere Schutzprogramme - 13.07.2016 (451)
  2. Windows 7 SP1: MSE durch Gruppenrichtlinie blockiert / Windows Defender nicht aktivierbar
    Log-Analyse und Auswertung - 20.11.2014 (8)
  3. Windows Defender ?
    Antiviren-, Firewall- und andere Schutzprogramme - 03.03.2014 (18)
  4. Windows 7: Windows-Sicherheitscenter und Windows Defender funktionieren nicht mehr, Services.exe verseucht?
    Log-Analyse und Auswertung - 07.01.2014 (8)
  5. Windows-Sicherheitscenter war deaktiviert - nun kann ich Windows-Defender nicht mehr starten
    Log-Analyse und Auswertung - 20.12.2013 (13)
  6. Windows 7 Meldung Win32/Small-CA Virus entfernen, AntiVir findet nichts, Windows Update und Defender funktionieren nicht mehr
    Log-Analyse und Auswertung - 20.11.2013 (15)
  7. Windows Fensterfarbe geändert und Windows defender aktiviren geht nicht
    Log-Analyse und Auswertung - 14.07.2013 (33)
  8. Windows 8.1: Defender mit Verhaltenserkennung
    Nachrichten - 26.06.2013 (0)
  9. Windows Defender
    Antiviren-, Firewall- und andere Schutzprogramme - 16.02.2013 (2)
  10. Problem mit Windows 7 Sicherheitscenterdienst und Windows Defender, infektion?
    Plagegeister aller Art und deren Bekämpfung - 23.06.2011 (25)
  11. mscj & Total Defender / PC Defender 2010
    Plagegeister aller Art und deren Bekämpfung - 18.04.2010 (5)
  12. Windows System Defender
    Plagegeister aller Art und deren Bekämpfung - 18.11.2009 (16)
  13. Windows Defender
    Antiviren-, Firewall- und andere Schutzprogramme - 21.08.2009 (4)
  14. superantispyware+windows defender...
    Antiviren-, Firewall- und andere Schutzprogramme - 03.07.2008 (0)
  15. Windows Defender
    Antiviren-, Firewall- und andere Schutzprogramme - 13.12.2007 (8)
  16. Windows-Defender von Microsoft?
    Alles rund um Windows - 13.11.2007 (1)
  17. probleme mit WINDOWS DEFENDER!
    Antiviren-, Firewall- und andere Schutzprogramme - 23.10.2006 (5)

Zum Thema Windows Defender und Folgeerkrankungen - Hallo Forum, ich bin vor kurzem mit dem Windows Defender infiziert worden, der mir den ganzen PC versaut hat. Ich habe bereits zahlreiche Scans durchgeführt, und zwar: 1. CC-Cleaner 2. - Windows Defender und Folgeerkrankungen...
Archiv
Du betrachtest: Windows Defender und Folgeerkrankungen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.