Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.01.2010, 20:56   #1
MrDagobert
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?



Hallo zusammen,

Ich hatte vor ein paar Wochen das Problem mit dem Windows Security Alert und dachte eigentlich es erfolgreich behoben zu haben. Doch jetzt treten immer neue Schwierigkeiten auf:

Anti-Virenprogramme lassen sich nicht mehr starten
Anti-Virenprogramme lassen sich meist nur durch umbenennen der install.exe installieren
google Links werden umgeleitet

Ich habe erst einmal ein HijackThis logfile erstellt und ein zwei Sachen gefixed und mich dann an die Anleitung hier auf der Seite "Für alle Hilfesuchenden" gemacht. CCleaner lief durch doch bei Malwarebytes-Anti-Malware ist natürlich Schluss, da ich ja keine Virenprogramme starten kann.

In anderen Threads auf dieser Seite habe ich gesehen, dass dann immer das Programm Avenger zum Einsatz kommt. Doch leider weiß ich nicht was ich in meinem Fall dort eingeben muss. Wenn Ihr mir da weiterhelfen könntet... Damit das auch geht hab ich mal die beiden HijackThis logfiles (vor und nach dem fixen) und das logfile von GMER beigefügt.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:41:00, on 06.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS.0\system32\LckFldService.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\svchost.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe
C:\WINDOWS.0\system32\RunDll32.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.hoefliger.de:80
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS.0\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [richtx64.exe] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\richtx64.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {12545791-AC9A-44B2-8964-0DA216C4A4E5} (Cnsweb3d Control) - https://***.partserver.de/partserver/viewer/cnsweb3d/cnsweb3d.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - ***://wwwimages.adobe.com/***.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS.0\system32\LckFldService.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe

--
End of file - 5216 bytes
         
Ich denke da ist nur O4 mit richtx64.exe wirklich interresant. Die richtx64.exe konnte ich aber nicht finden, desshalb hab ich es fixen lassen.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:59:02, on 06.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\Explorer.EXE
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe
C:\WINDOWS.0\system32\RunDll32.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS.0\system32\LckFldService.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\WINDOWS.0\system32\imapi.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.hoefliger.de:80
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS.0\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {12545791-AC9A-44B2-8964-0DA216C4A4E5} (Cnsweb3d Control) - h***s://www.partserver.de/partserver/viewer/cnsweb3d/cnsweb3d.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://wwwimages.adobe.com/w*w.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS.0\system32\LckFldService.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe

--
End of file - 4623 bytes
         
So und jetzt noch das GMER logfile

Code:
ATTFilter
GMER 1.0.15.15281 - h**p://www.gmer.net
Rootkit scan 2010-01-06 20:47:40
Windows 5.1.2600 Service Pack 2
Running: yf3vo69d.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\fxlyypow.sys


---- System - GMER 1.0.15 ----

Code     86531468                                                                                                                      ZwEnumerateKey
Code     86531540                                                                                                                      ZwFlushInstructionCache
Code     8653138E                                                                                                                      IofCallDriver
Code     86531216                                                                                                                      IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text    ntoskrnl.exe!IofCallDriver                                                                                                    804E37C5 5 Bytes  JMP 86531393 
.text    ntoskrnl.exe!IofCompleteRequest                                                                                               804E3BF6 5 Bytes  JMP 8653121B 
PAGE     ntoskrnl.exe!ZwEnumerateKey                                                                                                   80570D3E 5 Bytes  JMP 8653146C 
PAGE     ntoskrnl.exe!ZwFlushInstructionCache                                                                                          8057917C 5 Bytes  JMP 86531544 
init     C:\WINDOWS.0\system32\drivers\ALCXSENS.SYS                                                                                    entry point in "init" section [0xF633C510]
.text    C:\WINDOWS.0\system32\drivers\ACEDRV05.sys                                                                                    section is writeable [0xF1FAC000, 0x30A4A, 0xE8000020]
.pklstb  C:\WINDOWS.0\system32\drivers\ACEDRV05.sys                                                                                    entry point in ".pklstb" section [0xF1FEE000]
.relo2   C:\WINDOWS.0\system32\drivers\ACEDRV05.sys                                                                                    unknown last section [0xF2009000, 0x8E, 0x42000040]

---- User code sections - GMER 1.0.15 ----

.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!CreateWindowExW                                                   7E36FC25 5 Bytes  JMP 4126D6EC C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!DialogBoxParamW                                                   7E37555F 5 Bytes  JMP 4119541D C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!DialogBoxIndirectParamW                                           7E382032 5 Bytes  JMP 4136441F C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!MessageBoxIndirectA                                               7E38A04A 5 Bytes  JMP 41364351 C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!DialogBoxParamA                                                   7E38B10C 5 Bytes  JMP 413643BC C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!MessageBoxExW                                                     7E3A05D8 5 Bytes  JMP 41364222 C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!MessageBoxExA                                                     7E3A05FC 5 Bytes  JMP 41364284 C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!DialogBoxIndirectParamA                                           7E3A6B50 5 Bytes  JMP 41364482 C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!MessageBoxIndirectW                                               7E3B62AB 5 Bytes  JMP 413642E6 C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] ole32.dll!OleLoadFromStream                                                  774F9C9D 5 Bytes  JMP 413647A0 C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] WININET.dll!HttpAddRequestHeadersA                                           408CCF46 5 Bytes  JMP 00C7000A 
.text    C:\Programme\Internet Explorer\iexplore.exe[476] WININET.dll!HttpAddRequestHeadersW                                           408CFE49 5 Bytes  JMP 00D1000A 
.text    C:\Programme\Internet Explorer\iexplore.exe[476] WS2_32.dll!connect                                                           71A1406A 5 Bytes  JMP 02EE000A 
.text    C:\Programme\Internet Explorer\iexplore.exe[476] WS2_32.dll!send                                                              71A1428A 5 Bytes  JMP 02F0000A 
.text    C:\Programme\Internet Explorer\iexplore.exe[476] WS2_32.dll!recv                                                              71A1615A 5 Bytes  JMP 02E8000A 
.text    C:\Programme\Internet Explorer\iexplore.exe[476] WS2_32.dll!closesocket                                                       71A19639 5 Bytes  JMP 02EF000A 

---- User IAT/EAT - GMER 1.0.15 ----

IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW]           [7160A09D] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryW]             [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA]             [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]           [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA]               [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW]               [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]             [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA]              [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW]              [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]            [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]             [7160A09D] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USER32.dll [KERNEL32.dll!LoadLibraryA]               [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USER32.dll [KERNEL32.dll!GetProcAddress]             [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USER32.dll [KERNEL32.dll!LoadLibraryW]               [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW]              [7160A09D] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA]                [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]              [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW]                [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]             [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA]               [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA]            [71609E8F] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW]            [7160A09D] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW]              [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA]              [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]            [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]              [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW]              [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]            [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW]            [7160A09D] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExA]            [71609E8F] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ole32.dll [KERNEL32.dll!GetProcAddress]              [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ole32.dll [KERNEL32.dll!LoadLibraryA]                [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ole32.dll [KERNEL32.dll!LoadLibraryW]                [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]              [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ole32.dll [KERNEL32.dll!LoadLibraryExA]              [71609E8F] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USERENV.dll [KERNEL32.dll!LoadLibraryW]              [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USERENV.dll [KERNEL32.dll!LoadLibraryExA]            [71609E8F] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]            [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USERENV.dll [KERNEL32.dll!LoadLibraryA]              [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WININET.dll [KERNEL32.dll!LoadLibraryW]              [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WININET.dll [KERNEL32.dll!LoadLibraryExW]            [7160A09D] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WININET.dll [KERNEL32.dll!GetProcAddress]            [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WININET.dll [KERNEL32.dll!LoadLibraryA]              [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]             [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA]               [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA]              [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]            [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryW]             [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryA]             [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]           [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\PSAPI.DLL [KERNEL32.dll!LoadLibraryA]                [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]              [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]            [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA]              [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExA]            [71609E8F] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExW]            [7160A09D] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]           [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA]             [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module   \systemroot\system32\drivers\H8SRTtapqjxvamd.sys (*** hidden *** )                                                            F1F46000-F1F63000 (118784 bytes)                                                                                            
---- Processes - GMER 1.0.15 ----

Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [476]  0x10000000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTvsieertnow.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [476]  0x00D20000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\WINDOWS.0\system32\svchost.exe [1028]           0x10000000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\WINDOWS.0\system32\svchost.exe [1076]           0x10000000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\WINDOWS.0\Explorer.EXE [1176]                   0x10000000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\WINDOWS.0\system32\svchost.exe [1688]           0x10000000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\WINDOWS.0\System32\svchost.exe [1840]           0x10000000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\WINDOWS.0\system32\svchost.exe [1888]           0x10000000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\WINDOWS.0\system32\svchost.exe [2024]           0x10000000                                                                                                                  

---- Services - GMER 1.0.15 ----

Service  C:\WINDOWS.0\system32\drivers\H8SRTtapqjxvamd.sys (*** hidden *** )                                                           [SYSTEM] H8SRTd.sys                                                                                                          <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys                                                                             
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start                                                                       1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type                                                                        1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath                                                                   \systemroot\system32\drivers\H8SRTtapqjxvamd.sys
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group                                                                       file system
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules                                                                     
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd                                                              \\?\globalroot\systemroot\system32\drivers\H8SRTtapqjxvamd.sys
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc                                                              \\?\globalroot\systemroot\system32\H8SRTielwxyxxns.dll
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr                                                           \\?\globalroot\systemroot\system32\H8SRTbmykturryk.dat
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf                                                           \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr                                                            \\?\globalroot\systemroot\system32\H8SRTvsieertnow.dll
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet)                                                         
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start                                                                           1
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type                                                                            1
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath                                                                       \systemroot\system32\drivers\H8SRTtapqjxvamd.sys
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group                                                                           file system
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet)                                                 
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd                                                                  \\?\globalroot\systemroot\system32\drivers\H8SRTtapqjxvamd.sys
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc                                                                  \\?\globalroot\systemroot\system32\H8SRTielwxyxxns.dll
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr                                                               \\?\globalroot\systemroot\system32\H8SRTbmykturryk.dat
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf                                                               \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtbbr                                                                \\?\globalroot\systemroot\system32\H8SRTvsieertnow.dll

---- Files - GMER 1.0.15 ----

File     C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\H8SRT4cb9.tmp                                          343040 bytes executable
File     C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\h8srtmainqt.dll                                        16485 bytes
File     C:\WINDOWS.0\system32\drivers\H8SRTtapqjxvamd.sys                                                                             40960 bytes executable                                                                                                       <-- ROOTKIT !!!
File     C:\WINDOWS.0\system32\H8SRTbmykturryk.dat                                                                                     202 bytes
File     C:\WINDOWS.0\system32\H8SRTielwxyxxns.dll                                                                                     23040 bytes executable
File     C:\WINDOWS.0\system32\H8SRTlbwqwbdutp.dll                                                                                     36864 bytes executable
File     C:\WINDOWS.0\system32\H8SRTvsieertnow.dll                                                                                     40960 bytes executable

---- EOF - GMER 1.0.15 ----
         
Danke schon mal für eure Mühe!

Alt 06.01.2010, 22:52   #2
Chris4You
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?



Hi,

TDSS-Rootkit:


Bereinigung für Rootkit "H8SRTd"

Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf
z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den
Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls MAM bereits installiert ist, weiter mit Avenger...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Drivers to delete:
H8SRTd.sys

Folders to delete:
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
         
3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris
O4 - HKCU\..\Run: [richtx64.exe] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\richtx64.exe
__________________

__________________

Alt 07.01.2010, 19:31   #3
MrDagobert
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?



Hallo Chris,

Vielen herzlichen Dank für deine Hilfe!

Ich habe Avenger so ausgeführt wie du es gesagt hast. Beim ersten Neustart bin ich allerdings etwas erschrocken, da noch vor dem Windows Anmeldefenster eine Meldung kam, dass irgendwas nicht gestertet werden kann. Der PC hat dann sofort einen weiteren Neustart ausgeführt und dann war alles in Ordnung. Hatte das was zu bedeuten?

Ich habe dann MAM durchlaufen lassen (auf C und es wurden 11 Einträge gefunden, die alle Entfernt werden konnten. Sollte noch ein Scan auf den anderen Partitionen erfolgen?

Kann es sein das MAM die avenger.txt auf C:\ gelöscht hat, ich kann sie nicht mehr finden.

MAM logfile
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3508
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

07.01.2010 19:06:57
mbam-log-2010-01-07 (19-06-57).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 195974
Laufzeit: 37 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\AmoK Playlist Copy\playlist_commandline.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\H8SRTielwxyxxns.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\H8SRTlbwqwbdutp.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\H8SRTvsieertnow.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\H8SRTtapqjxvamd.sys (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Programme\malware Defense\md.db (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\H8SRTbmykturryk.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
         
Kann ich nun davon ausgehen dass mein System wieder Viren frei ist? Ich merke zumindest keine der bekannten Beeinträchtungen mehr.

Falls es nicht zu viel Zeit in anspruch nimmt: Was wurde mit Avenger genau gemacht bzw. erreicht? Ich habe auf Wikipedia etwas über Rootkit im Allgemeinen gelesen, aber konnte nicht ganz nachvollziehen was durch das Löschen der H8SRTd.sys erreicht wurde.

Vielen Dank noch einmal für deine Mühe.
__________________

Alt 07.01.2010, 19:50   #4
Chris4You
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?



Hi,

das Rootkit nutzt diesen "Treiber" um sich als Dienst registrieren und ausführen zu lassen und blendet dann alle Leseaktionen auf sich selbst oder auf die Malware unter seinen "Fittichen" aus. Durch das Killen des Treibers (durch Avenger beim Systemstart) wurde der Rest vom Rootkit und der Malware sichtbar.

Unbedingt alle Laufwerke mit MAM im Fullscanmode durchsuchen und bereinigen lassen, das gleiche dann noch mit Deiner Standard-AntiViren-Lösung...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 09.01.2010, 14:43   #5
MrDagobert
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?



Danke für die Erklärung zum Rootkit Chris.

Habe MAM nun über alle Laufwerk laufen lassen und sieht alles wieder sehr friedlich aus.

Ich lass jetzt noch AntiVir durchlaufen...

Wünsch ein schönes Wochenende!


Alt 09.01.2010, 17:09   #6
Chris4You
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?



Hi,

okay, poste dann auch noch mal ein GMER-Log...

chris
__________________
--> Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?

Alt 11.01.2010, 18:55   #7
MrDagobert
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?



So, hier jetzt noch mal ein neues GMER logfile, ich hoffe es ist nun alles in Ordnung.
Code:
ATTFilter
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-11 18:50:38
Windows 5.1.2600 Service Pack 2
Running: 8pf4bzsb.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\fxlyypow.sys


---- System - GMER 1.0.15 ----

SSDT     F7EF9956                                    ZwCreateKey
SSDT     F7EF994C                                    ZwCreateThread
SSDT     F7EF995B                                    ZwDeleteKey
SSDT     F7EF9965                                    ZwDeleteValueKey
SSDT     F7EF996A                                    ZwLoadKey
SSDT     F7EF9938                                    ZwOpenProcess
SSDT     F7EF993D                                    ZwOpenThread
SSDT     F7EF9974                                    ZwReplaceKey
SSDT     F7EF996F                                    ZwRestoreKey
SSDT     F7EF9960                                    ZwSetValueKey
SSDT     F7EF9947                                    ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

init     C:\WINDOWS.0\system32\drivers\ALCXSENS.SYS  entry point in "init" section [0xF6AE5510]
.text    C:\WINDOWS.0\system32\drivers\ACEDRV05.sys  section is writeable [0xF2705000, 0x30A4A, 0xE8000020]
.pklstb  C:\WINDOWS.0\system32\drivers\ACEDRV05.sys  entry point in ".pklstb" section [0xF2747000]
.relo2   C:\WINDOWS.0\system32\drivers\ACEDRV05.sys  unknown last section [0xF2762000, 0x8E, 0x42000040]

---- EOF - GMER 1.0.15 ----
         
Wünsche eine schöne Woche!

Alt 11.01.2010, 19:05   #8
Chris4You
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?



Hi,

entweder der Treiber ist zerschossen, hält sich nicht an die Konventionen oder ist nicht koscher, daher:

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
    und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS.0\system32\drivers\ALCXSENS.SYS
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Sonst sieht es gut aus...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 11.01.2010, 19:30   #9
MrDagobert
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?



Ich hoffe ich habe den letzten Punkt richtig verstanden

382,55 KByte

Die Datei wurde bereits analysiert:
MD5: fbbcb95f677cbaa924140b6ea2d9a97b
First received: 2009.02.12 20:57:57 UTC
Datum 2010.01.08 16:59:27 UTC [>3D]
Ergebnisse 0/41
Permalink: analisis/a599724e0074dba041ccabbdcaf97fda19bf76848b705165db0716d54760d9d6-1262969967

und das kam unter Analysiere die Datei:

Code:
ATTFilter
a-squared 4.5.0.48 2010.01.11 - 
AhnLab-V3 5.0.0.2 2010.01.11 - 
AntiVir 7.9.1.134 2010.01.11 - 
Antiy-AVL 2.0.3.7 2010.01.11 - 
Authentium 5.2.0.5 2010.01.10 - 
Avast 4.8.1351.0 2010.01.11 - 
AVG 9.0.0.725 2010.01.11 - 
BitDefender 7.2 2010.01.11 - 
CAT-QuickHeal 10.00 2010.01.11 - 
ClamAV 0.94.1 2010.01.11 PUA.Packed.tElock1.Private 
Comodo 3547 2010.01.11 - 
DrWeb 5.0.1.12222 2010.01.11 - 
eSafe 7.0.17.0 2010.01.11 - 
eTrust-Vet 35.2.7229 2010.01.11 - 
F-Prot 4.5.1.85 2010.01.10 - 
F-Secure 9.0.15370.0 2010.01.11 - 
Fortinet 4.0.14.0 2010.01.09 - 
GData 19 2010.01.11 - 
Ikarus T3.1.1.80.0 2010.01.11 - 
Jiangmin 13.0.900 2010.01.11 - 
K7AntiVirus 7.10.944 2010.01.11 - 
Kaspersky 7.0.0.125 2010.01.11 - 
McAfee 5858 2010.01.11 - 
McAfee+Artemis 5858 2010.01.11 - 
McAfee-GW-Edition 6.8.5 2010.01.11 - 
Microsoft 1.5302 2010.01.11 - 
NOD32 4762 2010.01.11 - 
Norman 6.04.03 2010.01.11 - 
nProtect 2009.1.8.0 2010.01.11 - 
Panda 10.0.2.2 2010.01.11 - 
PCTools 7.0.3.5 2010.01.11 - 
Rising 22.30.00.05 2010.01.11 - 
Sophos 4.49.0 2010.01.11 - 
Sunbelt 3.2.1858.2 2010.01.10 - 
Symantec 20091.2.0.41 2010.01.11 - 
TheHacker 6.5.0.3.146 2010.01.11 - 
TrendMicro 9.120.0.1004 2010.01.11 - 
VBA32 3.12.12.1 2010.01.11 - 
ViRobot 2010.1.11.2130 2010.01.11 - 
VirusBuster 5.0.21.0 2010.01.11 - 
weitere Informationen 
File size: 391424 bytes 
MD5...: fbbcb95f677cbaa924140b6ea2d9a97b 
SHA1..: 173b3e8500271fadb04f323ff581e5cf31847832 
SHA256: a599724e0074dba041ccabbdcaf97fda19bf76848b705165db0716d54760d9d6 
ssdeep: 6144:ADyZQnGdE/fnuDGQWTjrtVZ411/Rb7pPRqSbqfmhMJqOlxBExGvcdgUwS5h
fsRXa:AWDDWTftVaJRb7plbqfmhMJqOlxuGcdl
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x57510
timedatestamp.....: 0x3fd85741 (Thu Dec 11 11:38:41 2003)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x430ac 0x43100 6.69 cac662391629c81ea47f214dea82e168
page 0x43480 0x13dc8 0x13e00 6.41 61e2ea96486233c6f779ce2d060fc8a8
init 0x57280 0x295 0x300 5.34 6732818757d69b58307c353d34b4f8ea
.data 0x57580 0x4610 0x4680 1.25 189e5cf6dba0e64845c3fc108e9128dc
init 0x5bc00 0x20 0x80 1.24 5eabcb2e32c7f3eea603c6da7b15f53f
INIT 0x5bc80 0x74a 0x780 5.39 4b521cbb7bccd698e34b57c02fb80d10
.rsrc 0x5c400 0x270 0x280 3.18 4b2d53a35422bba8f00fc64ce5270c66
.reloc 0x5c680 0x327e 0x3280 6.35 3c936ba88ca231290c29a08e99b7b7c6

( 3 imports ) 
> ntoskrnl.exe: ObfDereferenceObject, KeSetEvent, ObReferenceObjectByHandle, ExEventObjectType, ZwClose, RtlCompareUnicodeString, RtlCompareMemory, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, ZwCreateFile, _purecall, IoGetDeviceProperty, InterlockedExchange, InterlockedDecrement, InterlockedIncrement, IoDeleteDevice, IoDetachDevice, IofCompleteRequest, PoCallDriver, PoStartNextPowerIrp, IoReleaseCancelSpinLock, IoAttachDeviceToDeviceStack, IoCreateDevice, _except_handler3, IoFreeIrp, IoAllocateIrp, IoIsWdmVersionAvailable, _allmul, wcslen, KeReleaseSemaphore, IoGetDeviceInterfaces, KeInitializeMutex, KeReleaseMutex, KeInitializeSpinLock, KeClearEvent, MmUnlockPages, MmMapLockedPages, IoFreeMdl, MmProbeAndLockPages, IoAllocateMdl, KeResetEvent, KeInitializeTimer, KeWaitForMultipleObjects, KeSetTimer, KeCancelTimer, InterlockedCompareExchange, PsTerminateSystemThread, KeSetPriorityThread, PsCreateSystemThread, MmBuildMdlForNonPagedPool, _aulldiv, KeDelayExecutionThread, _alldiv, RtlAnsiStringToUnicodeString, ZwQueryValueKey, ZwSetValueKey, ZwCreateKey, ZwOpenKey, ZwReadFile, ZwWriteFile, RtlStringFromGUID, RtlFreeUnicodeString, RtlEqualUnicodeString, ExFreePool, RtlInitUnicodeString, ExAllocatePoolWithTag, RtlRaiseException
> HAL.dll: KeQueryPerformanceCounter, KfReleaseSpinLock, KfAcquireSpinLock
> ks.sys: KsCreatePin

( 0 exports ) 
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
sigcheck:
publisher....: Sensaura Ltd
copyright....: Copyright (c) 2003 Sensaura
product......: n/a
description..: Sensaura WDM 3D Audio Driver
original name: n/a
internal name: n/a
file version.: 5.10.00.3511D
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
packers (Kaspersky): PE_Patch
         

Alt 11.01.2010, 19:33   #10
Chris4You
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?



Hi,

Sensaura stimmt, sollte ein Fehlalarm sein...

Abschließend noch Prevx drüberjagen:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?
0 bytes, acedrv05.sys, adobe, alert, avg, bho, controlset002, einstellungen, excel, explorer, h8srt, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, ieframe.dll, install.exe, internet, internet explorer, launch, logfile, problem, registry, rundll, security, shell32.dll, software, starten, system, temp, usb, windows, windows security, windows security alert, windows xp



Ähnliche Themen: Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?


  1. Thread muss gelöscht werden - was tun - Admin reagiert nicht
    Diskussionsforum - 02.10.2014 (15)
  2. Browser- und Virenprogramme werden geblockt
    Mülltonne - 16.09.2014 (1)
  3. Explorer.exe reagiert nicht mehr und muss beendet werden?
    Plagegeister aller Art und deren Bekämpfung - 29.03.2014 (7)
  4. Pc muss vor jedem starten "wiederhergestellt" werden?
    Alles rund um Windows - 07.02.2014 (9)
  5. iLivid. Anti-Malware gibt nach Scan Entwarnung, muss noch etwas beachtet werden?
    Plagegeister aller Art und deren Bekämpfung - 18.01.2013 (11)
  6. Virenprogramme lassen sich nicht mehr starten!
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (17)
  7. Virenprogramme lassen sich nicht mehr starten
    Antiviren-, Firewall- und andere Schutzprogramme - 18.09.2012 (3)
  8. Virenschutz ist deaktiviert (habe mehrere Anti-Virenprogramme ausprobiert)
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (1)
  9. Wie kann ich einen Virus löschen wo Anti-Virenprogramme nicht funktionieren?
    Plagegeister aller Art und deren Bekämpfung - 27.02.2012 (5)
  10. virenprogramme schließen, google ergebnisse werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 16.08.2011 (1)
  11. virenprogramme schließen, google ergebnisse werden umgeleitet
    Alles rund um Windows - 14.08.2011 (1)
  12. Anti-Viren Programme starten nicht (Malware)
    Log-Analyse und Auswertung - 02.02.2010 (1)
  13. AntiVir und Malwarebyte's Anti-Maleware starten nicht
    Log-Analyse und Auswertung - 22.01.2010 (5)
  14. Antivir und andere Virenprogramme starten nicht / Rootkit?
    Plagegeister aller Art und deren Bekämpfung - 04.01.2010 (16)
  15. Kann C nicht öffnen - Recycler.../Anti-Malwareprogramme starten nicht
    Plagegeister aller Art und deren Bekämpfung - 31.03.2009 (29)
  16. Abschaltung meiner Anti-Virenprogramme
    Plagegeister aller Art und deren Bekämpfung - 30.10.2007 (4)
  17. Kein Internet mehr, Anti Virenprogramme funktionieren nicht mehr
    Log-Analyse und Auswertung - 24.06.2007 (5)

Zum Thema Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Hallo zusammen, Ich hatte vor ein paar Wochen das Problem mit dem Windows Security Alert und dachte eigentlich es erfolgreich behoben zu haben. Doch jetzt treten immer neue Schwierigkeiten auf: - Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?...
Archiv
Du betrachtest: Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.