Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?


Plagegeister aller Art und deren Bekämpfung: Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.01.2010, 20:56   #1
MrDagobert
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?


Hallo zusammen,

Ich hatte vor ein paar Wochen das Problem mit dem Windows Security Alert und dachte eigentlich es erfolgreich behoben zu haben. Doch jetzt treten immer neue Schwierigkeiten auf:

Anti-Virenprogramme lassen sich nicht mehr starten
Anti-Virenprogramme lassen sich meist nur durch umbenennen der install.exe installieren
google Links werden umgeleitet

Ich habe erst einmal ein HijackThis logfile erstellt und ein zwei Sachen gefixed und mich dann an die Anleitung hier auf der Seite "Für alle Hilfesuchenden" gemacht. CCleaner lief durch doch bei Malwarebytes-Anti-Malware ist natürlich Schluss, da ich ja keine Virenprogramme starten kann.

In anderen Threads auf dieser Seite habe ich gesehen, dass dann immer das Programm Avenger zum Einsatz kommt. Doch leider weiß ich nicht was ich in meinem Fall dort eingeben muss. Wenn Ihr mir da weiterhelfen könntet... Damit das auch geht hab ich mal die beiden HijackThis logfiles (vor und nach dem fixen) und das logfile von GMER beigefügt.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:41:00, on 06.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS.0\system32\LckFldService.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\svchost.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe
C:\WINDOWS.0\system32\RunDll32.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.hoefliger.de:80
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS.0\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [richtx64.exe] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\richtx64.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {12545791-AC9A-44B2-8964-0DA216C4A4E5} (Cnsweb3d Control) - https://***.partserver.de/partserver/viewer/cnsweb3d/cnsweb3d.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - ***://wwwimages.adobe.com/***.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS.0\system32\LckFldService.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe

--
End of file - 5216 bytes
Ich denke da ist nur O4 mit richtx64.exe wirklich interresant. Die richtx64.exe konnte ich aber nicht finden, desshalb hab ich es fixen lassen.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:59:02, on 06.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\Explorer.EXE
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe
C:\WINDOWS.0\system32\RunDll32.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS.0\system32\LckFldService.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\WINDOWS.0\system32\imapi.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.hoefliger.de:80
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS.0\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {12545791-AC9A-44B2-8964-0DA216C4A4E5} (Cnsweb3d Control) - h***s://www.partserver.de/partserver/viewer/cnsweb3d/cnsweb3d.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://wwwimages.adobe.com/w*w.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS.0\system32\LckFldService.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe

--
End of file - 4623 bytes
So und jetzt noch das GMER logfile

Code:
ATTFilter
GMER 1.0.15.15281 - h**p://www.gmer.net
Rootkit scan 2010-01-06 20:47:40
Windows 5.1.2600 Service Pack 2
Running: yf3vo69d.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\fxlyypow.sys


---- System - GMER 1.0.15 ----

Code     86531468                                                                                                                      ZwEnumerateKey
Code     86531540                                                                                                                      ZwFlushInstructionCache
Code     8653138E                                                                                                                      IofCallDriver
Code     86531216                                                                                                                      IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text    ntoskrnl.exe!IofCallDriver                                                                                                    804E37C5 5 Bytes  JMP 86531393 
.text    ntoskrnl.exe!IofCompleteRequest                                                                                               804E3BF6 5 Bytes  JMP 8653121B 
PAGE     ntoskrnl.exe!ZwEnumerateKey                                                                                                   80570D3E 5 Bytes  JMP 8653146C 
PAGE     ntoskrnl.exe!ZwFlushInstructionCache                                                                                          8057917C 5 Bytes  JMP 86531544 
init     C:\WINDOWS.0\system32\drivers\ALCXSENS.SYS                                                                                    entry point in "init" section [0xF633C510]
.text    C:\WINDOWS.0\system32\drivers\ACEDRV05.sys                                                                                    section is writeable [0xF1FAC000, 0x30A4A, 0xE8000020]
.pklstb  C:\WINDOWS.0\system32\drivers\ACEDRV05.sys                                                                                    entry point in ".pklstb" section [0xF1FEE000]
.relo2   C:\WINDOWS.0\system32\drivers\ACEDRV05.sys                                                                                    unknown last section [0xF2009000, 0x8E, 0x42000040]

---- User code sections - GMER 1.0.15 ----

.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!CreateWindowExW                                                   7E36FC25 5 Bytes  JMP 4126D6EC C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!DialogBoxParamW                                                   7E37555F 5 Bytes  JMP 4119541D C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!DialogBoxIndirectParamW                                           7E382032 5 Bytes  JMP 4136441F C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!MessageBoxIndirectA                                               7E38A04A 5 Bytes  JMP 41364351 C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!DialogBoxParamA                                                   7E38B10C 5 Bytes  JMP 413643BC C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!MessageBoxExW                                                     7E3A05D8 5 Bytes  JMP 41364222 C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!MessageBoxExA                                                     7E3A05FC 5 Bytes  JMP 41364284 C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!DialogBoxIndirectParamA                                           7E3A6B50 5 Bytes  JMP 41364482 C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] USER32.dll!MessageBoxIndirectW                                               7E3B62AB 5 Bytes  JMP 413642E6 C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] ole32.dll!OleLoadFromStream                                                  774F9C9D 5 Bytes  JMP 413647A0 C:\WINDOWS.0\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text    C:\Programme\Internet Explorer\iexplore.exe[476] WININET.dll!HttpAddRequestHeadersA                                           408CCF46 5 Bytes  JMP 00C7000A 
.text    C:\Programme\Internet Explorer\iexplore.exe[476] WININET.dll!HttpAddRequestHeadersW                                           408CFE49 5 Bytes  JMP 00D1000A 
.text    C:\Programme\Internet Explorer\iexplore.exe[476] WS2_32.dll!connect                                                           71A1406A 5 Bytes  JMP 02EE000A 
.text    C:\Programme\Internet Explorer\iexplore.exe[476] WS2_32.dll!send                                                              71A1428A 5 Bytes  JMP 02F0000A 
.text    C:\Programme\Internet Explorer\iexplore.exe[476] WS2_32.dll!recv                                                              71A1615A 5 Bytes  JMP 02E8000A 
.text    C:\Programme\Internet Explorer\iexplore.exe[476] WS2_32.dll!closesocket                                                       71A19639 5 Bytes  JMP 02EF000A 

---- User IAT/EAT - GMER 1.0.15 ----

IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW]           [7160A09D] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryW]             [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA]             [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]           [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA]               [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW]               [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]             [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA]              [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW]              [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]            [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]             [7160A09D] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USER32.dll [KERNEL32.dll!LoadLibraryA]               [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USER32.dll [KERNEL32.dll!GetProcAddress]             [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USER32.dll [KERNEL32.dll!LoadLibraryW]               [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW]              [7160A09D] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA]                [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]              [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW]                [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]             [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA]               [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA]            [71609E8F] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW]            [7160A09D] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW]              [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA]              [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]            [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]              [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW]              [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]            [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW]            [7160A09D] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExA]            [71609E8F] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ole32.dll [KERNEL32.dll!GetProcAddress]              [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ole32.dll [KERNEL32.dll!LoadLibraryA]                [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ole32.dll [KERNEL32.dll!LoadLibraryW]                [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]              [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\ole32.dll [KERNEL32.dll!LoadLibraryExA]              [71609E8F] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USERENV.dll [KERNEL32.dll!LoadLibraryW]              [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USERENV.dll [KERNEL32.dll!LoadLibraryExA]            [71609E8F] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]            [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\USERENV.dll [KERNEL32.dll!LoadLibraryA]              [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WININET.dll [KERNEL32.dll!LoadLibraryW]              [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WININET.dll [KERNEL32.dll!LoadLibraryExW]            [7160A09D] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WININET.dll [KERNEL32.dll!GetProcAddress]            [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WININET.dll [KERNEL32.dll!LoadLibraryA]              [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]             [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA]               [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA]              [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]            [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryW]             [71609F99] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryA]             [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]           [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\PSAPI.DLL [KERNEL32.dll!LoadLibraryA]                [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]              [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]            [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA]              [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExA]            [71609E8F] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExW]            [7160A09D] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]           [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT      C:\Programme\Internet Explorer\iexplore.exe[476] @ C:\WINDOWS.0\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA]             [71609D8B] C:\WINDOWS.0\AppPatch\AcLayers.DLL (Windows Compatibility DLL/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module   \systemroot\system32\drivers\H8SRTtapqjxvamd.sys (*** hidden *** )                                                            F1F46000-F1F63000 (118784 bytes)                                                                                            
---- Processes - GMER 1.0.15 ----

Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [476]  0x10000000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTvsieertnow.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [476]  0x00D20000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\WINDOWS.0\system32\svchost.exe [1028]           0x10000000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\WINDOWS.0\system32\svchost.exe [1076]           0x10000000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\WINDOWS.0\Explorer.EXE [1176]                   0x10000000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\WINDOWS.0\system32\svchost.exe [1688]           0x10000000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\WINDOWS.0\System32\svchost.exe [1840]           0x10000000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\WINDOWS.0\system32\svchost.exe [1888]           0x10000000                                                                                                                  
Library  \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll (*** hidden *** ) @ C:\WINDOWS.0\system32\svchost.exe [2024]           0x10000000                                                                                                                  

---- Services - GMER 1.0.15 ----

Service  C:\WINDOWS.0\system32\drivers\H8SRTtapqjxvamd.sys (*** hidden *** )                                                           [SYSTEM] H8SRTd.sys                                                                                                          <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys                                                                             
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start                                                                       1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type                                                                        1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath                                                                   \systemroot\system32\drivers\H8SRTtapqjxvamd.sys
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group                                                                       file system
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules                                                                     
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd                                                              \\?\globalroot\systemroot\system32\drivers\H8SRTtapqjxvamd.sys
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc                                                              \\?\globalroot\systemroot\system32\H8SRTielwxyxxns.dll
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr                                                           \\?\globalroot\systemroot\system32\H8SRTbmykturryk.dat
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf                                                           \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr                                                            \\?\globalroot\systemroot\system32\H8SRTvsieertnow.dll
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet)                                                         
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start                                                                           1
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type                                                                            1
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath                                                                       \systemroot\system32\drivers\H8SRTtapqjxvamd.sys
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group                                                                           file system
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet)                                                 
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd                                                                  \\?\globalroot\systemroot\system32\drivers\H8SRTtapqjxvamd.sys
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc                                                                  \\?\globalroot\systemroot\system32\H8SRTielwxyxxns.dll
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr                                                               \\?\globalroot\systemroot\system32\H8SRTbmykturryk.dat
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf                                                               \\?\globalroot\systemroot\system32\H8SRTlbwqwbdutp.dll
Reg      HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtbbr                                                                \\?\globalroot\systemroot\system32\H8SRTvsieertnow.dll

---- Files - GMER 1.0.15 ----

File     C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\H8SRT4cb9.tmp                                          343040 bytes executable
File     C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\h8srtmainqt.dll                                        16485 bytes
File     C:\WINDOWS.0\system32\drivers\H8SRTtapqjxvamd.sys                                                                             40960 bytes executable                                                                                                       <-- ROOTKIT !!!
File     C:\WINDOWS.0\system32\H8SRTbmykturryk.dat                                                                                     202 bytes
File     C:\WINDOWS.0\system32\H8SRTielwxyxxns.dll                                                                                     23040 bytes executable
File     C:\WINDOWS.0\system32\H8SRTlbwqwbdutp.dll                                                                                     36864 bytes executable
File     C:\WINDOWS.0\system32\H8SRTvsieertnow.dll                                                                                     40960 bytes executable

---- EOF - GMER 1.0.15 ----
Danke schon mal für eure Mühe!

Alt 06.01.2010, 22:52   #2
Chris4You
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?


Hi,

TDSS-Rootkit:


Bereinigung für Rootkit "H8SRTd"

Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf
z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den
Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls MAM bereits installiert ist, weiter mit Avenger...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
ATTFilter
Drivers to delete:
H8SRTd.sys

Folders to delete:
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris
O4 - HKCU\..\Run: [richtx64.exe] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\richtx64.exe
__________________

__________________
Alt 07.01.2010, 19:31   #3
MrDagobert
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?


Hallo Chris,

Vielen herzlichen Dank für deine Hilfe!

Ich habe Avenger so ausgeführt wie du es gesagt hast. Beim ersten Neustart bin ich allerdings etwas erschrocken, da noch vor dem Windows Anmeldefenster eine Meldung kam, dass irgendwas nicht gestertet werden kann. Der PC hat dann sofort einen weiteren Neustart ausgeführt und dann war alles in Ordnung. Hatte das was zu bedeuten?

Ich habe dann MAM durchlaufen lassen (auf C und es wurden 11 Einträge gefunden, die alle Entfernt werden konnten. Sollte noch ein Scan auf den anderen Partitionen erfolgen?

Kann es sein das MAM die avenger.txt auf C:\ gelöscht hat, ich kann sie nicht mehr finden.

MAM logfile
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3508
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

07.01.2010 19:06:57
mbam-log-2010-01-07 (19-06-57).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 195974
Laufzeit: 37 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\AmoK Playlist Copy\playlist_commandline.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\H8SRTielwxyxxns.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\H8SRTlbwqwbdutp.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\H8SRTvsieertnow.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\H8SRTtapqjxvamd.sys (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Programme\malware Defense\md.db (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\H8SRTbmykturryk.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
Kann ich nun davon ausgehen dass mein System wieder Viren frei ist? Ich merke zumindest keine der bekannten Beeinträchtungen mehr.

Falls es nicht zu viel Zeit in anspruch nimmt: Was wurde mit Avenger genau gemacht bzw. erreicht? Ich habe auf Wikipedia etwas über Rootkit im Allgemeinen gelesen, aber konnte nicht ganz nachvollziehen was durch das Löschen der H8SRTd.sys erreicht wurde.

Vielen Dank noch einmal für deine Mühe.
__________________
Alt 07.01.2010, 19:50   #4
Chris4You
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?


Hi,

das Rootkit nutzt diesen "Treiber" um sich als Dienst registrieren und ausführen zu lassen und blendet dann alle Leseaktionen auf sich selbst oder auf die Malware unter seinen "Fittichen" aus. Durch das Killen des Treibers (durch Avenger beim Systemstart) wurde der Rest vom Rootkit und der Malware sichtbar.

Unbedingt alle Laufwerke mit MAM im Fullscanmode durchsuchen und bereinigen lassen, das gleiche dann noch mit Deiner Standard-AntiViren-Lösung...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 09.01.2010, 14:43   #5
MrDagobert
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?


Danke für die Erklärung zum Rootkit Chris.

Habe MAM nun über alle Laufwerk laufen lassen und sieht alles wieder sehr friedlich aus.

Ich lass jetzt noch AntiVir durchlaufen...

Wünsch ein schönes Wochenende!


Alt 09.01.2010, 17:09   #6
Chris4You
 
Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Standard

Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?


Hi,

okay, poste dann auch noch mal ein GMER-Log...

chris
__________________
--> Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?

Antwort

Themen zu Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?
0 bytes, acedrv05.sys, adobe, alert, avg, bho, controlset002, einstellungen, excel, explorer, h8srt, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, ieframe.dll, install.exe, internet, internet explorer, launch, logfile, plug-in, problem, registry, rundll, security, shell32.dll, software, starten, system, temp, usb, windows, windows security, windows security alert, windows xp


« Internet Explorer öffnet sich von alleine! | Pc piept komisch und Bildschirm bleibt schwarz »


Ähnliche Themen: Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?


  1. Thread muss gelöscht werden - was tun - Admin reagiert nicht
    Diskussionsforum - 02.10.2014 (15)
  2. Browser- und Virenprogramme werden geblockt
    Mülltonne - 16.09.2014 (1)
  3. Explorer.exe reagiert nicht mehr und muss beendet werden?
    Plagegeister aller Art und deren Bekämpfung - 29.03.2014 (7)
  4. Pc muss vor jedem starten "wiederhergestellt" werden?
    Alles rund um Windows - 07.02.2014 (9)
  5. iLivid. Anti-Malware gibt nach Scan Entwarnung, muss noch etwas beachtet werden?
    Plagegeister aller Art und deren Bekämpfung - 18.01.2013 (11)
  6. Virenprogramme lassen sich nicht mehr starten!
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (17)
  7. Virenprogramme lassen sich nicht mehr starten
    Antiviren-, Firewall- und andere Schutzprogramme - 18.09.2012 (3)
  8. Virenschutz ist deaktiviert (habe mehrere Anti-Virenprogramme ausprobiert)
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (1)
  9. Wie kann ich einen Virus löschen wo Anti-Virenprogramme nicht funktionieren?
    Plagegeister aller Art und deren Bekämpfung - 27.02.2012 (5)
  10. virenprogramme schließen, google ergebnisse werden umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 16.08.2011 (1)
  11. virenprogramme schließen, google ergebnisse werden umgeleitet
    Alles rund um Windows - 14.08.2011 (1)
  12. Anti-Viren Programme starten nicht (Malware)
    Log-Analyse und Auswertung - 02.02.2010 (1)
  13. AntiVir und Malwarebyte's Anti-Maleware starten nicht
    Log-Analyse und Auswertung - 22.01.2010 (5)
  14. Antivir und andere Virenprogramme starten nicht / Rootkit?
    Plagegeister aller Art und deren Bekämpfung - 04.01.2010 (16)
  15. Kann C nicht öffnen - Recycler.../Anti-Malwareprogramme starten nicht
    Plagegeister aller Art und deren Bekämpfung - 31.03.2009 (29)
  16. Abschaltung meiner Anti-Virenprogramme
    Plagegeister aller Art und deren Bekämpfung - 30.10.2007 (4)
  17. Kein Internet mehr, Anti Virenprogramme funktionieren nicht mehr
    Log-Analyse und Auswertung - 24.06.2007 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? - Hallo zusammen, Ich hatte vor ein paar Wochen das Problem mit dem Windows Security Alert und dachte eigentlich es erfolgreich behoben zu haben. Doch jetzt treten immer neue Schwierigkeiten auf: - Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden?...
Archiv
Du betrachtest: Anti-Virenprogramme starten nicht. Was muss bei Avenger eingegeben werden? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131