Hilfe seit gestern abend nur noch Trojanermeldung TR/starter.go
 

Hallo, wir brauchen dringend Hilfe, gestern mußte ein neues flash update gemacht werden. Danach wurde der PC immer langsamer (Advanced system care wurde installiert als der Rechner so langsam wurde, vor ein paar Tagen ist ein neuer Speicher installiert worden und wir dachten, dass es daran liegen könnte und er defekt sei) und schließlich kamen nur noch Meldungen TR/starter.go wurde gefunden.
Wir versuchten ein Antivirenupdate zu machen, obwohl das Neueste installiert war, nichts geht mehr. Die neueste vdf. Datei von Antivir von heute früh ist manuell installiert. Jedes Programm, außer dem IE bringt Fehlermeldungen. Überall wird von Antivir ein Trojaner festgestellt. Mit Hijackthis kam nichts heraus was "gefährlich" eingestuft wurde.
Jede exe.Datei die wir ausführen wollen bringt Trojaneralarm. Spyware Doctor ist installiert-stürzt aber ab.
Momentan machen wir einen Online-Scan von Symantec.
update 11.18 Uhr - hat nichts angezeigt!!!

Wir brauchen dringend Hilfe, da eine Neuinstallation keinesfalls vorgenommen werden kann, es handelt sich um einen PC mit wichtigen Projektdaten die morgen abgegeben werden müssen!!!
Leider können wir den IE auch nicht killen, da MSProject darauf zurückgreift!!!

Vielen Dank an alle fleißen Helfer:headbang:


update 11.20 Uhr

Speicherfehlermeldung

GUARDGUI.EXE Fehler in Anwendung

Die Anweisung in "0x01679BCF" verweit auf Speicher in "0x01679BCF". Der Vorgang "read" konnte nicht auf dem Speicher durchgeführt werden.

Klicken Sie auf "OK" um das Programm zu beenden.
Klicken Sie auf "Abbrechen", um das Programm zu debuggen.


Ok Abbrechen


UND WAS NUN???

Hallo Hausimausi,

Ich sag es gleich vorher - ich bin kein Maleware/Viren-Profi wie die Moderatoren hier.

Für mich hört sich das eher so an, als ob das Antivir nach der Flash-installation spinnt.

folgende Möglichkeiten würden vielleicht helfen:

1) Antivir komplett deinstallieren und neu aufspielen. Downloadlink und Tipps dazu unter: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html

2) Systemwiederherstellung auf den Punkt vor der Flash-Installation zurückverlegen, da ich aber nicht einschätzen kann, ob Ihr Euch tasächlich infiziert habt, kann ich auch nicht sagen, ob das etwas bringen würde.

3) Postet das Logfile von HJT und erinnert nochmal an Euren Beitrag und macht in der Zwischenzeit hier weiter: http://www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html

Mehr fällt mir im Moment auch nicht ein.

Viele Grüße

:hallo:

Klingt nach Virut :(
Bitte auf ein Komplettes Plattmachen des Rechners einstellen.

Hijackthis istalliert?, dann rechtsklick auf das HJT Icon --> umbenennen in iwas.com.
Poste bitte die Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:56, on 04.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Dell Network Assistant\hnm_svc.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\LxrSII1s.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\HPZipm12.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Huawei Modems\DataCardMonitor.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Personalisierte Startseite
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Dell-Suchseite
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Dell-Suchseite
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = Personalisierte Startseite
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Personalisierte Startseite
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DataCardMonitor] C:\Programme\Huawei Modems\DataCardMonitor.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Macromedia\Common\571a601c19.exe
O4 - HKCU\..\RunOnce: [SQL Express Wrapper] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\SQL Server 2008 Express Install\2009-04-22_08-52-39-125\SqlExpressWrapperLauncher.exe" SqlExpressWrapper.exe /sewInstallId:2009-04-22_08-52-39-125 /sewEdition:SqlExpressWithTools /sewLocale:de
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/de...e/HPDEXAXO.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programme\Dell Network Assistant\hnm_svc.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Lexar Secure II (LxrSII1s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrSII1s.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 9520 bytes


unser HJT File

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:
schritt 1

Online Banking betrieben?
Wenn ja, bitte mit der Bank in verbindung setzen und um neue TANs etc bitten.
Das ist ein Silentbanker.

schritt 2

Bitte den Bericht von Deinem AVP posten.
Starte Avira --> Berichte --> Posten den letzten Bericht

schritt 3

Wende bitte Malwarebytes nach Anleitung an.


schritt 4

• Lade Random's System Information Tool (RSIT) herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt

schritt 5

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

--> #


das ist das Protokoll von Antivir erst einmal.. wir machen weiter im Programm, das ist noch nicht weg!!!

ok da es eindeutig zu viele Zeichen sind hänge ich die Anhänge dran

Wir haben jetzt nur noch GMER

Sind schon weniger Fehlermeldungen!!!

wurden die Funde von Malwarebytes wie beschrieben auch gelöscht?
da steht no action taken :)

ähm ja eigentlich schon, er hat sie alle gelöscht ach so ja jetzt ich hab das erste Logfile genommen - danach gibt es noch eins...

so viele Buchstaben hier.. da kann man mal ein File vergessen :headbang:

es wird immer besser - er scannt noch weiter in GMer

gmer bermerkst du erst wenn er keine neuen daten mehr anzeigt wenn es fertig ist ;)

das letzte ist vollbracht, bis jetzt hat er keine Fehlermeldung mehr gebracht...

Das Projekt muß morgen abgegeben werden, ich hoffe Ihr lest aus dem log nix böses mehr und alles ist gut!!!

:aplaus:

Okay, keine Rootkits zu sehen :Boogie:

Bitte folgendes.

Bitte lade Registry Search.zip von Bobbi Flekman runter und speichere es auf deinem Desktop.

• Extrahiere den Inhalt der Zip-Datei auch auf den Desktop.
• Doppel-klicke auf regsearch.exe um das Program zu starten
• Navigiere zu dem hier illustrierten Bereich (klicke es an um das Bild zu vergrößern):
  http://i94.photobucket.com/albums/l8...tringField.png
• Gebe bitte die folgende(n) Zeichenfolge(n) (eines (1) pro Zeile) in das oben illustrierte Textfeld:
  • 571a601c1
• Nun klicke auf "OK." Registry Search wird nun die Registrierung durchsuchen und einen Bericht mit den Funden erstellen.
• Poste das Ergebnis in deiner nächsten Antwort.

es ist vollbracht

schritt 1

Registry mit ERUNT sichern

Da wir in der Registry Änderungen vornehmen müssen, wirst Du die Registry vorher wie folgt sichern:
Lade das Tool ERUNT von Lars Hederer herunter und installiere es. Starte die erunt.exe und erstelle damit eine Backup der Registry in den vorgegebenen Ordner. Unter Sicherungsoptionen bitte alle drei Möglichkeiten anhaken. Das Programm nicht in den Systemstart aufnehmen.


schritt 2

Registry Einträge ändern, löschen oder erstellen

Start--> ausführen--> notepad (reinschreiben)--> ok

Kopiere nun bitte folgenden Text aus der Code-Box in das leere Textdokument

• Speichere es nun unter regfix.reg
• achte darauf, dass bei Datei-Typ "Alle Dateien" angegeben ist
• nun sollte http://image.hijackthis.eu/upload/regfix_kl.jpg auf Deinem Desktop erscheinen
• Mache nun einen Doppelklick auf die Datei regfix.reg
• Bestätige mit Ja, dann drücke OK
• Starte den Rechner neu auf

Hier findest Du eine bebilderte Anleitung

Hinweis für alle Mitleser: Diese Skript wurde ausschliesslich für diesen User in dieser Situation erstellt. Das Anwenden auf anderen Rechnern kann zu schwerwiegenden Problemen führen.


schritt 3

• Start --> Alle Programme--> Zubehör --> Systemprogramme --> Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe den Punkt einen merkbaren Namen ( z.B. Bereinigung) ein --> Erstellen --> Schließen.
• Start --> Ausführen --> cleanmgr (reinschreiben) --> OK --> Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja --> OK

schritt 4

Lass Malwarebytes erneut scannen.


schritt 5

Lösche unter C:\rsit die log.txt und info.txt
Doppelklick auf die RSIT.exe
Poste beide Logfiles.