Trojaner-Board - AVG deaktiviert, Neuinstallation nicht möglich

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - AVG deaktiviert, Neuinstallation nicht möglich (https://www.trojaner-board.de/114221-avg-deaktiviert-neuinstallation-moeglich.html)

AVG deaktiviert, Neuinstallation nicht möglich

Hallo zusammen!

Hatte vor einiger Zeit die Windows Warnmeldung bekommen, dass der Virenschutz (AVG free) nicht aktiv ist. Liess sich nicht aktivieren oder aktualisieren, wollte ich mit AVG einen Suchlauf durchfuehren, war dieser ohne Fund nach 2 Sekunden beendet.

Habe dann Malwarebytes Anti-Malware ausgefuehrt:

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.05.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
icanquitanytimeiwant :: HOELLENFEUER [Administrator]

05.04.2012 15:20:25
mbam-log-2012-04-05 (15-20-25).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 172742
Laufzeit: 4 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\icanquitanytimeiwant\Lokale Einstellungen\Temp\mor.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Habe die Quarantäne gelöscht. Danach habe ich AVG deinstalliert, um neu zu installieren, bekam aber eine Fehlermeldung während der Installation inklusive Abbruch. Habe daraufhin von AVG das Werkzeug zur manuellen Deinstallation ausgefuehrt, neuer Installationsversuch, wieder Abbruch mit gleicher Fehlermeldung. Die Logfiles kann ich bei Bedarf posten. Habe dann eine Systemwiederherstellung zu einem Zeitpunkt deutlich vor dem aktuellen Problem versucht, aber ohne Erfolg.

MBAM findet nun keine Infizierungen. Ich habe nicht versucht, andere Virenscanner zu installieren. Vor einigen Wochen hatte der Rechner eine andere Infektion, aber nach AVG und MBAM Suche und Bereinigung hatte ich keine Probleme mehr.

Nun defoggt ohne anschliessenden Neustart, da nicht verlangt, dann dds und nach Neustart gmer (musste beim scan 4x die Maus minimal bewegen, da ich den Bildschirmschoner nicht deaktiviert hatte) ausgefuehrt.

Ich bitte euch um Hilfe bei der Suche nach verbliebenen Virusfragmenten und Schäden sowie der Wiederherstellung meines Virenschutzes. Sollten euch weitere Sicherheitsluecken ins Auge springen, freue ich mich ueber einen Hinweis.

steampork

.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 6.0.2900.5512 BrowserJavaVersion: 1.6.0_20
Run by icanquitanytimeiwant at 19:54:33 on 2012-04-26
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.325 [GMT 2:00]
.
AV: AVG Anti-Virus Free Edition 2012 *Enabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
.
============== Pseudo HJT Report ===============
.
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No File
BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
mRun: [nForce Tray Options] sstray.exe /r
mRun: [NeroCheck] c:\windows\system32\\NeroCheck.exe
mRun: [ISUSPM Startup] c:\progra~1\gemein~1\instal~1\update~1\isuspm.exe -startup
mRun: [ISUSScheduler] "c:\programme\gemeinsame dateien\installshield\updateservice\issch.exe" -start
mRun: [CanonMyPrinter] c:\programme\canon\myprinter\BJMyPrt.exe /logon
mRun: [CanonSolutionMenu] c:\programme\canon\solutionmenu\CNSLMAIN.exe /logon
mRun: [Adobe Reader Speed Launcher] "c:\programme\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\icanqu~1\startm~1\progra~1\autost~1\openof~1.lnk - c:\programme\openoffice.org 3\program\quickstart.exe
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
TCP: DhcpNameServer = 217.0.43.33 192.168.2.1
TCP: Interfaces\{5A24339F-10A5-4180-A35B-8F08BCED4C03} : DhcpNameServer = 217.0.43.33 192.168.2.1
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\icanquitanytimeiwant\anwendungsdaten\mozilla\firefox\profiles\3i3b04ny.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.gmx.net/
FF - prefs.js: network.proxy.type - 0
FF - component: c:\programme\avg\avg10\firefox\components\avgssff.dll
FF - plugin: c:\dokumente und einstellungen\icanquitanytimeiwant\lokale einstellungen\anwendungsdaten\unity\webplayer\loader\npUnity3D32.dll
FF - plugin: c:\programme\adobe\reader 9.0\reader\air\nppdf32.dll
FF - plugin: c:\programme\canon\easy-photoprint ex\NPEZFFPI.DLL
FF - plugin: c:\programme\canon\mycamera download plugin\NPCIG.dll
FF - plugin: c:\programme\mozilla firefox\plugins\npdeployJava1.dll
.
============= SERVICES / DRIVERS ===============
.
.
=============== Created Last 30 ================
.
2012-04-07 09:11:40 -------- d-----w- c:\windows\system32\wbem\repository\FS
2012-04-07 09:11:40 -------- d-----w- c:\windows\system32\wbem\Repository
2012-04-07 09:11:00 -------- d-----w- c:\dokumente und einstellungen\icanquitanytimeiwant\anwendungsdaten\AVG2012
2012-04-07 09:10:47 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\AVG2012
2012-04-05 21:19:52 -------- d-----w- c:\windows\pss
.
==================== Find3M ====================
.
2012-04-04 13:56:40 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-02-29 14:09:48 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:09:48 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-28 18:49:19 672768 ----a-w- c:\windows\system32\wininet.dll
2012-02-28 18:49:18 61952 ----a-w- c:\windows\system32\tdc.ocx
2012-02-28 18:49:16 81920 ----a-w- c:\windows\system32\ieencode.dll
2012-02-28 18:47:50 371200 ----a-w- c:\windows\system32\html.iec
2012-02-21 08:54:33 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-03 09:57:08 1860224 ----a-w- c:\windows\system32\win32k.sys
.
============= FINISH: 19:55:00,10 ===============

hi,
poste die anderen logs bitte

Hier zum einen das Log meines AVG Reinstallationsversuches, dazu die beiden, die der AVG remover geliefert hat.

Da ich beide Prozesse mehrfach durchgefuehrt habe, ist es etwas unuebersichtlich, zumindest fuer mich. Ich kann beides gern nochmal in beliebiger Reihenfolge durchfuehren, wenn es dadurch eindeutiger wird.

hi
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Habe die logs angehängt. Oder ist es Dir lieber per copy/paste? Und wenn, dann in der codebox?

Habe das Internetkabel des Problemrechners ausgesteckt. Die Meldung des Windows Update Agent, dass keine Verbindung hergestellt werden kann, hat vermutlich da ihren Ursprung.

bin flexibel.
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Folgendes Problem ist aufgetreten:

Combofix meldet, dass AVG noch aktiv sei. Weder in der Taskleiste oder in den Programmgruppen noch im Taskmanager kann ich was von AVG erkennen. Im Sicherheitscenter heisst es, AVG sei auf dem aktuellsten Stand. Wollte dann den AVG remover nochmal ausfuehren und das Combofix Fenster schliessen, habe dazu auf "x" geklickt, sehe nun die Meldung, dass Combofix trotz aktivem AVG auf meine Verantwortung den Suchlauf fortsetzen wird.

Was mach ich jetzt? :)

edit: den AVG remover habe ich noch nicht gestartet.

bei combofix einfach ok klicken, dann läufts weiter.

Ok, wollte die Angelegenheit nicht ins Chaos stuerzen.

Combofix ausgefuehrt, hat die MS Wiederherstellungskonsole runtergeladen und installiert.

Das Desktopsymbol fuer den Internetexplorer ist wieder da, hatte ich vor Urzeiten geloescht. Da ich kurz nicht am Rechner war, habe ich nicht gesehen, ob er neu gestartet wurde, oder muss ich manuell neustarten?

das symbol kannst du löschen, verwsuch jetzt noch mal den avg remover und instaliere, nach neustart, avg

Die Installation ist wieder fehlgeschlagen, logs haengen an.

Habe im AVG Forum gesehen, dass andere ebenfalls Probleme bei der Installation haben, auch mit gleichem Fehlercode. Eine Loesung habe ich dort aber nicht entdeckt.

Vielleicht habe ich das Problem nur mit der 2012er Version von AVG, ich koennte versuchen, 9.0 zu installieren. Grundsaetzlich ist mir auch ein anderer Virenschutz recht. Wenn ich recht verstehe, sind die generellen Unterschiede z.B. zu Avira nicht bedeutend.

Wichtig ist mir natuerlich, dass alle Schaedlinge und deren Aktionen entfernt sind.

Was denkst Du?

ging das mit dem remover und der neuinstalation immernoch nicht?

Nein, ging wiederholt nicht. Daher meine Vermutung, dass AVG 2012 ebenfalls ein Problem verursacht. Soll ich AVG 9.0 versuchen, oder muss es 2012 sein, um die Sauberkeit meines Rechners zu belegen?

Anderer Virenschutz wäre mir auch recht, solange wir sicher sind, dass keine Schädlinge mehr im System versteckt sind.

Was nun? :)