Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt
 

Hallo!

AntiVir lässt sich nicht mehr aktualisieren,ebenso Windows. Eine Systemwiederherstellung ist nicht mehr möglich, die Systemwiederherstellungspunkte werden angezeigt, aber die Herstellung lässt sich nicht starten. Drücke ich auf den "Weiter"-Knopf passiert nichts. ich habe es auch im abgesicherten Modus bereits versucht.

Ich hatte den Zlob.DNSChanger auf dem Rechner und mit Hilfe von ExterminateIt händisch beseitigt.

Und nun weiss ich nicht mehr weiter.

Beste Grüße
Thomas

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:29:09, on 25.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ThreatFire\TFTray.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\aborange DayDisplay\DayDisplay.exe
C:\Programme\PureText\PureText.exe
C:\Programme\A Note\A Note.exe
C:\Programme\PhraseExpress\phraseexpress.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ThreatFire\TFService.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\CNAB3RPK.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - (no file)
O2 - BHO: Ziepod One-Click IE Helper - {57A30D1E-08B9-4EF4-B273-AAEA1C234A5B} - (no file)
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - (no file)
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [aborange DayDisplay] C:\Programme\aborange DayDisplay\DayDisplay.exe
O4 - HKCU\..\Run: [PureText] "C:\Programme\PureText\PureText.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: A Note.lnk = C:\Programme\A Note\A Note.exe
O4 - Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe
O4 - Startup: Verknüpfung mit DayDisplay.lnk = C:\Programme\aborange DayDisplay\DayDisplay.exe
O4 - Startup: Verknüpfung mit meOme.lnk = ?
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer = 194.97.173.124 194.97.173.125
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

SmitFraudFix v2.391

Scan done at 2:04:01,14, 25.01.2009
Run from C:\Dokumente und Einstellungen\ICH\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 194.97.173.124
DNS Server Search Order: 194.97.173.125

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125

»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 194.97.173.124
DNS Server Search Order: 194.97.173.125

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125

Ergänzung:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.0.0.1 localhost
127.0.0.1 localhost

Hallo und :hallo:

Lebst du in bzw. Nähe Kiel und ist dein Provider Freenet?

Seit wann hast du Probleme?


1.) Deinstalliere folgende Programme (Start=>Systemsteuerung=>Programme):
2.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
3.) GMER - Rootkit Detection

• Lade Gmer von hier
• entpacke es auf den Dektop
• Doppelklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Hallo Andreas, vielen dank für deine freundliche Begrüßung und die schnelle Antwort.

Ich wohne in Tübingen und mein Provider ist meome.

Die Probleme dürften so seit dem 14. Januar bestehen. Damals wurde mein AntiVir das letzte mal umgedatet.

Was empfiehlst du mir an Stelle von Zone Alarm.

Werde am Nachmittag mal deine Tipps durch führen.

Beste Grüße
Thomas

Dann kannst du den O17 Eintrag auch noch fixen.
Keine PFW, die sind sinnfrei. Wenn überhaupt, dann die von Windows.

Einige Links zum Thema PFW:
Lutz Donnerhacke: de.comp.security.firewall FAQ
http://www.fefe.de/pffaq/halbesicherheit.txt
Personal Firewall Security FAQ
Wie Personal Firewalls ausgetrickst werden können
http://www.stud.tu-ilmenau.de/~traenk/zaweg.htm
PC Flank: Make sure you're protected on all sides.
heise online - 13.05.04 - Kritische Sicherheitslücken in Symantecs Desktop Firewalls
pfargumente
CCC | FAQ - Sicherheit

ciao, andreas

Hallo Thomas,

ich hatte genau das gleiche Prob.

Habe mir über Chip.de von AVG den Atnivirus geladen, direkt über die AVG-Seite wird bei dir nicht gehen, weil vermutlich die seiten blockiert werden.

Antivir deinstalliert, und AVG installiert. Mit zweiten PC (nicht infiziert) über die AVG-Homepage die akutelle Datenbank geladen und auf CD gebrannt. AVG über Tools aus verzeichnis aktualisieren auf den neuesten Stand gebracht.

Wenn Du dann dein System scannst wird er erstmal nichts finden, erst nachdem du den Rechner neu Startest. Es ist der Generic10.xxxx

Falls du keinen zweiten PC zum laden der aktuellen Datenbank hast, kann ich sie dir per Email schicken.

Gruß

Stefan

@Andreas:

Vielen Dank für deine Hilfe.

@Stefan:
Danke für deinen Hinweis auf den AVG Anti-Virus. Das herunter laden hat sogar funktioniert. Werde nun mal den Scan starten.

Ergebnis von Gmer:
http://www.file-upload.net/download-1407252/Gmer.txt.html

Du solltest nicht auf jemanden hören, der selbst mit Rootkits infiziert ist. ZoneAlarm ist noch nicht deinstalliert. Hole das nach. Das Zeuch versaut alle Logs.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Ich bekomme die Meldung:
Error: Invalid script. A valid script must began with a command directive. Aborting execution.

Versuche es mit diesem hier:
ciao, andreas

So jetzt ging es:

Ich versuchte gerade den Virenscanner upzudaten, das geht jetzt wieder!

Glaube nur nicht, dass wir fertig sind. Der schlimmste Bösewicht ist gekillt, jetzt kommen die anderen.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

3.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

4.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

Ich werde erst Freitag wieder on sein. Du hast aber genug zu tun.

ciao, andreas