keygen.exe eingefangen...
 

Hallöchen Gemeinde...

also die letzten jahre konnte ich mich aktiv und erfolgreich gegen sämtliche plagegeister wehren! aber gestern muss ich mir was eingefangen habe, was ich anscheinend net wegbekomme!

nach dem ausführen einer keygen.exe (ja ich weiß, ich depp :D) meldete mein Avast Pro alarm! Ok, dachte ich mir...löscht du mal die Bedrohung und machst n Scan! Gesagt getan. Doch mein Avast löschte wohl mehr Datein als es eig. sollte...und schwupps fing der rechner an zu zicken! Dh, ich konnte nicht mehr online Daddeln (COD 4-->Corrupt File) Tasktleiste war verschwunden und ich konnte nur noch via Taskmanager agieren bis hin zu, dass er mich beim Neustart nach einem Passwort für meine Konto fragt (hatte nie eins erstellt). Es wurde mein Catalyst Control Center ausser Kraft gesetzt, also es konte nicht mehr geladen werden!

Nun, habe dann einige wichtige Daten gesichert auf meine 2te Partition und Windoof neu gemacht! Nach dem einigermaßen wieder richtig installierten PC und eines erneuten Neustarts zwecks Softwareinstallation, fuhr er net mehr hoch...er hing inna Schleife fest! Immer bis zu nem Gewissen punkt hochgefahren und wieder runter, wieder hoch usw.

also Windoof nochmal neuinstalliert! auch wieder alles ok..aber jezze will er schonwieder n Passwort für mein Konto! Avast hat auch ein Wurm gemeldet in meinem Temp Ordner! Ich gehe mal davon aus, dass dieser Plagegeist nicht richtig von meinem System runter ist...Hab auch schon A-Squared drüber laufen lassen...ehr niedrige Risiken!

So, dazu die Vorgeschichte! Ich wollte eig. mit nem Logfile vllt geklärt bekommen, was eig. los is mit meiner Maschine hier

Logfile of HijackThis v1.99.1
Scan saved at 18:18:11, on 15.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\QIP Infium psYNovA-Edition\infium.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Tino\LOKALE~1\Temp\Rar$EX00.203\HijackThis.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1237135601250
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3C24247-7A7A-479D-919D-A29834809CDA}: NameServer = 217.237.151.51 217.237.149.205
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)


für JEDE hilfe bin ich echt Dankbar

Hallo White_Rebel


lade dir mal die mbr.exe runter führe das Programm mit Adminrechten aus.

Poste das Ergebnis.

So, hab wieder das problem, dass ich nur noch durch den Taskmanager agieren kann! Ich gehe mal davon aus, dass meine "gesaved" datein ebenfalls befallen sind! Ich muss wohl oder übel die gesamte Festplatte räumen...ich hoffe das Dauert nich allzulang :headbang:

danach meld ich mich nochmal...super Sonntag abend:snyper:

bis nachher

EDIT: hab jezze nach wiederholtem Neustart ne Taskleiste...ich lad mir mal eben dein Proggi da runter und poste sofort! vielleicht kann ich einer nochmaligen neuinstall. umgehen!

geht der Abgesicherte Modus?
darin kannste auch Scannen.Lade dir auch mal das Avira Anti Root kit runter
und auch Malware Antibytes kannste mal Probieren.
Wenn du damit scannst auch bitte die Log-Datei hier Posten.


MfG

Ghost1975

Sorry für Doppelpost! aber das stand nur in der Textdatei (kenn das proggi ja nicht)


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


EDIT: hi Ghost, habe ehrlich gesagt bammel davor, nochma neuzustarten! dann geht wieder nix! gestern hab ich bestimmt 50 mal neui gebootet und es bleib dabei, dass ich nur den Taskmanager hatte! jezze ist es wohl zufall! aber ich lad mir auch ma die o.g proggis von dir

Der abgesicherte Modus war nur für den Fall das du beim normalboot nicht reinkommst

ah ok, hätte ich auch selber drauf kommen können :kloppen:

naja bin zz etwas durchn wind...ist besch*** wenn der rechner net läuft, brauch den zum arbeiten!

also der erste Scan mit dem AntiRootKit ist durch

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started Sonntag, 15. März 2009 - 19:39:05
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 179.96 GB
- Working disk free size : 167.91 GB (93 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/48685
Registry items: 0/133297
Processes: 0/39
Scan time: 00:06:19
--------------------------------------------------------------------------------------------------------
Active processes:
- ggbginys.exe (PID 49480) (Avira AntiRootkit Tool - Beta)
- IEXPLORE.EXE (PID 105256)
- System (PID 4)
- smss.exe (PID 952)
- csrss.exe (PID 1004)
- winlogon.exe (PID 1036)
- services.exe (PID 1080)
- lsass.exe (PID 1096)
- ati2evxx.exe (PID 1264)
- svchost.exe (PID 1284)
- svchost.exe (PID 1352)
- svchost.exe (PID 1520)
- svchost.exe (PID 1672)
- svchost.exe (PID 1708)
- ati2evxx.exe (PID 1860)
- spoolsv.exe (PID 1928)
- ndetect.exe (PID 1420)
- explorer.exe (PID 1444)
- RTHDCPL.EXE (PID 2032)
- reader_s.exe (PID 144)
- ctfmon.exe (PID 148)
- a2service.exe (PID 2000)
- PnkBstrA.exe (PID 380)
- firefox.exe (PID 1172)
- svchost.exe (PID 360)
- svchost.exe (PID 368)
- svchost.exe (PID 324)
- svchost.exe (PID 468)
- svchost.exe (PID 1144)
- svchost.exe (PID 3616)
- cmd.exe (PID 21196)
- services.exe (PID 21724)
- wuauclt.exe (PID 32208)
- infium.exe (PID 4448)
- Xfire.exe (PID 4616)
- reader_s.exe (PID 7260)
- msnmsgr.exe (PID 25000)
- mbam.exe (PID 54220)
- avirarkd.exe (PID 55328)
========================================================================================================
- Scan finished Sonntag, 15. März 2009 - 19:45:24
========================================================================================================

so...ich muss sagen...WTF!

hab soviele stücke auf A-Squared gehalten und dann sehe ich das hier...unfassbar!


Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1852
Windows 5.1.2600 Service Pack 2

15.03.2009 19:54:09
mbam-log-2009-03-15 (19-54-04).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 101292
Laufzeit: 15 minute(s), 53 second(s)

Infizierte Speicherprozesse: 4
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicherprozesse:
C:\WINDOWS\services.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ndetect.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Tino\reader_s.exe (Trojan.Agent) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\restore (Rootkit.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ndetect.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ndetect.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ndetect.exe,C:\WINDOWS\system32\regwiz.exe,) Good: (userinit.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Hijack.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Tino\reader_s.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\services.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\reader_s.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\drivers\protect.sys (Trojan.NtRootkit.Agent) -> No action taken.
C:\WINDOWS\system32\ndetect.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\3.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\5.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\7.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\8.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\BN1.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\BN8.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\services.ex_ (Heuristics.Reserved.Word.Exploit) -> No action taken.


so, wie soll ich vorgehen? alles löschen?!

Hi White_Rebel

das ging ja alles sehr schnell mit deinen Log Dateien.
Ja lasse das was Malwarebytes gefunden hat Löschen.


Sorry muß jetzt weg zur Arbeit,schaue mir das Morgen noch mal an.


MfG

Ghost1975

wollt nur noch kurz auf die HiJackThis Version hinweisen:

soll ich nochma n log posten mit der aktuellen version?

ja kannst du machen, aber eigentlich wird hier am Board kein Support geleistet wenn jemand illegale Software (Keygen und Cracks) ausführt

es war mir definitiv auch ne lehre...wollte eig. nur ein key für mein Textproggi...nie wieder! sone sch***

jedenfalls konnte der malwarebyte nicht alles löschen...es blieben immernoch einige übrig, die gerade das wohl verursachen (keine taskleiste, ATI treiber blocken und sogar, wenn ich neuen antivirensoftware installieren will, schmiert er ab)

dein Helfer ist grad nicht da und du bist da. Mh...ich mach dann mal weiter.

SUPERAntiSpyware

• Downloade SASW >>hier<<
• Installiere das SASW für alle Benutzer mit den vorgegebenen Installationseinstellungen
• Starte es und klicke auf "Check for Updates...". Nachdem dem Update erscheint ein Protokollfenster, schließe es mit "close"
• Klicke im Hauptmenü auf "Preferences", wähle den Reiter "General and Startup", bei dem Kästchen "Start SUPERAntispyware when Windows starts" sollte kein Haken sein
• Wähle nun den Reiter "Scanning Control" und setze Haken bei:
  
• Close browseres before scanning
  
• Scan for tracking cookies
  
• Resolve Links/Shortcuts during scan (.Ink)
  
• Scan Alternate Data Streams
  
• Use Kernel Direct File Access (recommended)
  
• Use Kernel Direct Registry Access (recommended)
  
• Use Direct Disk Access (recommended)
  
• Display scan option in Explorer context (right-click) menu

• Klicke im Hauptmenü den Button "Scan your Computer..."
• Wähle in der Scan Location alle Festplatten und externe Datenträger aus
• Klicke auf "Perform Complete Scan" und gehe auf "weiter"
• Achte darauf dass die Funde in der Box markiert sind, danach klicke auf "weiter"
• Das Log findest du unter "Preferences..." => "Statistics/Logs" => klicke das Log an => "View Log..."
• Poste nun das Log

Gmer


http://www.chip.de/ii/183398422_fb183cfed7.gif

• Donwloade Gmer
• Entpacke es auf dem Desktop
• Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
• Schließe bitte alle Anwendungen, auch das Antivirusprogramm
• Starte den Scan mit Gmer mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
• Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
• Beende Gmer mit "OK"

ok danke dir!

also der Pc blockt nun wohl sämtliche Virenprogramme die ich install. will...der kappt sofort die i-net verbindung und startet die Programme erst garnicht! nur mein avast, was ich gesichtert hatte gestern...langsam glaube ich, dass es damit zusammenhängt.

ich probiere mal deine o.g schritte aus...ich hoffe das es klappt...danke dir vielmals, wirklich!

bis "gleich"

EDIT: also es sind wohl 3 Datein, die das alles verursachen! reader_s.exe, Adobe.Bat und Makhem.exe! kann die manuell auch nicht löschen

also...es hilft nix...kann keinen scan mehr durchführen...hab das gefühl dass es immer schlimmer wird...werde total in meinen rechten beschränkt und das als admin^^

hab nochma gegoogelt...haben zz wohl einige das Prob! ist wohl ein Netzwerkbot + Trojaner + Rootkit!Reinigung NICHT möglich! dolle sache -.- die leute die den scheiss verbreiten, sollte man mal auf die finger klopfen..mal sanft ausgedrückt!

naja, bleibt mir wohl nix anderes übrig, als die gesamte festplatte zu plätten!

danke jedenfalls für eure mühe

Ne lass mal noch.

Deaktivieren der Systemwiederherstellung

Windows XP:

• Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
• Wähle den Reiter "Systemwiederherstellung"
• Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
• Jetzt den PC booten, der Start kann eine Weile dauern
• Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

http://www.chip.de/ii/183398422_fb183cfed7.gif

• Donwloade Gmer
• benenne die Datei in "blubb.com" um
• Entpacke es auf dem Desktop
• Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
• Schließe bitte alle Anwendungen, auch das Antivirusprogramm
• Starte den Scan mit Gmer mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
• Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
• Beende Gmer mit "OK"

ich kann weder die systemsteuerung, noch irgendein anderen dienst öffnen, der in die richtung system geht...habe keine rechte sagt er mir! und je mehr ich probiere, desto sturer wird der hier :(

und da ich net weiss, was genau dieser mist anstellt..zwecks PW und so, gehe ich evtl. auf nummer sicher

sieht nicht gut aus. Versuch Malwarebytes zu updaten und dann noch mal einen Scan machen.

Poste dann einen neuen HJT Log

wie gesagt, kann nix mehr öffenen was ein diagnosetool ist...praktisch kann ich net mehr handeln...

Beschreib mal das Problem genau.
Du hast doch bestimmt Malwarebytes aufm Desktop. Dann klickst du auf das Icon und dann tut sich nichts?

jepp genau...entweder sagt der mir ich habe zuwenig rechte oder er kappt mir beim scannen die inetleitung und der rechner spielt verrückt...

hinzukommt, nachdem letzten versuchten scan bekomme ich momentan garkein desktop noch ne taskleiste...muss alles via taskmanager machen, ausführen und so...das nervt ungemein!

OK willst dus im abgesicherten Modus versuchen? Dauert halt...
Und es könnte sein dass du am Ende sowieso Neuaufsetzen musst.
Ich würde dir zum Neuaufsetzen raten, da dir eh das SP3 fehlt

jap soweit kam ich ja anfangs nicht..ok hab mich erst um meine anderen programme gekümmert..beim nächsten aufsetzen zuerst windoof updaten, dann den rest!

ok vielen vielen dank für deine Mühe, aber ich denke ich setz neu auf...aber erst morgen! ich kann ja nochma schreiben obs was gebracht hat oder nicht :uglyhammer:

also, guts nächtle und bis denn

befolge diese Anleitung:
http://www.trojaner-board.de/51262-a...sicherung.html

lad dir das SP3 herunter, brenne es auf eine CD und installiere es offline.
Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket f&#252;r IT-Spezialisten und Entwickler

kannst du auch bei Avira machen (offline):
Avira AntiVir - magnus.de

dann wenn du online bist, update Avira. Ich hoffe es war dir eine Lehre ;)

moinsen...

also hab System komplett neu aufgesetzt...jedoch hab ich mir das SP3 vorher nicht gezogen und gebrannt, einfach aus dem Grund, dass ich schiss habe mir was auch immer ich hatte, weiterhin zu verschleppen...

hab mir neben allen updates gleich mal mein Bitdefender raufgeknallt! dieses Malwarebytes werd ich mir auch wieder raufmachen!

naja von antivir bin ich net so überzeugt:rolleyes:

und ja, es war mir auf jedenfall eine lehre...nicht nur eine!

danke für die hilfe hier im Board:daumenhoc:aplaus:

jedenfalls solltest du das SP3 jetzt draufhaben. Wenn du brain.exe (dein Gehirn) nicht einschaltest beim Surfen wird Bitdefender auch nichts machen können.