|
Programm "Internet Security 2010" eingefangen; HJT Logfile Hallo, ich habe mir über Opera "den als Anti-Viren Programm getarnten Virus oder so iwas g"Internet Security eingefangen Ich habe AntiVir , kein Premium, und ein abgelaufenes Avast Anti virenprogramm Es ist auch blöd, dass die Floskel "Internet Security 2010" sowohl bei Kaspersky als auch bei Norton im Namen steht und so viele Google einträge andere Programme meinen Inernet Security 2010 äußert sich wie folgt: 1. ca. alle 2 min kommt ein Popup, welches mir die Premiumversion empfiehlt oder mir mitteilt, mein Rechner ist voll von Viren etc. 2. Das Winrar Archiv mit den "Sysinternals" lässt sich nicht öffnen (ist mir von einem Lehrer empfohlen worden 3. --> Der Taskmanager lässt nicht öffnen. popup lässt :"Application cannot be executed. The file is infected. Please activate your antivirus sofltware" verlauten $. Anstelle des Bildschirmhintergrundes ist eine komplett ausfüllende Meldung über eingefangene Malware etc. zu sehen. Beim herunterfahren ist der normale Hintergund kurz zu sehen 4. Antivir bleibt nach 34 durchsuchten Dateien aber einer Anzeige von 94,4% hängen 6. Youtube wird blockiert außerdem ist das Inet relativ lahm Das ist alles was mir gerade einfällt Hier die HFT Akte: Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 11:38:21, on 27.12.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avast\aswUpdSv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe C:\WINDOWS\system32\LckFldService.exe C:\Program Files\Spyware Doctor\pctsAuxs.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\System32\alg.exe C:\Program Files\Spyware Doctor\pctsTray.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Program Files\Samsung\EmoDio\SMSTray.exe C:\WINDOWS\system32\winupdate86.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\InternetSecurity2010\IS2010.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Windows\System32\Msiexec.exe C:\WINDOWS\Program Files\TrendMicro\HiJackThis\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Program Files\Spyware Doctor\pctsSvc.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**ttp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon86.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll O4 - HKLM\..\Run: [SMSTray] C:\WINDOWS\Program Files\Samsung\EmoDio\SMSTray.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS\TEMP\~TMC0.tmp O4 - HKLM\..\Run: [winupdate86.exe] C:\WINDOWS\system32\winupdate86.exe O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Internet Security 2010] C:\Program Files\InternetSecurity2010\IS2010.exe O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Programme\Video ActiveX Access\iesmn.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: siszyd32.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\winhelper86.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\winhelper86.dll O13 - Gopher Prefix: O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast\ashWebSv.exe O23 - Service: Browser Defender Update Service - Unknown owner - C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O24 - Desktop Component 0: (no name) - (no file) -- End of file - 7803 bytes Schon mal im Voraus vielen Dank für eure Mühen Pollycat |
Hallo und :hallo: Bitte mal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: registry values to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken. Wenn das alles getan ist: Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
Viel Dank für die schnelle Antwort Ich werde es jetzt mal ausprobieren Mit Hintergrund wächter deaktivieren ist gemeint, den Virenscanner einfach auszuschalten? Polly |
Ja, den Virenscanner deaktivieren, um die Ausführung vom Avenger nicht zu verhindern (wir löschen damit ja Schädlinge! ;) ) |
Hi, es gibt ein kleines wahrscheinlich aber fatales Problem: Ich hatte ja geschrieben, dass ich die Sysinternals nicht öffnen kann. Diese sind wie der heruntergeladene Avenger als .zip gespeichert. Offentsichtlich blockiert der Virus das öffnen von .zip Dateien (Gleich Fehlermeldung wie beim Taskmanager) Ich habe ddas .exe schließlich über rechtsklick, explorer geöffnet bekommen und Avenger gestartet Nach abarbeitung der ersten schritte kam vor der"Reboot new?"-Box wieder selbige Fehlermeldung, die icj einfach geschlossen habe und dann auf reboot new geklickt habe. Der Pc ist runtergefahren und neugestrartet, dann musste ich mein PW eingeben und las erst richtig benutzereinstellungen werden geladen dann sah man kurz NUR den Desktophintergrund, bevor abmelden zu lesen war, dann konnte ich mein PW wierder eingeben und so weiter Auch nach ausschalten des Netzteils veränderte sich daran nichts. Auf der Website vom Avenger stand ja iwas von wegen "nie wieder starten" Gibts noch Rettung für das komplette System oder kann ich nur noch ein paar Daten Retten(Hauptsächlich eigene Dateien) oder ist alles zu spät? Hilfe!!^^ Polly |
Hm, d.h. der Rechner fährt nicht mehr richtig hoch? versteh ich das richtig? Wie siehts im abgesicherten Modus aus? |
Sorry, dass ich erst jetzt antworte, jedoch kann ich eben nur antworten wenn der Rechner meines Vaters frei ist :( Im abgesicherten Modus passiert bis auf eines genau dasselbe. Zwischen benutzer..laden und abmelden erscheint kurz ein schwarzes Bild mit einigen Zeichen darauf. Es ist jedoch zu schnell verschwnden um etwas lesen zu können Polly |
Schau Dir mal bitte diesen Strang an => http://www.trojaner-board.de/80783-a...ten-modus.html Ich hoffe mit Posting #4 bekommst Du es wieder in den Griff. |
(Nochmal einen funktionierenden rechner gefunden)^^ Danke, hört sich zumindest mal gut an Werde morgen mal ausprobieren Polly |
Naja iwie komme ich mit der Boot Cd nicht zurecht im ersten blau hinterlegten menü hab ich im 3. Punkt(Ich galube iwas mit FILE oder SYSTEM) den punkt NTFS <iwas> gefunden und ausgeführt In der folgenden Konsolen Anwendung musste im ersten Schritt nachdem manches anderes geladen hatte die Partition der Cd oder sowas gewählt werden Vorher stand da >notfalls ENTER drücken> --> hab ich gemacht Da kam iwas mit dem vorgegebenen Pfad [windows\system32\config] --> auch ENTER Im 3. Schritt habe ich dann den Pfad eingegeben Hat aber nen FAIL gegeben Was habe ich falsch gemacht? Polly |
Ich hab das mit der Ultimate Boot CD leider noch nicht selbst getestet :( Vllt hast Du mit der Bearbeitung über ein BartPE mehr Glück => Registry bearbeiten und System wiederbeleben - PC-WELT BartPE musst Du Dir erstellen. Notfalls kannst Du auch die Platte des nicht bootenden Rechner in einen anderen Rechner als Zweitplatte einbauen und von da aus dann die Registry bearbeiten ( siehe Posting #5 von shadow ) |
Falls nicht wieder hinzubiegen ist: kann ich nur die Dateien unter EIGENE DATEIEN iwie retten? Kennt sich sonst jemand mit dem Programm aus? Polly |
Ja retten geht. Platte in den anderen Rechner bauen und sichern oder über Live-System wie Ultimate-Boot-CD, Linux-Live (Knoppix oder PartedMagic), BartPE und dann auf externe Platte. |
BartPe hat net geklappt Wie kann ich die Daten denn via Ultimate Boot CD retten? Polly |
Sorry, was genau hat bei BartPE nicht geklappt? Das kann vieles heißen :balla: Nimm stattdessen vllt mal PartedMagic: 1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein 2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows 3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist http://www.raiden.net/images/article...tedmagic40.jpg 4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken 5. Mounte die Partitionen wo Deine Daten drauf sind und evtl. die der ext. Platte 6. Wenn alles gemountet ist kannst Du Daten auf die ext. Platte kopieren |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:49 Uhr. |
Copyright ©2000-2024, Trojaner-Board