Trojaner-Board - kann keine Programme mehr ausführen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - kann keine Programme mehr ausführen (https://www.trojaner-board.de/46696-keine-programme-mehr-ausfuehren.html)

kann keine Programme mehr ausführen

guten tag,

ich habe das Problem das ich keine Programme mehr ausführen. Ich habe allerdings durch einen art bug die "cmd.exe" öfnnen können, und von der aus kann ich (fast) alle Programm ausführen. Dann hab ich die "Regedit.exe" geöffnet und folgendes (nur das zwischen den -----) Importiert:

-----

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\.exe]

[-HKEY_CLASSES_ROOT\exefile]

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\exefile]
@="Anwendung"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
@=""

-----

Somit konnte ich wieder Programme ausführen, nur leider gehen diese Daten bei JEDEM Systemneustart verloren. Systemwiederherstellung hat auch nix genützt. Ich habe dann im Abgesicherten Modus mit Prevx CSI gescannt und der hat mir angezeigt das ich ein Rootkit(file: C:\Windows\System32\drivers\sptd.sys) drauf habe, allerdings kann ich das mit Prevx nicht entfernen(da es die kostenlose Version ist), es erkennt auch kein anderer Virenscanner (auch nicht wenn ich von einer Live-CD satrte). Hab also Probiert und Probiert und nun erkennt Prevx leider das Rootkit auch nicht mehr. Nun habe ich mich mit Administrator angemeldet, und siehe da, das Rootkit (oder was ich auch immer drauf habe) wird unter dem Administrator nicht ausgefürth. Jedoch denke ich das es nur eine frage der Zeit sein wird bis ich das falsche progg aufrufe.

Hier noch ein paar infos:
Ich habe Win XP Pro.
Wenn ich ein Prgramm ausführen will kommt unbekannter Dateityp.
Wenn ich Winamp satrte schließt es sich direkt wieder, bzw stürzt ab.
Im Systemtray kann ich die LAN-Verbindungen nicht mehr anzeigen lassen.
Verknüpfungen funktionieren ebenfalls nicht mehr, es kommt dann ebenfalls unbekannter dateityp.

Kann mir jemand helfen?? bin am Verzweifeln.

Hi hatte dasselbe problem hatte mir den trojaner shark eingefangen konnte mein system zwar anmelden danach ging aber nix mehr konnte nur mit hilfe des Taskmanagers in den explorer und dort programme starten hab zum schluss mein system neu augespiel und ein image gezogen falls der fall nochma auftritt

ja aba mit demadministrator kann ich ja alles machen was ich will. Ich habe sogar meinen eigentlioch benutzer zurückgestuft in die gruppe der benutzer, weil somit gesichert is das wenn ich mich da anmlede die regestry nicht bearbeitet werden kann, es sei denn ich mach "rechtsklick -> Ausführen als" und mich dann als Admin einlogge, aba dadruaf greift das rootkit oda was auchimmer dann nicht mehr zu.

kann mir denn niemand helfe :confused: bin voll am verzweifeln, weil ich keine extra windoof partition hab, und ich nit formatieren will/kann :headbang:

weiss ja nit ob jemand was mit anfangen kann, ich hab allerdings mal mit gmer mein PC gescannt. das is bei raus gekomme
(nur das zwischen den -----):

-----
GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-12-11 20:14:26
Windows 5.1.2600 Service Pack 2

---- User code sections - GMER 1.0.13 ----

.text C:\Programme\Winamp\winamp.exe[3868] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 0181936E C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[3868] USER32.dll!GetScrollInfo 7E370DA2 7 Bytes JMP 018192F6 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[3868] USER32.dll!ShowScrollBar 7E37F2B3 5 Bytes JMP 018193F2 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[3868] USER32.dll!GetScrollPos 7E37F6C4 5 Bytes JMP 0181931E C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[3868] USER32.dll!SetScrollPos 7E37F710 5 Bytes JMP 01819399 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[3868] USER32.dll!GetScrollRange 7E37F747 5 Bytes JMP 01819343 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[3868] USER32.dll!SetScrollRange 7E37F95B 5 Bytes JMP 018193C4 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[3868] USER32.dll!EnableScrollBar 7E3B7DDD 7 Bytes JMP 018192CE C:\Programme\Winamp\Plugins\gen_jumpex.dll

---- Kernel IAT/EAT - GMER 1.0.13 ----

IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F784FF42] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F784FFB2] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F7850206] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F78501DC] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F78501DC] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F784FFB2] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F784FF42] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F7850206] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F7850206] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F78501DC] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F784FFB2] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F784FF42] GDNdisIc.sys
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F78501DC] GDNdisIc.sys
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F784FF42] GDNdisIc.sys
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F784FFB2] GDNdisIc.sys
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F7850206] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F784FF42] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F784FFB2] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F78501DC] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F7850206] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F78501DC] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F784FFB2] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F784FF42] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisOpenAdapter] [F784FFB2] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisRegisterProtocol] [F78501DC] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisCloseAdapter] [F784FF42] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisDeregisterProtocol] [F7850206] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F78501DC] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F7850206] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F784FF42] GDNdisIc.sys
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F784FFB2] GDNdisIc.sys

AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F74C81DE] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [F74C81DE] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [F74C8454] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [F74C81DE] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [F74BBF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [F74BBF4C] fltMgr.sys

Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [B898079E] GDTdiIcpt.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [B898079E] GDTdiIcpt.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [B898079E] GDTdiIcpt.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [B898079E] GDTdiIcpt.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [B898079E] GDTdiIcpt.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [B898079E] GDTdiIcpt.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [B898079E] GDTdiIcpt.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [B898079E] GDTdiIcpt.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_DEVICE_CONTROL [B898079E] GDTdiIcpt.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [B898079E] GDTdiIcpt.sys

---- EOF - GMER 1.0.13 ----

-----

Weiss jmd was das für ein Schädling is?? Wenn ja, wie entferne ich diesen?

ich hab jetz auch mit hijackthis gescannt das is der log
(nur zwischen den -----):

-----
Logfile of HijackThis v1.99.1
Scan saved at 20:00:47, on 11.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AntiVir PersonalEdition Premium\sched.exe
C:\PROGRAMME\AntiVir PersonalEdition Premium\avguard.exe
C:\PROGRAMME\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\PROGRAMME\GEMEINSAME DATEIEN\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hijack This\hijackthis.exe

O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\PROGRAMME\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\PROGRAMME\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\PROGRAMME\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\PROGRAMME\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\PROGRAMME\GEMEINSAME DATEIEN\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Microsoft .NET Framework v1.1.4322 Update (NetFxUpdate_v1.1.4322) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe (file missing)

-----

Hi,

Hab dein Hijacklog mal auf Hijackthis ausgewertet und die Seite sagt, dass alles gut ist. Sichere doch am besten alle deine Daten, damit du auf der sicheren Seite bist. Hast du schon versucht, ein weiteres Benutzerkonto einzurichten? Vielleicht hast du beim zweiten Benutzerkonto keine Probleme. So kannst du das Problem eingrentzen.

Viel Erfolg!

Mit freundlichen Grüssen
Power

mit meinem standard acoount geht nix, mit dem Administrator account kann icha lles mache, da gibts llerdings en par probleme:
LAN Verbindung wird nicht in de rtaskleiste angezeigt, Stem kann nicht ordnungsgemäß ausgefürth. Daher denke ich nicht das alles i.O. ist und neuinstallen wäre gro0er aufwand.....