Trojaner-Board - PC blockt die Ausführung von Anti-Malware-Programmen und Virenscannern

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - PC blockt die Ausführung von Anti-Malware-Programmen und Virenscannern (https://www.trojaner-board.de/74988-pc-blockt-ausfuehrung-anti-malware-programmen-virenscannern.html)

Scripten mit Combofix

Öffne den Editor (Start => Ausführen => notepad => OK) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"=-

"Google Update"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QuickTime Task"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=-

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"gusvc"=-
 

Folder::

c:\avenger

C:\rsit

c:\programme\Antivirus Doktor 4.1
 

File::

c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-823518204-2025429265-839522115-500UA.job

c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-823518204-2025429265-839522115-500Core.job

C:\backup.reg

C:\cleanup.bat

C:\zip.exe
 

DirLook::

c:\dokumente und einstellungen\All Users\AVP 2009

c:\programme\test

c:\programme\Sophos

c:\programme\DVDTool

C:\videodvdmaker

c:\dokumente und einstellungen\All Users\Anwendungsdaten\MPK

c:\dokumente und einstellungen\All Users\Anwendungsdaten\ParetoLogic

c:\programme\PC Wizard 2008

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Entschuldige bitte, ich hatte alles noch einmal neu gemacht aber nicht gemerkt, dass die Anhänge nicht im Posting waren.
Anhang 3533

Anhang 3531

Anhang 3532

Lade das komplette Log bei einem Filehoster hoch (z.B. www.materialordner.de) und poste hier den Link.

ciao, andreas

Das sieht übelst aus. Lass mich raten, du hast seit dem 4.4. Probleme. Ich bin mir noch nicht sicher, aber das sieht verdächtig danach aus, dass sowohl alle deine Tastatureingaben als auch alle deine Monitoranzeigen aufgezeichnet wurden. Das ganze hat am 8.7. um 8:12 Uhr aufgehört. Hast du da einen Virenscanner o.ä. laufen gelassen?

Also wenn wir weitermachen sollen, dann stelle dich auf eine Menge Arbeit ein. Bis wir die Kiste wieder sauber haben, werden mindestens 3 Tage vergehen. Jetzt liegt es bei dir, ob du weitermachen möchtest oder lieber die schnelle und sichere Methode wählst => http://www.trojaner-board.de/51262-a...sicherung.html

ciao, andreas

Himmel, das ist ja heftig.
Also das genaue Datum könnte ich so nicht sagen. Das mit dem 8. könnte sein, dass ich da Antivir durchgejagt habe.
Ich würde ungern Windows neu raufpacken, da ich danach noch lange Zeit immer Schwierigkeiten habe, bis wirklich alles funktioniert, wg. Treibern und so. Außerdem hab ich bisher Windows immer nur neu aufgespielt und noch nicht formatiert. Denn wenn ich das machen wollte wurde mir immer gesagt, ich könne nicht das Laufwerk formatieren, auf dem ich arbeite.

Wenn du mit mir drei Tage verbringen würdest, würde ich mich riesig freuen. Aber ich versteh auch, wenn dir das zu heftig ist. Schließlich verbringen wir ja schon die zweite Nacht zusammen :lach:

1.) Deinstalliere:

Bonjour
getPlus(R) for Adobe
Google Update Helper
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0
Java(TM) 6 Update 10
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 6
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
Malwarebytes
Sophos Anti-Rootkit 1.3.1
Startup Booster v2.1
SuperAntiSpyware

2.) Installiere:

3.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Driver::

cpuz129

getPlus(R) Helper

SASDIFSV

SASKUTIL

SASENUM
 

Folder::

c:\dokumente und einstellungen\All Users\AVP 2009

c:\programme\test

c:\programme\Sophos

c:\programme\DVDTool

C:\videodvdmaker

c:\dokumente und einstellungen\All Users\Anwendungsdaten\MPK

c:\dokumente und einstellungen\All Users\Anwendungsdaten\ParetoLogic

c:\programme\PC Wizard 2008

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

GetPlus(R)for Adobe konnte ich nicht deinstallieren. In der Softwareliste ist es zwar zu finden, allerdings ohne Angabe einer Dateigröße. Wenn ich auf Entfernen gehe, passiert gar nichts. Über die Suche war es nicht zu finden.

http://www.materialordner.de/MAPsZH9DCwzDUYJmwjow76lirjdTVaSx.html

Ich muss mich verbessern. Hab dieses getPlus jetzt mit dem Ccleaner entfernt.

1.) Deinstalliere ComboFix:
Start => Ausführen => combofix /u => OK

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

2.) Erstelle ein Filelisting.

Lade die Datei listing1.bat auf deinen Desktop
Doppelklicke auf listing1.bat
Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. www.materialordner.de) hochladen und hier den Link posten.

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

4.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Vielen lieben Dank.

listing:
http://www.materialordner.de/Vlk1aXY...PLX4VFi1q.html

kaspersky:
http://www.materialordner.de/xvQQE1T...hEo09Jr17.html

http://img33.imageshack.us/i/prevx.png/

Nach dieser Anzeige bin ich auf ja gegangen und hab den PC dann neu starten lassen. Der darauf folgende Scan zeigte: System clean

Gut. Weiter mit

1.) http://www.trojaner-board.de/51187-a...i-malware.html

2.) http://www.trojaner-board.de/51871-a...tispyware.html

3.) http://www.trojaner-board.de/59299-a...eb-cureit.html

4.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

Puh, geschafft.

Malware-Log:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2404
Windows 5.1.2600 Service Pack 3

11.07.2009 10:23:11
mbam-log-2009-07-11 (10-23-11).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 144420
Laufzeit: 3 hour(s), 30 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\DVDTool (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\administrator\Desktop\Trojaner\Uninstall.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\Google\Chrome\user data\Default\Cache\f_00015d (Rogue.Installer) -> Quarantined and deleted successfully.

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/11/2009 at 01:11 AM

Application Version : 4.26.1006

Core Rules Database Version : 3985
Trace Rules Database Version: 1925

Scan type : Complete Scan
Total Scan Time : 02:41:45

Memory items scanned : 459
Memory threats detected : 0
Registry items scanned : 4853
Registry threats detected : 2
File items scanned : 19603
File threats detected : 35

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atdmt[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@apmebf[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zbox.zanox[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@kaspersky.122.2o7[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@serving-sys[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@traffictrack[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mediaplex[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@xml.trafficengine[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@a2.adserver01[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.ad-srv[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.yieldmanager[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.zanox[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad2.yieldmanager[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@ads.heias[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@adtech[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@eas.apm.emediate[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@track.webtrekk[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@tracking.quisma[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@traffictrack[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@tto2.traffictrack[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@webmasterplan[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.active-tracking[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.adservex[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.etracker[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.zanox-affiliate[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@xiti[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@zanox-affiliate[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@zanox[1].txt

Trojan.Unknown Origin
HKU\.DEFAULT\Software\ColdWare
HKU\S-1-5-18\Software\ColdWare

Rogue.AntiVirusDoktor
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_00015D

Dr. Web

DVDTool.exe;C:\Dokumente und Einstellungen\Administrator\Desktop\Trojaner;BackDoor.Tdss.119;Gelöscht.;
tempo-50787640.tmp;C:\Dokumente und Einstellungen\Administrator\Desktop\Trojaner;Trojan.PWS.IpDiscover.3;Gelöscht.;
tempo-50787921.tmp;C:\Dokumente und Einstellungen\Administrator\Desktop\Trojaner;Trojan.Siggen.2478;Gelöscht.;
A0062512.exe;C:\System Volume Information\_restore{7983A6B3-9F06-4629-A267-731918852CA6}\RP282;BackDoor.Tdss.119;Gelöscht.;

Active Scan
;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-07-12 07:51:04
PROTECTIONS: 1
MALWARE: 7
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.30 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00034463 adware/wupd Adware No 0 Yes No c:\windows\downloaded program files\activex.inf
00110851 adware/qoologic Adware No 0 Yes No c:\windows\downloaded program files\installer.exe
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[2].txt
00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@com[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@serving-sys[1].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@bs.serving-sys[1].txt
02039662 Adware/SystemGuard2009 Adware No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\Trojaner\tmpBF.tmp
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location .
;===================================================================================================================================================== ==============================
No C:\System Volume Information\_restore{7983A6B3-9F06-4629-A267-731918852CA6}\RP281\A0062467.exe .
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description .
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Von wo und warum hast du dieses DVDTool geladen?

ciao, andreas

Ich hab das gar nicht runtergeladen. Ich weiß selbst nicht wo das herkommt. Hab das irgendwann bei Start-Programme gesehen. Wenn man das aufrief passierte gar nichts.