Trojaner-Board - malware defense und security alert

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - malware defense und security alert (https://www.trojaner-board.de/81338-malware-defense-security-alert.html)

Hi,

SP3 installieren, läuft das SecurityCenter und die Firewall wieder?
Dann würde ich noch versuchen die ubd4win zu brennen...
Soweit wären wir mal durch... oder hast Du noch was auffälliges am Rechner bemerkt?

chris

Nein, über Systemsteuerung kann ich Das Security Center nicht öffnen, da dort steht "aufgrund eines unbeknnaten Problems...". Aber über cmd gehts.

Hi,

hast Du geprüft ob der Start auf "automatisch" steht, bzw. die CMD-Commandos "abgefahren"?
Eventuell sind auch Berechtigungen verbogen worden...
Wie lautet der genaue Fehlertext und poste mal das Eventlog:

Ereignisanzeige:
Start > ausführen > eventvwr.msc
Gehe in die Ereignisanzeige und schau dort nach Fehlermeldungen
Falls eine Fehlermeldung da ist:
Doppelklick darauf, ein neues Fenster wird geöffnet markieren
und posten den Inhalt

System Reparieren:
Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
http://www.iobit.com/advancedwindows...l?Str=download
Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.
Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.
Führe dann einen Update der Signatur/Reperaturdateien aus.
Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.
Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

chris

Ehrlich gesagt:???

Das sind viele fehlermeldungen, aber nix über das SecurityCenter. Bei System steth was von Service Control manager.

Hi,

poste das was bei dem "Service Control manager" steht...
Was sind sonst "typisch" bzw. oft vorkommende Fehler?

chris

Code:

Der Dienst "SSDP-Suchdienst" ist vom Dienst "HTTP" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 

Die angegebene Prozedur wurde nicht gefunden. 
 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Code:

Bei DCOM ist der Fehler "Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden. " aufgetreten, als der Dienst "upnphost" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden:

{204810B9-73B2-11D4-BF42-00B0D0118B56}

Wo ist denn der log von Advanced Windowscare Professional gespeichert?

Hi,

das sind Abhängigkeiten...
Der Dienst UpnP (Universal Plua-and-Play (oder besser pray ) ist abhängig vom Dienst SSDP der wiederum nicht gestartet werden konnte, weil der Dienst http nicht gestartet werden konnte. Von dem brauche ich die Fehlernummer...

Zitat:

Der Dienst "SSDP-Suchdienst" ist vom Dienst "HTTP" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Die angegebene Prozedur wurde nicht gefunden.

-> Fehlernummer posten!

Da ist mit Sicherheit von Deinem ungebetenem Besucher was verbogen worden...

Du kannst natürlich auch den UPNP-Dienst disablen... :o), dann laufen allerdings Anwendunge die den brauchen nicht mehr...
[quote]
Mit dem Abschalten von UPnP und SSDP entfällt die Möglichkeit, Media Player-Bibliotheken für andere Abspiel- und Mediengeräte im Netzwerk freizugeben. Sie können also beispielsweise nicht mit einer XBox Medien und TV vom Vista-Rechner abspielen. Manche Digitalkameras benötigen ebenfalls zumindest SSDP
[/qutoe]

chris

was brauchst du noch?

Hi,

das Ganze wird schwierig werden..

Scan mit SystemLook

Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop.
http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jps...SystemLook.exe

Doppelklick auf die SystemLook.exe, um das Tool zu starten.

Vista-User mit Rechtsklick und als Administrator starten.

Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code:

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Extended Properties\System.ApplicationName]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Extended Properties\System.Software.AppId]

Poste dann noch das ganzen Evenlogs... oder falls zu groß:
http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...
wie folgt:
Geht es über Start->Ausführen eventvwr.msc
Rechtsklick auf System - Liste exportieren und die dann posten

chris

Code:

SystemLook v1.0 by jpshortstuff (11.01.10)

Log created at 13:05 on 14/01/2010 by Christopher (Administrator - Elevation successful)
 

========== reg ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Extended Properties\System.ApplicationName]

(Unable to open key - key not found)
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Extended Properties\System.Software.AppId]

(Unable to open key - key not found)
 

-=End Of File=-

Hi,

nach dem Evenlog solltest Du doch besser Neuaufsetzten, da ist einiges zerschossen bzw. total verstellt...

2. Versuch:
Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop.
http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jps...SystemLook.exe

Doppelklick auf die SystemLook.exe, um das Tool zu starten.

Vista-User mit Rechtsklick und als Administrator starten.

Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code:

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel]

Klicke nun auf den Button Look, um den Scan zu starten.

Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

chris

Oh je oh je, hier sind meine Logdaten, wie kann ich das denn alles löschen? Muss ne wichtige Hausarbeit schreiben.. Danke für die tolle Anleitung, ansonsten hätte ich das nie hingekriegt ;)

Zitat:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

14.01.2010 15:37:33
mbam-log-2010-01-14 (15-37-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 149607
Laufzeit: 16 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Malware Defense (Rogue.MalwareDefense) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\malware defense (Rogue.MalwareDefense) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Sophie Marie\Startmenü\Programme\malware Defense (Rogue.MalwareDefense) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Sophie Marie\Lokale Einstellungen\Temp\twunk_32x.exe (Rogue.Installer) -> No action taken.
C:\Dokumente und Einstellungen\Sophie Marie\Lokale Einstellungen\Temp\wscsvc32.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Sophie Marie\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O167O1IF\e002102801l0007Hd5f53aedJ03000601Rb445fce6T9ebbc424V03007f3530dP000001080[1] (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\H8SRThpduyfrdks.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\H8SRTjypafvublc.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\H8SRTsovbyojgee.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\H8SRTwipbowfpxt.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Sophie Marie\Startmenü\Programme\malware Defense\Malware Defense Support.lnk (Rogue.MalwareDefense) -> No action taken.
C:\Dokumente und Einstellungen\Sophie Marie\Startmenü\Programme\malware Defense\Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.
C:\Dokumente und Einstellungen\Sophie Marie\Startmenü\Programme\malware Defense\Uninstall Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.
C:\Dokumente und Einstellungen\Sophie Marie\Desktop\Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.
C:\Dokumente und Einstellungen\Sophie Marie\Desktop\Malware Defense Support.lnk (Rogue.MalwareDefense) -> No action taken.
C:\Dokumente und Einstellungen\Sophie Marie\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.
C:\WINDOWS\system32\h8srtkrl32mainweq.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTfumkbmqint.dat (Rootkit.TDSS) -> No action taken.
C:\Dokumente und Einstellungen\Sophie Marie\Lokale Einstellungen\Temp\H8SRTec37.tmp (Rootkit.TDSS) -> No action taken.