Hallo erstmal, ihr lieben Pros, ich bin neu hier^^
anscheinend ist dieser Laptop virenverseucht, da ich mir selbst nicht zu helfen weiß frage ich hier, ich hoffe ihr könnt mir helfen. :bussi:
Beim Betriebssystem handelt es sich um Windows 7.
Folgendes: Ich habe den Laptop meines Freundes für eine Weile bekommen und bermerkt, dass kein Virenschutz installiert war - daraufhin AntiVir von meiner Externen aus installiert, einen Scan damit durchgeführt was auch prompt zu einigen Funden geführt hat, die als trojanische Pferde angeführt wurden. Zuerst wählte ich die Aktion 'löschen'(befürchte die Idee war schlecht?), bei den sich danach häufenden Malware-Warnungen 'in Quarantäne verschieben'.
(Report unten)
Ab da fingen die Probleme an:
bei jedem Start mehrere Fehlermeldungen:
"RunDLL -
Problem beim Starten von C:\\Windows\system32\kh918ttq9c.dll
Das angegebene Modul wurde nicht gefunden."
weitere Meldungen mit diesen Dateien, gleicher Pfad:
\qnqv14b.dll
\kh918ttq9c.dll
\sshnas21.dll
Der Browser Chrome von SRWare lässt sich zwar noch starten, zeigt aber bei jeder weiterren Aktion, außer dem einsehn von html Dateien, einen Anwendungsfehler, eine Neuinstallation änderte nichts.
Immer wieder stürzte Explorer.exe ab und startete neu, woraufhin sich alle Fenster schließen. Manchmal trat die Fehlernachricht
"Error -
Runtime error 216 at 00264FED" auf
(Dieses Problem trat nicht mehr auf, nachdem ich die Benutzerrechte von Admin zu normalem Benutzer änderte!)
Beim googlen nach diesen Problemen stieß ich vermehrt auf Beiträge dieses Forums und erstellte mal einen log mit HiJackThis. Beim genaueren durchsuchen entschloss ich mich der Anleitung des Forums zu folgen.
Nach der Anwendung von Malwarebytes' Anti-Malware änderten sich die Fehlermeldungen beim Start zu:
"RunDLL -
Problem beim Starten von
C:\\Users\***\AppData\Local\ml3245.dll
Das angegebene Modul wurde nicht gefunden" und
gleiche Meldung mit Datei:
C:\\Users\***\AppData\Local\oxejehulalihocim.dll
Außerdem fing IE, den ich da Iron nicht verwendbar ist jetzt benutze, nun mit den Werbe-Pop-Ups an, die jederzeit wahllos, und nicht nur beim öffnen einer neuen Page auftauchen.
-keine Datei namens defogger
die Tutorials für OTL unterschieden sich zwischen Forum und heruntergeladener Datei "Anleitung", ich entschied mich für letzteres, falls das falsch war liefere ich einen neuen Scan nach, den Usernamen habe ich in jedem log durch *** ersetzt.-
Anti-Malware log, beide OTL logs und Reporte der 3 fundreichsten Avira AntiVir Scans im Anhang, falls die jemand möchte.
report_avira_scan1 war der erste durchgeführte, scan2 der zweite durchgeführte (nach update), und scan 3 einer der letzten vor Posten dieses Threads.
Andernfalls, die Namen gefundener Schädlinge:
Zitat:
(scan1) TR/Crypt.FKM.Gen
TR/Downloader.Gen
(scan2) TR/Drop.Agent.awd.1
TR/Crypt.XPACK.Gen2
TR/Crypt.FKM.Gen
(scan3) TR/Drop.Typic.bia
|
Die Meldungen von AntiVir reduzierten sich deutlich nach Anwendung von Malwarebytes' Anti-Malware.
Hier mal noch der HiJackThis logfile:
ich hoffe der Beitrag ist nicht zu lang geraten, danke fürs Lesen an dieser Stelle. hoffe da kann man überhaupt noch was ohne Neuinstallation des Systems machen^^
Was soll ich mit der Externen Festplatte machen btw, ist diese gefährdet?
HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:47:43, on 09.10.2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Users\matzipan\AppData\Roaming\Boneu\reylv.exe
C:\Users\matzipan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\algdyw32.exe
C:\Windows\SysWOW64\svchost.exe
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCtrl.exe
C:\Program Files (x86)\Hp\HP Software Update\hpwuschd2.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files (x86)\pdf24\pdf24.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqToaster.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avcenter.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\matzipan\AppData\Local\Temp\Mr0.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
F:\schrottnick\prog\°Schädlingsbekämpfung\HiJackThis204.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/HPNOT/4
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://g.uk.msn.com/HPNOT/4
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/HPNOT/4
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://g.uk.msn.com/HPNOT/4
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe
O2 - BHO: C:\Windows\SysWow64\ud56r346q4.dll - {D6BA40A1-A502-59BD-F413-04B03A2C8953} - C:\Windows\SysWow64\ud56r346q4.dll (file missing)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Gutscheinmieze - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Users\matzipan\AppData\Roaming\Gutscheinmieze\toolbar.dll
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WirelessAssistant] C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [PDFPrint] C:\Program Files (x86)\pdf24\pdf24.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [uPc+kt0NrPaGuo] rundll32.exe C:\Windows\system32\qnqv14b.dll, SystemServer
O4 - HKLM\..\Run: [uPc+kt0NaUOaXms] rundll32.exe C:\Windows\system32\kh918ttq9c.dll, SystemServer
O4 - HKLM\..\Run: [Qrarax] rundll32.exe "C:\Users\matzipan\AppData\Local\oxejehulalihocim.dll",Startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [uPc+kt0NrPaGuo] rundll32.exe C:\Windows\system32\qnqv14b.dll, SystemServer
O4 - HKCU\..\Run: [Metropolis] rundll32.exe C:\Windows\system32\sshnas21.dll,GetHandle
O4 - HKCU\..\Run: [uPc+kt0NaUOaXms] rundll32.exe C:\Windows\system32\kh918ttq9c.dll, SystemServer
O4 - HKCU\..\Run: [Svavimiqayoqanej] rundll32.exe "C:\Users\matzipan\AppData\Local\ml3245.dll",Startup
O4 - HKCU\..\Run: [KOO9RV9K4Z] C:\Users\matzipan\AppData\Local\Temp\Mr0.exe
O4 - HKCU\..\Run: [{91AC44F2-F50E-7EFB-08E6-7EC0C6E1A505}] C:\Users\matzipan\AppData\Roaming\Boneu\reylv.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: algdyw32.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~4\Office12\REFIEBAR.DLL
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~4\Office12\GRA32A~1.DLL
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_b87ff64c8b56b7db\AESTSr64.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\HP Games\HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_b87ff64c8b56b7db\STacSV64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 10809 bytes
--- --- ---
