Hallo Forum,

ich hoffe daß mir evtl. von euch jemand weiterhelfen kann. Ich habe nämlich folgendes Problem:

Seit ein paar Tagen kann ich das Sicherheitscenter von Microsoft unter Windows XP nicht mehr öffnen. Das gleiche gilt für die interne Firewall von XP. Der Dienst ist desweiteren auch nicht unter Systemsteuerung / Dienste zu finden.

Lt. einem erfahrenem User eines anderen Forums habe ich eine noch nicht dokumentierte Version des "Haxdoor Trojaners".

Lt. der automatischen Auswertung von hijackthis.de ist der Eintrag O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll böse.

Ich habe schon versucht, mit HijackThis diesen Eintrag im abgesichertem Modus zu fixen und im normalen zu löschen, ABER dort ist er nicht sichtbar (unter Extras / Ordneroptionen habe ich alles wichtige eingeblendet).


Desweitern habe ich mir eine fix.bat Datei mit folgendem Inhalt angelegt:


reg delete HKLM\System\CurrentControlSet\Services\avpu32 /f
reg delete HKLM\System\CurrentControlSet\Services\avpu64 /f
reg delete HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\avpu32.sys /f
reg delete HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\avpu64.sys /f
reg delete HKLM\System\CurrentControlSet\Control\SafeBoot\Network\avpu32.sys /f
reg delete HKLM\System\CurrentControlSet\Control\SafeBoot\Network\avpu64.sys /f
reg delete HKLM\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpu32 /f
shutdown /r /t o /f

Diese fix.bat sollte eigentlich den PC neu starten, was aber erfolglos blieb.


Ad-Aware, SpyBot & a² habe ich selbstverständlich im normalen & abgesichertem Modus durchlaufen lassen. Interessant ist vorallem das Ergebniss von SpyBot:


- Windows Security Center.AntiVirusDisableNotify
- DSO Exploit
- Windows Security Center.FirewallDisableNotify


Vorallem die dickmarkierten Einträge sollten in meinem Fall doch informativ sein, oder? Sie lassen sich zwar löschen, kommen aber immer wieder zurück...


Falls es wichtig sein sollte, ich habe folgendes noch entdeckt:

HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpu32

Dort sind folgende Einträge:

Name - Typ - Wert

(Standart) - Reg_SZ - (Wert nicht gesetzt)
Asynchronous - Reg_DWord - 0x0000001 (1)
DllName - Reg_Expond_SZ - avpu32.dll
Impersonate - Reg_DWord - 0x0000001 (1)
MaxWaite - Reg_DWord - 0x0000001 (1)
secureID - Reg_SZ - [13047454753798663590]
Startup - Reg_SZ - MnAllocMap


Hier nun die Log-File von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 21:27:34, on 30.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis 1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.0.1/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.4FI\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{64B89F76-5218-4947-9B63-88FDE239545B}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6BACEEA-8182-4E99-A4CE-825987764714}: NameServer = 192.168.0.1
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Es wäre super, wenn mir jemand beschreiben könnte, wie ich

a) mein Sicherheitscenter und die Firewall wieder zum laufen bringe und
b) diesen "Haxdoor Trojaner" von System entferne und
c) Wie ich diese Datei C:\WINDOWS\SYSTEM32\avpu32.dll entfernen kann, die ja - warum auch immer - nicht sichtbar ist.

Das alles war jetzt ziemlich viel, aber lieber zuviele als zuwenige Infos...

Danke.

Hallo, Chris2579
Wenn Du diesen haxdoor,wie von Dir zitiert verbunden mit Deinen Probs (Sicherheitscenter etc..) gehabt hast oder noch hast
dann ist es sehr wahrscheinlich dieser Untermieter
http://www.sophos.de/virusinfo/analy...haxdoorai.html
Damit bleibt nur noch ein neu Aufsetzen nach Cidres Anleitung
http://www.trojaner-board.de/showthread.php?t=12154
anzuraten
Btw.

Zitat:

Lt. einem erfahrenem User eines anderen Forums habe ich eine noch nicht dokumentierte Version des "Haxdoor Trojaners".

der hat Dir wohl dann wahrscheinlich den gleichen Tipp gegeben!


Bis denn stupormundi

Hallo,

Danke für die Antwort!

Ich kann bei meinem PC einen "Auslieferungszustand" machen, heißt er wird auf den Zustand gebracht wie ich ihn neu gekauft habe (XP vorinstalliert).

Reicht das aus?

Ich kenne diesen "Auslieferungszustand" nicht, da ich - wie bereits in anderen threads gepostet - keine Recovery-CD hab. Wenn dabei allerdings die Festplatte formatiert wird, hilft es.

Hallo

Zitat:

Ich kann bei meinem PC einen "Auslieferungszustand" machen, heißt er wird auf den Zustand gebracht wie ich ihn neu gekauft habe (XP vorinstalliert).
Reicht das aus?

Leider nein - der Schmäh der Backdoors ist ja, dass Du nicht weißt, was er schon an Veränderungen vorgenommen hat und ob er in die Rücksetzroutine nicht auch schon eingegriffen hat.

Solltest Du aber ein Image vom Auslieferungszustand ZB auf CD/DVD oder ext. Platte haben, kannst Du das verwenden.

Ansonsten vollkommen plattmachen - Einzige Lösung!
Vergiss nicht zukünftig Dein System durch Einspielen der Servicepacks + patches aktuell zu halten!
stupormundi

Hallo,

also diesen "Auslieferungszustand" habe ich schoneinmal vorgenommen. Mein PC ist der vom Aldi 2003.

Da ist eben eine CD dabei die ich reinlegen muß und die den PC eben wieder auf den Auslieferungszustand bringt.

Bei dem PC war die Festplatte auf C: / D: & E: aufgeteilt. Nachdem Vorgang zum Auslieferungszustand waren alle Daten auf C: neu, die auf D: und E: hat er so gelassen. Das Betriebssystem etc. ist übrigens alles auf C:, auf D: habe ich nur private Sachen (Dokumente, Bilder etc.) liegen, keine installiere Software o.ä.!

Hallo. Chris2579!

Wenn Du zum Thema "Wiederherstellung des Ausgangszustandes" googlest, findest Du unter anderem das:

Zitat:

Leider ist das mit diesen Recovery-CDs so eine Sache. Nicht selten löschen sie nämlich nur vorhandene Dateien ohne eine Formatierung und nennen das "den Ausgangszustand wieder herstellen".

Wenn Du konkret zu diesem Aldi PC Infos brauchts, solltest Du Dich an die Medion Hotline wenden.
Aber - wie ich Dir schon einmal empfohlen habe - die einzige wirklich verlässliche Problemlösung in diesem Fall (Backdoor) ist das Formatieren und Neu-Aufsetzen Deines Systems!
Bis, denn stupormundi

Zitat:

Zitat von Chris2579

Mein PC ist der vom Aldi 2003.

Dann müsste außer der Medion Recovery-CD eigentlich auch eine WindowsXP-CD dabei sein. Diese kannst du verwenden.

BTW:

Zitat:

shutdown /r /t o /f

Diese fix.bat sollte eigentlich den PC neu starten, was aber erfolglos blieb.

Es müsste z.B. "shutdown -f -s -t 1" heißen