Virenscanner läst sich nicht mehr installieren!

stojo · 08.02.2007, 17:11

HAllo zusammen, seit heute Mittag hat sich mein AVG Pro verabschiedet.
Seitdem kann ich keine Virenscanner mehr installieren. Beim Entpacken kann er bestimmte .exe Files nicht schreiben. Im Moment kann ich keinen Virenscanner mehr installieren. Tools wie Stinger - Housecall finden aber nix...
Anbei das aktuelle Log..
Beim installieren von AntiVir bringt er folgenden Fehler:

Entpacke basic\avconfig.exe
Entpacke basic\avgnt.exe
Konnte basic\avgnt.exe nicht erstellen
Entpacke basic\avguard.exe
Konnte basic\avguard.exe nicht erstellen
Entpacke basic\avnotify.exe
Entpacke basic\avscan.exe
Entpacke basic\guardgui.exe
Konnte basic\guardgui.exe nicht erstellen
Entpacke basic\licmgr.exe
Entpacke basic\preupd.exe
Entpacke basic\sched.exe
Konnte basic\sched.exe nicht erstellen
Entpacke basic\setup.exe
Entpacke basic\update.exe
Konnte basic\update.exe nicht erstellen
Entpacke basic\avconfig.dll

Komischerweise sperrt er nicht alle .exe sondern nur bestimmte.

System XP SP2

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\System Tools\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\System Tools\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\System Tools\runit\Runit.exe
C:\Programme\System Tools\SysTool\SysTool.exe
C:\Programme\System Tools\totalcmd\TOTALCMD.EXE
C:\WINDOWS\regedit.exe
D:\Security Tools\vcleaner.exe
C:\Programme\Internet Tools\Mozilla Firefox\firefox.exe
C:\Programme\System Tools\WinRAR\WinRAR.exe
D:\Security Tools\antivir_workstation_win7u703_de_h.exe
D:\Security Tools\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\System Tools\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\System Tools\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe " /source=HKLM
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: Client Default.lnk = C:\Programme\System Tools\Samurize\Client.exe
O4 - Startup: Disk Cleaner.lnk = C:\Programme\System Tools\Disk Cleaner\dclean.exe
O4 - Startup: Runit.lnk = C:\Programme\System Tools\runit\Runit.exe
O4 - Startup: SysTool.lnk = C:\Programme\System Tools\SysTool\SysTool.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E68EA63-59E1-4A9D-898C-D42A0F013976}: NameServer = 192.168.2.1,194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE0985F7-D527-4F34-80BD-B73F11DD6795}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: APUpdService - cobra GmbH - C:\WINDOWS\system32\APUpdService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\System Tools\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Brenner\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: SonicWall VPN Client Service (RampartSvc) - SonicWALL, Inc. - C:\Programme\SonicWALL\SonicWALL Global VPN Client\RampartSvc.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\System Tools\Sandra\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\System Tools\Sandra\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Brenner\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Hat jemand ne Idee... Danke

**Sunny** · 08.02.2007, 17:19

Hallo.

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Sunny

stojo · 08.02.2007, 17:42

Anbei die gewünschten Logs.. Hoffentlich richtig ^^

Inhalt der Find.bat

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Thu Feb 08 17:41:21 2007 => Version 9.1.1
Thu Feb 08 17:36:01 2007 => Virus-Datenbank Datum: 2/3/2007
Thu Feb 08 17:37:49 2007 => Virus-Datenbank Datum: 2/3/2007
Thu Feb 08 17:37:55 2007 => Virus-Datenbank Datum: 2/3/2007
Thu Feb 08 17:40:39 2007 => Virus-Datenbank Datum: 2/8/2007
Thu Feb 08 17:41:05 2007 => Virus-Datenbank Datum: 2/8/2007
Thu Feb 08 17:41:54 2007 => Virus-Datenbank Datum: 2/8/2007
Thu Feb 08 17:41:57 2007 => Virus-Datenbank Datum: 2/8/2007
Thu Feb 08 17:42:28 2007 => Virus-Datenbank Datum: 2/8/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Feb 08 17:41:41 2007 => System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Einträge entfernt.
Thu Feb 08 17:41:41 2007 => System found infected with wareout Adware (work at home.url)! Action taken: Einträge entfernt.
Thu Feb 08 17:41:41 2007 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Einträge entfernt.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu Feb 08 17:41:41 2007 => Offending file found: C:\DOKUME~1\thomas\FAVORI~1\-BACKO~1\INTERN~1\support.url
Thu Feb 08 17:41:41 2007 => Offending file found: C:\DOKUME~1\thomas\FAVORI~1\GELDVE~1\WORKAT~1.URL
Thu Feb 08 17:41:41 2007 => Offending file found: C:\DOKUME~1\thomas\FAVORI~1\links\ebay.url
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Thu Feb 08 17:41:39 2007 => Offending Key found: HKCU\\magnet !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Feb 08 17:37:49 2007 => Gefundene Viren: 0
Thu Feb 08 17:41:54 2007 => Gefundene Viren: 4
Thu Feb 08 17:42:28 2007 => Gefundene Viren: 0
Thu Feb 08 17:37:49 2007 => Anzahl Fehler: 1
Thu Feb 08 17:41:54 2007 => Anzahl Fehler: 20
Thu Feb 08 17:42:28 2007 => Anzahl Fehler: 1
Thu Feb 08 17:37:49 2007 => Dauer des Scans bisher: 00:01:10
Thu Feb 08 17:41:54 2007 => Dauer des Scans bisher: 00:00:32
Thu Feb 08 17:42:28 2007 => Dauer des Scans bisher: 00:00:14
Thu Feb 08 17:37:49 2007 => Gescannte Dateien: 561
Thu Feb 08 17:41:54 2007 => Gescannte Dateien: 24574
Thu Feb 08 17:42:28 2007 => Gescannte Dateien: 23861
Thu Feb 08 17:36:25 2007 => Specherüberprüfung: Aktiviert
Thu Feb 08 17:41:21 2007 => Specherüberprüfung: Aktiviert
Thu Feb 08 17:42:14 2007 => Specherüberprüfung: Aktiviert
Thu Feb 08 17:36:25 2007 => Registry Überprüfung: Aktiviert
Thu Feb 08 17:41:21 2007 => Registry Überprüfung: Aktiviert
Thu Feb 08 17:42:14 2007 => Registry Überprüfung: Aktiviert
Thu Feb 08 17:36:25 2007 => System-Ordner Überprüfung: Deaktiviert
Thu Feb 08 17:41:21 2007 => System-Ordner Überprüfung: Deaktiviert
Thu Feb 08 17:42:14 2007 => System-Ordner Überprüfung: Deaktiviert
Thu Feb 08 17:36:25 2007 => Überprüfung der Systembereiche: Deaktiviert
Thu Feb 08 17:41:21 2007 => Überprüfung der Systembereiche: Deaktiviert
Thu Feb 08 17:42:14 2007 => Überprüfung der Systembereiche: Deaktiviert
Thu Feb 08 17:36:25 2007 => Überprüfung der Dienste: Aktiviert
Thu Feb 08 17:41:21 2007 => Überprüfung der Dienste: Aktiviert
Thu Feb 08 17:42:14 2007 => Überprüfung der Dienste: Aktiviert
Thu Feb 08 17:36:25 2007 => Überprüfung der Festplatten: Deaktiviert
Thu Feb 08 17:41:21 2007 => Überprüfung der Festplatten: Deaktiviert
Thu Feb 08 17:36:25 2007 => Überprüfung aller Festplatten :Aktiviert
Thu Feb 08 17:41:21 2007 => Überprüfung aller Festplatten :Aktiviert

Inhalt Blacklight:

02/08/07 17:29:26 [Info]: BlackLight Engine 1.0.55 initialized
02/08/07 17:29:26 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/08/07 17:29:27 [Note]: 7019 4
02/08/07 17:29:27 [Note]: 7005 0
02/08/07 17:29:30 [Note]: 7006 0
02/08/07 17:29:30 [Note]: 7011 528
02/08/07 17:29:30 [Note]: 7026 0
02/08/07 17:29:31 [Note]: 7026 0
02/08/07 17:29:41 [Note]: FSRAW library version 1.7.1021
02/08/07 17:29:42 [Info]: Hidden file: c:\Dokumente und Einstellungen\thomas\Anwendungsdaten\hidires\hidr.exe
02/08/07 17:29:42 [Note]: 10002 2
02/08/07 17:29:42 [Info]: Hidden file: c:\Dokumente und Einstellungen\thomas\Anwendungsdaten\hidires\m_hook.sys
02/08/07 17:29:42 [Note]: 10002 2
02/08/07 17:29:43 [Note]: 10002 3
02/08/07 17:29:43 [Note]: 10002 3
02/08/07 17:29:43 [Note]: 10002 2
02/08/07 17:29:43 [Note]: 10002 2
02/08/07 17:30:52 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt
02/08/07 17:30:52 [Note]: 10002 3
02/08/07 17:30:52 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml
02/08/07 17:30:52 [Note]: 10002 3
02/08/07 17:30:52 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png
02/08/07 17:30:52 [Note]: 10002 3
02/08/07 17:30:52 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png
02/08/07 17:30:52 [Note]: 10002 3
02/08/07 17:30:52 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt
02/08/07 17:30:52 [Note]: 10002 3
02/08/07 17:30:52 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg
02/08/07 17:30:52 [Note]: 10002 3
02/08/07 17:30:52 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg
02/08/07 17:30:52 [Note]: 10002 3
02/08/07 17:30:52 [Note]: 10002 2
02/08/07 17:30:52 [Note]: 10002 2
02/08/07 17:31:00 [Info]: Hidden file: c:\Programme\Skype\toolbars\Shared\SPhoneParser.dll
02/08/07 17:31:00 [Note]: 10002 3
02/08/07 17:31:00 [Note]: 10002 2
02/08/07 17:31:00 [Note]: 10002 2
02/08/07 17:34:34 [Note]: 10002 2
02/08/07 17:34:34 [Note]: 10002 2
02/08/07 17:35:11 [Info]: Hidden file: c:\WINDOWS\system32\hldrrr.exe
02/08/07 17:35:11 [Note]: 10002 2

**Sunny** · 08.02.2007, 17:46

VOLLTREFFER!!!

Auf Grund einer Wareout-Infektion hat sich tief in dein System ein sogenanntes Rootkit eingeschleust. Eine sichere Bereinigung ist schier unmöglich

Mehr dazu in meiner Signatur unter:

Entstehung von Bot-Netzen durch schädlichen Code

Neuinstallation des Betriebssystems + zukünftige Absicherung

Zumal das letztere die "Endlösung" für dein System ist, eine andere Möglichkeit ist ausgeschlossen!

Sorry
Sunny

stojo · 08.02.2007, 17:48

Danke für die Info. Jedoch würde mich intressieren woraus du dies ableitest,
und welcher Rootkit es ist.
Danke.

**Sunny** · 08.02.2007, 17:54

Ableitung aus dem Log von Blacklight:

Zitat:

c:\Dokumente und Einstellungen\thomas\Anwendungsdaten\hidires\hidr. exe
c:\Dokumente und Einstellungen\thomas\Anwendungsdaten\hidires\m_hoo k.sys
c:\WINDOWS\system32\hldrrr.exe

W32/Bagle-KJ
TrojanW32.Beagle.DZ.
Trojan.Tooso.R

Ein Trojaner mit Rootkit-Technologie.

Zitat:

* Schaltet Antiviren-Anwendungen aus
* Sendet sich an Adressen in Outlook-Adressbüchern
* Verwendet seine eigene E-Mail-Engine
* Installiert sich in der Registrierung

Ich denke das wird dir reichen...

FRC333 · 19.05.2007, 13:42

Hab eben mit dem Blacklight Scanner durch das System gejagt hat 12 Items gefunden und ich hab sie entfernt.

Danach konnt ich auch wieder Antivir install.
Kann ich mir jetzt sicher sein das der Rootkit entfernt ist?

Danke

Virenscanner läst sich nicht mehr installieren!

Log-Analyse und Auswertung: Virenscanner läst sich nicht mehr installieren!