Hallo,

vor zwei Tagen kam erstmals die Frage von der Kerio PF, ob directx explorer.exe starten darf. Natürlich habe ich abgelehnt. Seitdem schmiert mir jedes Mal direkt nach der Anfrage, die übrigens weiter direkt nach dem Systemstart kommt, der AV-Guard sofort ab.
Mit etwas Mühe konnte ich Avira Personal wieder neu installieren. Am eigentlichen Problem hat sich leider nichts geändert.
Es wäre nett, wenn mir jemand einen Tip geben könnte. Danke im Voraus.

EDIT: Wenn ich avagnt.exe manuell neu starte, startet der Guard zunächst inaktiv in die Tray. Erst nach einem durchgeführten Update (das keine neuen Dateien fand, sondern nur überprüfte, ob was vorhanden ist) ist er wieder aktiv.

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Hallo.


Bitte das hier durcharbeiten:


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINNT\system32\directx.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'


Gruß
Sunny

Hier mal der erste Teil, der Rest kommt gleich...

Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.17.2007 no virus found
AntiVir 7.4.0.23 05.17.2007 no virus found
Authentium 4.93.8 05.16.2007 no virus found
Avast 4.7.997.0 05.16.2007 no virus found
AVG 7.5.0.467 05.16.2007 no virus found
BitDefender 7.2 05.17.2007 BehavesLike:Win32.AV-Killer
CAT-QuickHeal 9.00 05.16.2007 no virus found
ClamAV devel-20070416 05.16.2007 no virus found
DrWeb 4.33 05.17.2007 no virus found
eSafe 7.0.15.0 05.16.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3639 05.17.2007 no virus found
Ewido 4.0 05.16.2007 no virus found
FileAdvisor 1 05.17.2007 no virus found
Fortinet 2.85.0.0 05.17.2007 suspicious
F-Prot 4.3.2.48 05.16.2007 no virus found
F-Secure 6.70.13030.0 05.17.2007 no virus found
Ikarus T3.1.1.7 05.17.2007 Backdoor.Win32.Rukap
Kaspersky 4.0.2.24 05.17.2007 no virus found
McAfee 5032 05.16.2007 no virus found
Microsoft 1.2503 05.17.2007 Backdoor:Win32/Rukap.gen
NOD32v2 2272 05.17.2007 no virus found
Norman 5.80.02 05.17.2007 no virus found
Panda 9.0.0.4 05.17.2007 Suspicious file
Prevx1 V2 05.17.2007 no virus found
Sophos 4.17.0 05.16.2007 no virus found
Sunbelt 2.2.907.0 05.17.2007 no virus found
Symantec 10 05.17.2007 Trojan.Monicker
TheHacker 6.1.6.115 05.15.2007 no virus found
VBA32 3.12.0 05.16.2007 no virus found
VirusBuster 4.3.7:9 05.16.2007 no virus found
Webwasher-Gateway 6.0.1 05.17.2007 no virus found

Aditional Information
File size: 62976 bytes
MD5: cb08940306dbb5c35a32c60348c20874
SHA1: 0fd48c371168d738805a7a08402c30509e1b370f
packers: UPX
packers: UPX
packers: UPX

Kann leider, warum auch immer nicht editieren, deshalb neuer Post...

Ich habe MWAV durchlaufen lassen und es gab auch zwei oder mehr Meldungen. Allerdings war die find.zip nirgends zu finden. Eins war ein Keylogger bei einer hotkey.dll von meiner Tastatur und einer war der AV-Killer.

EDIT: Das log hab ich mittlerweile gefunden. Allerdings meldet find.bat einen Fehler bei der Spracheinstellung...

Welche Sprache hast du denn gewählt? (Doch hoffentlich deutsch oder englisch, oder?)

Hast du die aktuelle Version der find.bat? Die älteren Versionen unterstützen die deutsche Sprache nicht.

Also einfach die neueste Datei runterladen. find.bat von letzter Woche Und nochmal probieren.

lg myrtille

Ja, ich bin nach Anleitung vorgegangen, dennoch hat es leider nicht funktioniert.

Ich habe mir jetzt anders hefen können, vielleicht hilft die Vorgehensweise auch anderen Betroffenen.

1.) Start -> Ausführen -> services.msc
2.) DirectX auswähen -> Eigenschaften -> Starttyp deaktiviert (falls Dienst gestartet zusätzlich deaktivieren)
3.) Reboot
4.) c:\WINNT\system32\directx.exe löschen
5.) Reboot
6.) Neuinstallation DirectX

Die bei mir zusätzlich betroffenen Hotkey-dll von meiner Tastatur habe ich ebenfalls manuell gelöscht und dann neu installiert.

Dennoch vielen Dank für Eure schnelle, umfassende und kompetente Hilfe

So, jetzt kann ich endlich Vatertag feiern / wandern gehen

Poste der Sicherheit halber nochmals ein neues Hijacklog, ich glaube nicht das die directx.exe entfernt wurde!

Sunny

Gerne

Logfile of HijackThis v1.99.1
Scan saved at 20:37:48, on 17.05.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINNT\system32\PROMon.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\Mixer.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\WINNT\system32\RunDll32.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HotKey\hotkey.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\HotKey\OSD.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\Anwendungen\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.3.28.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {DADF44C8-9AC3-464C-8CB2-3637A1539EA2} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {3F756BC4-26CB-497E-9409-8F09C1850C80} - (no file)
O3 - Toolbar: (no name) - {4ADFE869-0C09-4F41-AD79-A8F1CFA201E8} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HotKey] C:\Programme\HotKey\hotkey.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {E2272C00-8993-4A15-B81C-2A108FF4ED38} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {E2272C00-8993-4A15-B81C-2A108FF4ED38} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15012/CTSUEng.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BF985246-09BF-11D2-BE62-006097DF57F6} (SimCityX Control) - http://simcity.ea.com/play/classic/SimCityX.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15012/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5527AD6-BCB4-48B4-94D7-E6EC4ADA6ADA}: NameServer = 194.25.2.129,194.25.2.130
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

Sieht doch gut aus, nur ein paar Schönheitskorrekturen:
(mit HijackThis fixen!)

Zitat:

O2 - BHO: (no name) - {DADF44C8-9AC3-464C-8CB2-3637A1539EA2} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {3F756BC4-26CB-497E-9409-8F09C1850C80} - (no file)
O3 - Toolbar: (no name) - {4ADFE869-0C09-4F41-AD79-A8F1CFA201E8} - (no file)

Ansonsten gibt es nichts mehr zu beanstanden!

Gruß
Sunny

Done.
Nochmals danke und schönen Abend noch

Zitat:

Zitat von Nopperman

Done.
Nochmals danke und schönen Abend noch

Daneschön...dir natürlich auch.

Gruß
Sunny