startdrv- bitte helft mir beim Entfernen!!!

scherro · 04.11.2007, 17:45

Liebes Forum,

ich stecke wirklich in der Tinte

- auf meinem Firmencomputer ist scheinbar der STARTDRV-Virus, was immer das ist.

Ich VollI...iot habe mich scheinbar was aus dem Netz installiert - ab jetzt kommt beim Hochstarten folgendes Bild von Windows, wo ich gefragt werde, ob ich "startdrv.exe" aktivieren will oder nicht - ich habe bisher immer auf NEIN geclickt.

Bisher hab ich nur den Ordner C:/Temp komplett geleert, weil ich dachte, so krieg ich Ihn weg.

Anbei noch mein Log-file - ich hoffe, alles richtig gemacht zu haben.

Bitte bitte helft mir. Programmieren - falls notwendig kann ich leider nicht - sonst sind meine PC Kenntnisse so lala ;-)

Robert
(jetzt online!)

PS - so hier nun das Hijack-logfile:

-----------------BEGINN-------------------

Logfile of HijackThis v1.99.1
Scan saved at 17:40:03, on 04.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PhionVPN\phionvpn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe
C:\Programme\LANDesk\Shared Files\residentagent.exe
C:\Programme\DesktopAuthority\DaMaint.exe
C:\Programme\DesktopAuthority\DesktopAuthority.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\Programme\LANDesk\LDClient\LocalSch.EXE
C:\WINDOWS\system32\CBA\pds.exe
C:\Programme\LANDesk\LDClient\tmcsvc.exe
C:\PROGRA~1\LANDesk\LDClient\issuser.exe
C:\PROGRA~1\LANDesk\LDClient\rcgui.exe
C:\Programme\LANDesk\LDClient\xddclient.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\AT&T Global Network Client\NetCfgSv.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\SLClient.exe
C:\Programme\LANDesk\LDClient\softmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\PROGRA~1\LANDesk\LDClient\collector.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Fujitsu Siemens\SetPoint\LBTWiz.exe
C:\Programme\DesktopAuthority\rmgui.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\LANDesk\LDClient\LDIScn32.exe
C:\Programme\LANDesk\LDClient\webportal\sdclientmonitor.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\******\Desktop\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {391B174C-A6B7-C9D7-6743-01F7A0D663D6} - C:\Programme\Ggbffwpg\ufgfgrsv.dll
O2 - BHO: (no name) - {634BBAB7-3F60-4426-944F-A62B9007F67F} - C:\WINDOWS\system32\nnnljgg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech BT Wizard] LBTWiz.exe -silent
O4 - HKLM\..\Run: [Desktop Authority GUI] "C:\Programme\DesktopAuthority\rmgui.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IntelAPMClient] "C:\Programme\LANDesk\LDClient\amclient.exe" /apm /s /ro /Retry=2 /Tspan=60 /Rstart
O4 - HKLM\..\Run: [LANDeskInventoryClient] "C:\Programme\LANDesk\LDClient\LDIScn32.exe" /NTT=APAXP37:5007 /S=APAXP37 /I=HTTP://APAXP37/ldlogon/ldappl3.ldz /NOUI /rstart=60
O4 - HKLM\..\Run: [SDClientMonitor] "C:\Programme\LANDesk\LDClient\webportal\sdclientmonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [mrotazwn] rundll32.exe "C:\Programme\mrotazwn\yrenozcx.dll",Init
O4 - HKLM\..\Run: [dkxezatq] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dkxezatq.dll"
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Fujitsu Siemens\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Fujitsu Siemens\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Fujitsu Siemens\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.apa-mediawatch.at
O15 - Trusted Zone: http://conrz1.apa.lan
O15 - Trusted Zone: *.apaxprw01
O15 - Trusted Zone: *.apaxprw02
O15 - Trusted Zone: http://*.crm
O15 - Trusted Zone: http://*.crm3
O15 - Trusted Zone: http://*.picturedesk.com
O15 - Trusted Zone: http://w***w.skype.com
O15 - Trusted Zone: http://*.apa-mediawatch.at (HKLM)
O15 - Trusted Zone: *.apaxprw01 (HKLM)
O15 - Trusted Zone: *.apaxprw02 (HKLM)
O15 - Trusted Zone: http://*.crm (HKLM)
O15 - Trusted Zone: http://*.crm3 (HKLM)
O15 - Trusted Zone: http://*.picturedesk.com (HKLM)
O15 - Trusted IP range: http://10.*.*.*
O15 - Trusted IP range: http://10.1.30.1
O15 - Trusted IP range: http://10.1.30.31
O15 - Trusted IP range: http://10.1.30.32
O15 - Trusted IP range: http://10.1.30.33
O15 - Trusted IP range: http://10.1.30.34
O15 - Trusted IP range: http://10.*.*.* (HKLM)
O15 - Trusted IP range: http://10.1.30.1 (HKLM)
O15 - Trusted IP range: http://10.1.30.31 (HKLM)
O15 - Trusted IP range: http://10.1.30.32 (HKLM)
O15 - Trusted IP range: http://10.1.30.33 (HKLM)
O15 - Trusted IP range: http://10.1.30.34 (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lan.*******.at
O17 - HKLM\Software\..\Telephony: DomainName = lan.******.at
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lan.******.at
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = lan.******.at
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\BTXPPA~1.DLL
O20 - AppInit_DLLs: DAinit.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: LBTWlgn - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
O20 - Winlogon Notify: nnnljgg - C:\WINDOWS\SYSTEM32\nnnljgg.dll
O20 - Winlogon Notify: winmfu32 - C:\WINDOWS\SYSTEM32\winmfu32.dll
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe
O23 - Service: LANDesk(R) Management Agent (CBA8) - LANDesk Software, Ltd. - C:\Programme\LANDesk\Shared Files\residentagent.exe
O23 - Service: Desktop Authority Maintenance Service (DAMaint) - ScriptLogic Corporation - C:\Programme\DesktopAuthority\DaMaint.exe
O23 - Service: Desktop Authority Service (DesktopAuthority) - ScriptLogic Corporation - C:\Programme\DesktopAuthority\DesktopAuthority.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel Local Scheduler Service - LANDesk Software, Ltd. - C:\Programme\LANDesk\LDClient\LocalSch.EXE
O23 - Service: Intel PDS - LANDesk Software Ltd. - C:\WINDOWS\system32\CBA\pds.exe
O23 - Service: LANDesk Targeted Multicast (Intel Targeted Multicast) - LANDesk Software, Ltd. - C:\Programme\LANDesk\LDClient\tmcsvc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LANDesk-Fernsteuerungsdienst (ISSUSER) - LANDesk Software, Ltd. - C:\PROGRA~1\LANDesk\LDClient\issuser.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE
O23 - Service: LANDesk(R) Extended device discovery service (LDXDD) - Unknown owner - C:\Programme\LANDesk\LDClient\xddclient.exe
O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\Programme\AT&T Global Network Client\NetCfgSv.EXE
O23 - Service: OracleClientCache80 - Unknown owner - C:\ORA7\BIN\ONRSD80.EXE
O23 - Service: OracleORACLE8_HOMEClientCache - Unknown owner - C:\ORA81\BIN\ONRSD.EXE
O23 - Service: Phion VPN Service (PhionVpnD) - Phion IT GmbH - C:\Programme\PhionVPN\phionvpn.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ScriptLogic Service (SLClient) - ScriptLogic Software Corporation - C:\WINDOWS\system32\SLClient.exe
O23 - Service: LANDesk(R) Software Monitoring Service (Softmon) - LANDesk Software, Ltd. - C:\Programme\LANDesk\LDClient\softmon.exe

--------------ENDE-------------------------

**Sunny** · 04.11.2007, 18:13

Als erstes brauchen wir mehr Informationen zu deinem System, auch wenn wir hier im Forum keinen Support für Produktivsysteme geben will ich dir nur zeigen wie stark dein System infiziert ist und ein technischer Dienst oder auch du selbst eine Neuinstallation durchführen muss.

Arbeite folgende Anleitungen ab:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\Programme\mrotazwn\yrenozcx.dll
C:\WINDOWS\avp.exe
C:\WINDOWS\Temp\startdrv.exe
C:\WINDOWS\system32\nnnljgg.dll
C:\WINDOWS\SYSTEM32\igfxsrvc.dll
C:\WINDOWS\SYSTEM32\winmfu32.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dkxezatq.dll
C:\WINDOWS\system32\userinit.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Rootkitscans:

RootkitRevealer scannen lassen

* Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
* Starte in diesem Ordner RootkitReavealer.exe. Alle anderen Programme schließen.
* Starte durch Klick auf "Scan".
* Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Gmer scannen lassen

* Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
* Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.
* Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist (Wichtig: "Show all" darf nicht angehakt sein) und starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
* Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Füge das Log aus der Zwischenablage in deine Antwort hier ein.

scherro · 04.11.2007, 18:31

Hallo!

Zuerst - vielen, vielen Dank für die rasche Antwort.

Der Computer ist ein Firmenlaptop, der auch von mir privat genutzt werden kann - daher wäre es natürlich woll, wenn Ihr mir trotzdem helfen würdet, weil ich sicherlich Probleme bekomme, wenn ich hier etwas verursacht habe.

Ich bin gerade dabei, die Tests zu machen - und poste Sie, sobald ich fertig bin.

Danke,
Robert

Zitat:

Zitat von [Gc]Sunny

Als erstes brauchen wir mehr Informationen zu deinem System, auch wenn wir hier im Forum keinen Support für Produktivsysteme geben will ich dir nur zeigen wie stark dein System infiziert ist und ein technischer Dienst oder auch du selbst eine Neuinstallation durchführen muss.

Arbeite folgende Anleitungen ab:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Rootkitscans:

RootkitRevealer scannen lassen

* Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
* Starte in diesem Ordner RootkitReavealer.exe. Alle anderen Programme schließen.
* Starte durch Klick auf "Scan".
* Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Gmer scannen lassen

* Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
* Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.
* Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist (Wichtig: "Show all" darf nicht angehakt sein) und starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
* Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Füge das Log aus der Zwischenablage in deine Antwort hier ein.

startdrv- bitte helft mir beim Entfernen!!!

Plagegeister aller Art und deren Bekämpfung: startdrv- bitte helft mir beim Entfernen!!!