Hallo zusammen.
Ich wusste nicht wie ich das Thema nennen soll da ich keine Ahnung habe was ich mir eingefangen habe.
Nach einer kurzen Einleitung versuche ich das Ganze so kurz wie möglich Stichpunkartig zusammenzufassen, weil ein zusammenhängender Text wohl doch verdammt lang werden würde.


Vor zwei Wochen ist meine Kaspersky Testversion (Version 7.0.0.125) abgelaufen und habe es etwas rausgeschoben mir wieder einen Schutz zuzulegen. Gegen ein "selber Schuld" kann ich also wenig sagen.
Angefangen hat es mit der Meldung ich hätte mir einen Virus eingefangen, darauf startete ein Programm was ich nicht installiert habe, welches hier aber scheinbar bekannt ist: Antivirus XP 2008.
Da ich skeptisch bin gegenüber Programmen die sich ausführen obwohl ich sie weder gestartet noch installiert habe habe ich es geschlossen. Die Pop-ups dannach ebenfalls. Dann zeigte mein 2ter Monitor einen roten Bildschirm mit Biohazard Zeichen und Virusblablub Meldung. Den Taskmanager konnte ich auch nicht mehr öffnen; genauer gesagt ging nach kurzer Zeit gar nichts mehr.

- ich kann nur noch im abgesicherten Modus arbeiten
- daraus folgt: Kaspersky 2009 kann nicht installiert werden
- momentanes Kaspersky (7.0.0.125) kann nicht upgedated werden (Könnte nun eine 2te Trialzeit aktivieren, er kann aber keine Verbindung zum Server herstellen). Mit dem veralteten Datenbanken konnte nichts gefunden werden.
- Spybot S&D kann nicht scannen da ich es nicht updaten kann
- Jegliche Antivirus Seite (kaspersky.com besttechie.net virusscan.jotti.org etc.) ist nicht aufrufbar (und mim Firefox konnte ich mich hier nicht einloggen, mim IE gings). Andere Seite gehen Problemlos (wenn auch etwas langsam).
- Habe nirgendwo Malwarebytes mit alternativem Downloadlink finden können (daher kann ich damit nicht scannen)
- Im normalen Benutzerkonto ist kein lokales Laufwerk mehr verfügbar
- Wenn ich mit mit normalen Benutzerkonto im abgesicherten Modus einlogge geht auch nichts mehr, nur als Administrator
- Vorhin kam einmal "Computer wird in 30 Sekunden runtergefahren" shutdown -a hat zum Glück geholfen
- Die Hosts Datei ist normal
- SmitFraudFix hat nichts gebracht
- Habe nun "etwas länger" im Internet (und hier) gesucht, und bei vergleichbaren Problemen haben mich die Lösungen nicht weitergebracht. (ComboFix wollte ich nicht ohne Empfehlung benutzen)


Ich glaube das war alles, falls mir nochwas einfallen sollte trage ich es nach, falls noch Fragen offen sein sollten: nur zu.
Vielen Dank schonmal fürs lesen und ggf. auch für Hilfversuche/erfolge.


Anbei noch ein HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:45:46, on 15.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: vwsrfton - {ABA69CF4-20FB-42CE-BB6D-B6171D64B8EC} - C:\WINDOWS\vwsrfton.dll (file missing)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-746137067-2025429265-682003330-500\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-746137067-2025429265-682003330-500\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{72485CBC-43ED-43FC-AFB5-0AE6F748A706}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache - Unknown owner - C:\Programme\WAMP\Apache\Apache.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\WAMP\mysql\bin\mysqld-max-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Packard Bell Software Suite Service 1 (Service1) - Packard Bell Services - C:\Programme\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe

Hi,

ausser das hier (vwsrfton.dll wahrscheinlich VideoAccessCodec) gibt das
HJ-Log nichts her, daher (und weil DSS zur Zeit nicht will), bitte Combofix
ausführen, dabei Rechner vom Inet trennen und Kaspersky temporär ausschalten:

Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris

Habe mir ComboFix besorgt (musste allerdings eine Weile googlen bis ich eine Adresse fand die funktionierte), allerdings scheint das Programm abzustürzen.

Ich habe mir die rar Datei auf den Desktop geladen, den PC neugestartet im abgesicherten Modus (ohne Netzwerkumgebung) entpackt und gestartet.
Nachdem ich die "1" eingegeben habe machte er kurz was, dann war das Programm weg. Habe kurz gewartet und als sich nichts tat habe ich den TaskManager aufgerufen, da war nichts davon zu sehen. Also nochmal gestartet, dann kam:

Please wait
Writing '@' with data 'explorer.exe,-111' failed.

Und im nächsten Bild:

Scanning for infected filed . . .
This typically doesn't take more than 10 minutes

Scan times for badly infected machines may easily double

Dann schmierte es wieder ab, habs noch 2 mal versucht mit dem selben Resultat.


edit: falls von Bedeutung: bin als Administrator angemeldet.

Hi,

daran ist mit Sicherheit Antivirus XP 2008 nicht schuld,
da muss was schlimmeres nachgezogen worden sein...

Hast Du schon probiert den Rechner über die Systemwiederherstellung auf
einen funktionsfähigen Stand zurückzusetzen?

Hast Du einen zweiten PC mit dem eine Rettungs-CD erstellt werden kann,
bzw. hast Du eine bootfähige CD (XP/Recovery-CD)?

Da ich im HJ-Log nichts sehe (ausser das genannte), denke ich es ist ein Rootkit unterwegs...

Versuche mal das hier:
Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

chris

Zitat:

Zitat von Chris4You

Hast Du schon probiert den Rechner über die Systemwiederherstellung auf
einen funktionsfähigen Stand zurückzusetzen?

Das hab ich irgendwann mal versucht und hatte da irgendwie Probleme, seitdem hab ichs deaktiviert

Zitat:

Zitat von Chris4You

Hast Du einen zweiten PC mit dem eine Rettungs-CD erstellt werden kann,
bzw. hast Du eine bootfähige CD (XP/Recovery-CD)?

Hab meinen alten Rechner grade zum laufen gebracht
Werde da nebenbei auch mal gucken ob ich aktuelle Datenbanken für Kaspersky irgendwie auf den hier transferieren kann.

Zitat:

Zitat von Chris4You

Versuche mal das hier:
Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Da krieg ich beim starten ne Fehlermeldung wegen laden vom Treiber.
Habe mal gegooglet deswegen aber entweder war nix helfendes, oder ich bin gar nicht erst auf die Seite drauf gekommen. Habe auch mal die msvcr71.dll mit der aus dem System32 Verzeichnis getauscht (in beide Richtungen und natürlich mit Backups) aber hat auch nicht geholfen.


Vielen Dank auf jeden Fall schonmal an dich.
Wär ja gelacht wenn man das nicht hinkriegt


edit: lasse grade malware laufen

Hi,

wenn mal MAM durchkommt wäre das super, unbedingt das Log posten...

chris