Hallo erstmal !

Ich habe ein großes Problem,besser gesagt viele große Probleme.
Aber erstmal wie es angefangen hat: Ich habe irgendwas am Laptop gemacht
(Hp Pavillion dv9500) und plötzlich hat er sich selber neu gestartet.
Da kam glaub ich so ein blauer bildschirm (noch bevor alles sich gestartet hat also Desktop und so) und da stand irgendwas von Problemen und so.
Ich habe einfach Probleme Beheben oder so gemacht und dann hat es ausgesehen als alles in Ordnung wäre aber es war doch nicht so.

Die Probleme:
1) Ausführen > regedit ; funtkioniert nicht Fehlermeldung: "Das Bearbeiten der Regiestrierung wurde durch den Administrator deaktiviert."
Obwohl ich Administrator bin.(Es gibt auch sonst keinen anderen Benutzer auf dem Laptop.)

2) Der Task-Manager wurde durch den Administrator deaktiviert.
Ich mache mal das mit Ausführen > gpedit.msc ; und dann diese Sachen und wenn ich dann bei Strg+Alt+Entf Optionen bin und dann Taskmanager entfernen "Deaktiviert" mache, kann ich ihn einmal öffnen und wenn ich ich ihn
dann schließe und wieder öffnen möchte kommt wieder die Fehlermeldung:
Der Task-manager wurde durch den Adminstrator deaktiviert.

3) xxx hat ein Problem festgestellt und muss beendet werden.
Das kommt immer bei Programmmen , nicht bei allen aber bei fast allen.
z.B. bei HijackThis ich habe einmal den Test durchgeführt dann es geschlossen und wenn ich dann HijackThis starte kommt die Fehlermeldung.

3a) Wenn ich gerade was mache kommt auch die Fehlermeldung.
z.B. jetzt wie ich diesen Text hier geschrieben habe ist auch so eine Fehlermeldung von alleine gekommen.

3b) Wenn ich spiele kommt diese Fehlermeldung auch manchmal vor.
Obwohl es nicht an dem Spiel liegt weil so etwas ist noch nie bei diesen Spielen vorgekommen.

4) Mein Antivirus (Kaspersky) kann nicht mehr gestartet werden.
Damit meine ich wenn ich ihn starte kommt unten rechts im Eck das Symbol von Kaspersky wenn ich mit der Maus drauf fahre verschwindet es gleich. (Das war nie so).

5) Manche Programme lassen sich nicht deinstallieren.
Also wenn ich bei Systemsterung > Software gehe und dann deinstallieren möchte geht es bei manchen und bei manchen nicht.


Das größte Problem ist 3) weil es ziemlich oft vorkommt und auch bei Sachen wie z.B. Systemsteurung.

Hier ist das HijackThis ergebnis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:01:38, on 08.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\DeX Anticheat\dexwsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe
C:\Programme\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\PLFSetL.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\***\LOKALE~1\Temp\winctfcy.exe
C:\DOKUME~1\***\LOKALE~1\Temp\winukuo.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PLFSetL] C:\WINDOWS\PLFSetL.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [microsoftsecurity] "C:\WINDOWS\thegame.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: DeX Anticheat Monitor Service (dexwsrv) - Lambda - C:\Programme\DeX Anticheat\dexwsrv.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WUSB54GCSVC - GEMTEKS - C:\Programme\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe

--
End of file - 6912 bytes



Ich benütze Windows XP und der Laptop wurde nichtmal so lange her erst neu aufgesetzt. Als das passierte also der Neustart war mein Kaspersky Antivirus ausgeschaltet.

Ich danke schon jetzt mal für alle hilfen.


Mit freundlichen Grüßen
Addanoz

Hallo

Analysier erstmal bitte diese Dateien:


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\thegame.exe
C:\WINDOWS\PLFSetL.exe
C:\DOKUME~1\***\LOKALE~1\Temp\winctfcy.exe
C:\DOKUME~1\***\LOKALE~1\Temp\winukuo.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Nun entfernst du mit HijackThis folgende Einträge:

Mit HijackThis fixen:

• Öffne HijackThis
• Klicke auf "do a system scan only"
• Setze ein Häkchen bei:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  R3 - URLSearchHook: (no name) - - (no file)
  O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
           

• Klicke auf "fix checked"
• Starte den Rechner neu

Scanne bitte deinen Rechner danach mit diesen drei Programmen:

1.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung
• Lösche alles in der Quarantäne:

• poste das entstandene Logfile

2.)
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

3.)
Random's System Information Tool

• Lade dir die RSIT.exe von random/random herunter und speichere sie auf den Desktop.
• Starte RSIT mit einem Doppelklick.
• Klicke auf Continue um die Nutzungsbedingungen zu akzeptieren.
• Nach dem Scan werden zwei Logfiles erstellt (log.txt und info.txt)
• Poste den Inhalt der beiden Logfiles in [code]-Tags:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

Großen Dank für die AUSFÜHRLICHE beschreibung.
Ich mache das alles jetzt einmal.

Kein Problem.

Falls ein Logfile zu lang sein sollte, kannst du es bei File-Upload.net hochladen und den Downloadlink posten.

mfg

Oh nein.
Nächstes Problem: VirusTotal - Free Online Virus and Malware Scan
Will sich nicht öffnen.
Habe schon den Laptop neu gestartet und es geht trotzdem nicht.
Es laded ganze Zeit.
Habs auf einem anderen PC probiert da öffnets sich gleich.

Ok.
Dann kopiere bitte die Dateien, die du analysieren sollst in ein ZIP-Archiv und lasse es vorerst dabei bleiben.
Wenn du dies erledigt hast, mache bitte das:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
C:\WINDOWS\thegame.exe
C:\WINDOWS\PLFSetL.exe
C:\DOKUME~1\***\LOKALE~1\Temp\winctfcy.exe
C:\DOKUME~1\***\LOKALE~1\Temp\winukuo.exe
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.