Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 25.01.2009, 02:35   #1
SigurRos
 
Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Standard

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt



Hallo!

AntiVir lässt sich nicht mehr aktualisieren,ebenso Windows. Eine Systemwiederherstellung ist nicht mehr möglich, die Systemwiederherstellungspunkte werden angezeigt, aber die Herstellung lässt sich nicht starten. Drücke ich auf den "Weiter"-Knopf passiert nichts. ich habe es auch im abgesicherten Modus bereits versucht.

Ich hatte den Zlob.DNSChanger auf dem Rechner und mit Hilfe von ExterminateIt händisch beseitigt.

Und nun weiss ich nicht mehr weiter.

Beste Grüße
Thomas

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:29:09, on 25.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ThreatFire\TFTray.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\aborange DayDisplay\DayDisplay.exe
C:\Programme\PureText\PureText.exe
C:\Programme\A Note\A Note.exe
C:\Programme\PhraseExpress\phraseexpress.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ThreatFire\TFService.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\CNAB3RPK.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - (no file)
O2 - BHO: Ziepod One-Click IE Helper - {57A30D1E-08B9-4EF4-B273-AAEA1C234A5B} - (no file)
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - (no file)
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [aborange DayDisplay] C:\Programme\aborange DayDisplay\DayDisplay.exe
O4 - HKCU\..\Run: [PureText] "C:\Programme\PureText\PureText.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: A Note.lnk = C:\Programme\A Note\A Note.exe
O4 - Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe
O4 - Startup: Verknüpfung mit DayDisplay.lnk = C:\Programme\aborange DayDisplay\DayDisplay.exe
O4 - Startup: Verknüpfung mit meOme.lnk = ?
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer = 194.97.173.124 194.97.173.125
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

SmitFraudFix v2.391

Scan done at 2:04:01,14, 25.01.2009
Run from C:\Dokumente und Einstellungen\ICH\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 194.97.173.124
DNS Server Search Order: 194.97.173.125

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125

»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 194.97.173.124
DNS Server Search Order: 194.97.173.125

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125

Alt 25.01.2009, 08:16   #2
SigurRos
 
Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Standard

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt



Ergänzung:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.0.0.1 localhost
127.0.0.1 localhost
__________________


Alt 25.01.2009, 08:33   #3
john.doe
 
Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Standard

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt



Hallo und

Lebst du in bzw. Nähe Kiel und ist dein Provider Freenet?

Seit wann hast du Probleme?


1.) Deinstalliere folgende Programme (Start=>Systemsteuerung=>Programme):
Code:
ATTFilter
ZoneAlarm (Schrott)
Alles von Google (Datenkrake)
Ad-Aware (Schrott)
Unlocker
         
2.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - (no file)
O2 - BHO: Ziepod One-Click IE Helper - {57A30D1E-08B9-4EF4-B273-AAEA1C234A5B} - (no file)
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file)
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - (no file)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - (no file)
O4 - Startup: Verknüpfung mit meOme.lnk = ?
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
         
=> Fix checked

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
HTML-Code:
[code] Hier das Logfile rein! [/code]
3.) GMER - Rootkit Detection
  • Lade GMER von hier
  • entpacke es auf den Dektop
  • Doppelklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas
__________________

Alt 25.01.2009, 09:02   #4
SigurRos
 
Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Standard

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt



Zitat:
Zitat von john.doe Beitrag anzeigen
Hallo und

Lebst du in bzw. Nähe Kiel und ist dein Provider Freenet?

Seit wann hast du Probleme?

Hallo Andreas, vielen dank für deine freundliche Begrüßung und die schnelle Antwort.

Ich wohne in Tübingen und mein Provider ist meome.

Die Probleme dürften so seit dem 14. Januar bestehen. Damals wurde mein AntiVir das letzte mal umgedatet.

Was empfiehlst du mir an Stelle von Zone Alarm.

Werde am Nachmittag mal deine Tipps durch führen.

Beste Grüße
Thomas

Alt 25.01.2009, 09:12   #5
john.doe
 
Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Standard

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt



Zitat:
Ich wohne in Tübingen und mein Provider ist meome.
Dann kannst du den O17 Eintrag auch noch fixen.
Zitat:
Was empfiehlst du mir an Stelle von Zone Alarm.
Keine PFW, die sind sinnfrei. Wenn überhaupt, dann die von Windows.

Einige Links zum Thema PFW:
Lutz Donnerhacke: de.comp.security.firewall FAQ
http://www.fefe.de/pffaq/halbesicherheit.txt
Personal Firewall Security FAQ
Wie Personal Firewalls ausgetrickst werden können
http://www.stud.tu-ilmenau.de/~traenk/zaweg.htm
PC Flank: Make sure you're protected on all sides.
heise online - 13.05.04 - Kritische Sicherheitslücken in Symantecs Desktop Firewalls
pfargumente
CCC | FAQ - Sicherheit

ciao, andreas


Alt 25.01.2009, 09:15   #6
StefanH
 
Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Standard

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt



Hallo Thomas,

ich hatte genau das gleiche Prob.

Habe mir über Chip.de von AVG den Atnivirus geladen, direkt über die AVG-Seite wird bei dir nicht gehen, weil vermutlich die seiten blockiert werden.

Antivir deinstalliert, und AVG installiert. Mit zweiten PC (nicht infiziert) über die AVG-Homepage die akutelle Datenbank geladen und auf CD gebrannt. AVG über Tools aus verzeichnis aktualisieren auf den neuesten Stand gebracht.

Wenn Du dann dein System scannst wird er erstmal nichts finden, erst nachdem du den Rechner neu Startest. Es ist der Generic10.xxxx

Falls du keinen zweiten PC zum laden der aktuellen Datenbank hast, kann ich sie dir per Email schicken.

Gruß

Stefan

Alt 25.01.2009, 18:47   #7
SigurRos
 
Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Standard

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt



@Andreas:

Vielen Dank für deine Hilfe.
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:32:43, on 25.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ThreatFire\TFService.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ThreatFire\TFTray.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\PureText\PureText.exe
C:\Programme\A Note\A Note.exe
C:\Programme\PhraseExpress\phraseexpress.exe
C:\Programme\aborange DayDisplay\DayDisplay.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\CNAB3RPK.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\AVG\AVG8\avgtray.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\ICH\Desktop\gmer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [aborange DayDisplay] C:\Programme\aborange DayDisplay\DayDisplay.exe
O4 - HKCU\..\Run: [PureText] "C:\Programme\PureText\PureText.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: A Note.lnk = C:\Programme\A Note\A Note.exe
O4 - Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe
O4 - Startup: Verknüpfung mit DayDisplay.lnk = C:\Programme\aborange DayDisplay\DayDisplay.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer = 194.97.173.124 194.97.173.125
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
         

Alt 25.01.2009, 18:58   #8
SigurRos
 
Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Standard

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt



@Stefan:
Danke für deinen Hinweis auf den AVG Anti-Virus. Das herunter laden hat sogar funktioniert. Werde nun mal den Scan starten.

Alt 25.01.2009, 19:07   #9
SigurRos
 
Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Standard

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt



Ergebnis von Gmer:
http://www.file-upload.net/download-1407252/Gmer.txt.html

Alt 25.01.2009, 19:14   #10
john.doe
 
Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Standard

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt



Du solltest nicht auf jemanden hören, der selbst mit Rootkits infiziert ist. ZoneAlarm ist noch nicht deinstalliert. Hole das nach. Das Zeuch versaut alle Logs.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Drivers to delete:
gaopdxserv.sys
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Alt 25.01.2009, 19:29   #11
SigurRos
 
Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Standard

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt



Ich bekomme die Meldung:
Error: Invalid script. A valid script must began with a command directive. Aborting execution.

Alt 25.01.2009, 19:34   #12
john.doe
 
Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Standard

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt



Versuche es mit diesem hier:
Code:
ATTFilter
Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\gaopdxkdqomlem.sys
C:\WINDOWS\system32\gaopdxxbqekxyj.dll
         
ciao, andreas

Alt 25.01.2009, 19:43   #13
SigurRos
 
Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Standard

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt



So jetzt ging es:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gaopdxserv.sys" found!
ImagePath:  \systemroot\system32\drivers\gaopdxkdqomlem.sys 
Start Type:  4 (Disabled)

Rootkit scan completed.

Driver "gaopdxserv.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\gaopdxkdqomlem.sys" deleted successfully.
File "C:\WINDOWS\system32\gaopdxxbqekxyj.dll" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Alt 25.01.2009, 19:45   #14
SigurRos
 
Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Standard

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt



Ich versuchte gerade den Virenscanner upzudaten, das geht jetzt wieder!

Alt 25.01.2009, 19:59   #15
john.doe
 
Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Standard

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt



Glaube nur nicht, dass wir fertig sind. Der schlimmste Bösewicht ist gekillt, jetzt kommen die anderen.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
HTML-Code:
[code] Hier das Logfile rein! [/code]
1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

3.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

4.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

Ich werde erst Freitag wieder on sein. Du hast aber genug zu tun.

ciao, andreas

Antwort

Themen zu Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt
abgesicherten modus, ad-aware, antivirus, avira, bho, dateien, desktop, dll, einstellungen, explorer, firefox, google, gservice, helper, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, locker, microsoft, mozilla, plug-in, programme, rundll, scan, starten., tuneup.defrag, windows xp, zlob.dnschanger




Ähnliche Themen: Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt


  1. Lappi mit Vista kein Windowsupdate mehr
    Plagegeister aller Art und deren Bekämpfung - 15.06.2015 (3)
  2. Notebook hinunter gefallen, kein hochfahren möglich-was ist defekt?
    Netzwerk und Hardware - 11.10.2013 (6)
  3. Windows 7 Systemwiederherstellung defekt , Taskmanger wird nicht gefunden
    Alles rund um Windows - 23.03.2013 (1)
  4. BKA-Virus: Kein Internet, kein abgesicherter Modus, keine Systemwiederherstellung möglich
    Plagegeister aller Art und deren Bekämpfung - 14.11.2012 (40)
  5. Windows XP, Internetexplorer, kein zugriff auf Windowsupdate
    Log-Analyse und Auswertung - 06.07.2012 (15)
  6. Kein Internet nach Systemwiederherstellung
    Alles rund um Windows - 08.02.2011 (24)
  7. kein WindowsUpdate möglich - diverse SVCHOST Fehler
    Log-Analyse und Auswertung - 03.11.2010 (4)
  8. Sich oeffnende Browserfenster, kein Windowsupdate, sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 08.08.2010 (25)
  9. kein Zugriff auf Windowsupdate-Seiten nach Trojanerbefall
    Plagegeister aller Art und deren Bekämpfung - 15.05.2010 (14)
  10. kein Zugriff windowsupdate-seite; keine lokalen hdu in festplattenverwaltung
    Plagegeister aller Art und deren Bekämpfung - 13.05.2010 (2)
  11. Kein Windowsupdate möglich
    Plagegeister aller Art und deren Bekämpfung - 14.02.2010 (13)
  12. Kein Virenscanner- und Windowsupdate möglich
    Log-Analyse und Auswertung - 09.07.2009 (30)
  13. kein windowsupdate möglich, malware startet nicht, ad-aware findet nichts
    Log-Analyse und Auswertung - 11.06.2009 (0)
  14. Kein Windowsupdate möglich
    Plagegeister aller Art und deren Bekämpfung - 30.05.2009 (17)
  15. Kein Virenscanner, keine Firewall, kein HijackThis... Nix mehr!
    Plagegeister aller Art und deren Bekämpfung - 28.04.2009 (4)
  16. Weiterleitung bei Google, kein Windowsupdate möglich
    Log-Analyse und Auswertung - 31.03.2009 (8)
  17. KEIN Virenscanner funktioniert mehr!
    Antiviren-, Firewall- und andere Schutzprogramme - 07.07.2006 (12)

Zum Thema Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt - Hallo! AntiVir lässt sich nicht mehr aktualisieren,ebenso Windows. Eine Systemwiederherstellung ist nicht mehr möglich, die Systemwiederherstellungspunkte werden angezeigt, aber die Herstellung lässt sich nicht starten. Drücke ich auf den "Weiter"-Knopf - Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt...
Archiv
Du betrachtest: Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.