| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Antivirenprogramme gelöscht/ausgehebelt, Bluescreen, Festplatte unbrauchbar!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.02.2009, 14:27
| #1 |
 |  Antivirenprogramme gelöscht/ausgehebelt, Bluescreen, Festplatte unbrauchbar! Hallo! Mit meinem PC ist vor Kurzem etwas sehr Merkwürdiges passiert, ich bin mir nicht sicher, was dahinter steckt, hoffe Ihr könnt mir helfen. Da verschiedene Sachen auf einmal passiert sind, konnte ich über Google leider keine Tipps in Erfahrung bringen. Ich hoffe, die Überschrift ist einigermaßen aussagekräftig. Ich habe zwei HDDs im PC, eine zum Booten und für Programme, eine zur Speicherung. Ich gehe über einen Router ins Netz, kein Wlan. Mein System ist XP Prof. SP2. Was geschah...: Nach ein paar Stunden kam ich zu meinem PC und stellte fest, dass mehrere Fehlermeldungen auf dem Desktop erschienen waren. - Symantec AV meldete, dass die Virendefinitionsdateien gelöscht wurden. - PG2 meldete, dass die .exe nicht gefunden werden kann. - Mehrere Systemfehlermeldungen hintereinander, dass Daten nicht auf die HDD geschrieben werden konnten. Auf dem Desktop war kein Icon mehr, der PC konnte nur noch per Starttaste ausgeschaltet werden. Bei mehreren Neustarts hintereinander stürzte der PC, teilweise mit Bluescreen, wieder ab und meine zweite HDD, die nur als Speicher und nicht zum Booten oder für Programme dient, wurde nicht mehr erkannt. Ich habe die Festplatte dann vom System getrennt, der PC fuhr wieder hoch, lief aber vorerst instabil. Ich wollte mich dann auf die Fehlersuche begeben und stellte folgendes fest: - Jedes Google-Suchergebnis verwies auf einen Link, der nicht funktionierte. - Der PG2-Programmordner war komplett verschwunden, die .exe wurde lt. Log-file von dem Programm Killbox, dass ich ebenfalls auf der Boot-HDD (C:\) liegen habe, gelöscht. - Mein mwav-escan-Programm war nicht mehr registriert, sodass ich damit keine Fehler mehr beheben konnte. Meine AV-Programme wurden also entweder gelöscht oder ausgehebelt, Google war nicht zu gebrauchen, die zweite Festplatte wurde nicht mehr erkannt. Killbox löscht normalerweise keine .exe von alleine und Symantecs Virendefinitionsdateien werden eigentlich auch nicht einfach so gelöscht. Deshalb vermute ich einen Schädling o.ä. Ein anderes Problem liegt darin, dass der PC zwischendurch mal Probleme mit der Stromversorgung hatte, ein Stecker war etwas wackelig. Es ist nicht hundertprozentig auszuschließen, dass die HDD aufgrund von Stromschwankungen einen Schaden bekommen hat (Partition beschädigt o.ä.), ist in Verbindung mit den anderen Ereignissen aber vielleicht eher unwahrscheinlich. Ich habe die HDD mittlerweile über einen USB-Adapter ans System angeschlossen, sie wird aber nicht erkannt, weder im Bios, noch in der Datenträgerverwaltung oder von einem HDD-Tool. Ich habe dann einmal HijackThis laufen lassen, es wurden keine Fehler entdeckt. Dies ist das Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:57:45, on 22.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Seagate\DiscWizard\DiscWizardMonitor.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Seagate\DiscWizard\TimounterMonitor.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\UMonit.exe C:\Programme\PeerGuardian2\pg2.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Seagate\SeaTools for Windows\SeaToolsforWindows.exe C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://securityresponse.symantec.com/avcenter/fix_homepage R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [DiscWizardMonitor.exe] C:\Programme\Seagate\DiscWizard\DiscWizardMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Seagate\DiscWizard\TimounterMonitor.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\UMonit.exe O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe -- End of file - 7959 bytes Danach habe ich Malwarebytes laufen lassen: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1794 Windows 5.1.2600 Service Pack 2 22.02.2009 20:33:40 mbam-log-2009-02-22 (20-33-40).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 120729 Laufzeit: 20 minute(s), 6 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot. C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\systems.txt (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot. Habe die Dateien dann gelöscht, danach hat Malwarebytes keine Fehler mehr gefunden. Heute habe ich noch CC laufen lassen, es wurden 293,5MB gelöscht, in der Registry gab es einige Fehler. Lt. CC ist jetzt alles clean, auch Malwarebytes hat bei einem erneuten Scan nichts gefunden. Google bzw. der Browser funktionieren wieder. Kann mir jemand erklären, was da gemacht wurde und ob die HDD evtl. noch zu retten ist? Kann eine HDD durch einen Virus derart beschädigt werden, oder hat sie evtl. doch einen Kurzschluss o.ä. abbekommen? Ist das System jetzt wieder sicher oder sollte ich noch etwas unternehmen? Vielen Dank, Steve. |
| Themen zu Antivirenprogramme gelöscht/ausgehebelt, Bluescreen, Festplatte unbrauchbar! |
| antivirus, auf einmal, bho, bluescree, bluescreen, booten, browser, cdburnerxp, datenträgerverwaltung, desktop, fake.dropped.malware, festplatte, firefox, google, gservice, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, nicht gefunden, nicht sicher, plug-in, problem, registrierungsschlüssel, registry, rundll, schädling, senden, software, solution, symantec, system, windows, windows xp, wlan. |
Baum-Darstellung