Hallo erstmal,
ich hab nen kleines Problem, und zwar hab ich n Virus auf meinem Rechner und weiss nicht was das für eins ist!
Das Virsus verhindert, dass ich mir Viren Software aus dem Internet laden kann und verhindert, das sich diese dann updaten lässt.
Das habe ich aber gelöst: McAfee hatte ich schon vorher installiert (und auch gekauft und registriert) dann hat das Virus angefangen die Updates zu blockieren - ich hab mir die aktuellen Virensignaturen etc von dem Rechner meines Vaters (der hat McAfee auch und das updatet noch) gezogen und meine alter überschrieben! Der Scan von McAfee hat aber das Virus trotzdem nicht gefunden geschweige denn erkannt. Daraufhin habe ich das selbe mit AntiVir probiet - auch nix!
Kann mir jemand sagen, was für ein Virus ich mir da eventuell eingefangen habe??
Da Virus macht außerdem noch folgendes: Wenn ich bei Google etwas suche und dann einem beliebigen ErgebnissLink folge, springt er auf eine föllig andere, schwachsinnige Seite !!!
(Mit HijackThis hab ich auch schon probiert einige mir unbekannte und auffällige Prozesse zu fixen... kein erfolg)
Vielen Dank schonmal im Vorraus für eure Hilfe...
Freeztyle

Hallo, und

Arbeite diese Liste ab:Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
Ab Punkt 2!

hallo 4robsen8
danke für die hinweise^^!
Ok ich habe den CCleaner ausgeführt wie in der Anleitung beschrieben.

Dann hier HJThis (Logfile):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:07:00, on 25.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\Programme\McAfee\VirusScan\McShield.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\cchservice.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cc32\webtmr.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Tray\wintmr.exe
C:\Programme\Winamp\winamp.exe
c:\PROGRA~1\mcafee\msc\mcshell.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [ChicoSys] C:\WINDOWS\system32\cc32\webtmr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CCWinTray] C:\WINDOWS\Tray\wintmr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan\McShield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 5996 bytes

Dann hier (noch mal von HJThis) die Liste der installierten Programme:

Acronis*True*Image
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 8.1.3 - Deutsch
Apache HTTP Server 2.2.3
Avira AntiVir Premium
CCleaner (remove only)
Compatibility Pack for the 2007 Office system
CyberLink PowerDVD 8
FLV Player
FLV to AVI MPEG WMV 3GP MP4 iPod Converter 3.9.1120
GameJack 6
GameSpy Arcade
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
ICQ6
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6
Kindersicherung 2008
LimeWire 4.16.6
McAfee SecurityCenter
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 1
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Language Pack - deu
Microsoft .NET Framework 3.5 Language Pack - DEU
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft National Language Support Downlevel APIs
Microsoft Office PowerPoint 2003 Template Pack 1
Microsoft Office PowerPoint 2003 Template Pack 2
Microsoft Office PowerPoint 2003 Template Pack 3
Microsoft Office Standard Edition 2003
Microsoft SQL Server Compact 3.5 Design Tools DEU
Microsoft SQL Server Compact 3.5 DEU
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Virtual PC 2007
Microsoft Visual Basic .NET Standard 2003 - Deutsch
Microsoft Visual C# 2005 Express Edition - DEU
Microsoft Visual C# 2005 Express Edition - DEU Service Pack 1 (KB926749)
Microsoft Visual C# 2008 Express Edition - DEU
Microsoft Visual C# 2008 Express Edition - DEU
Microsoft Visual C++ 2005 Redistributable
Microsoft Windows SDK for Visual Studio 2008 Express Tools for .NET Framework
Microsoft Windows SDK for Visual Studio 2008 Express Tools for Win32
Microsoft XNA Framework Redistributable 2.0
Microsoft XNA Game Studio 2.0
Microsoft XNA Game Studio 2.0
Microsoft XNA Game Studio 2.0 (ARP entry)
Microsoft XNA Game Studio 2.0 (Redists)
Microsoft XNA Game Studio 2.0 (shared components)
Microsoft XNA Game Studio 2.0 (spacewar)
Microsoft XNA Game Studio 2.0 (xnaliveproxy)
Microsoft XNA Game Studio 2.0 Documentation
Microsoft XNA Game Studio Express
Mozilla Firefox (3.0.1)
MSI Media Center Deluxe II
MSN
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB933579)
NVIDIA Drivers
NVIDIA WDM Drivers
Paint.NET v3.36
PE Builder 3.1.10a
Phase 5 HTML-Editor
PHP 5.2.8
Samsung CLP-600 Series
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950759)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
SiS Audio Driver
Skype™ 3.8
Sony Ericsson PC Suite
Star Wars Battlefront
Star Wars Jedi Knight Jedi Academy
Star Wars JK II Jedi Outcast
Synology Assistant
TeamSpeak 2 RC2
TuneUp Utilities 2006
TuneUp Utilities 2008
TuneUp Utilities 2009
Universal SCSI Controller
Update für Windows XP (KB942763)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update Service
VideoLAN VLC media player 0.8.6d
VNC 3.3.7
Winamp
Windows Imaging Component
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
WinPcap 3.0
WinRAR
XML Paper Specification Shared Components Language Pack 1.0

So und wegen des Maleware suchers ... ich hab jetzt erstmal nen schort scan durchgeführt damits schneller geht... es kommt aber (sobald er fertig ist) auch der kommpletscan logfile.
Also wie gesagt hier der schort scan logfile:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3

25.02.2009 16:22:29
maleware log short.txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 69905
Laufzeit: 9 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fb0e529a-3d2c-473e-83fe-9e56ac6cc0eb} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\coolplay (Trojan.DNSChanger) -> No action taken.
HKEY_CLASSES_ROOT\coolplay (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\gaopdxjiwyxvbr.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\gaopdxqfqquwpn.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\gaopdxtjnjnreo.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\gaopdxtrnbaoel.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\gaopdxwwkhpkbp.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\gaopdxxjlqppxm.sys (Trojan.Agent) -> No action taken.

Ach ja noch etwas zum maleware finder - als ich die gefundenen (glaub 9 elemente) löschen wollte hat er mir nen feher angezeigt. und ich konnte den maleware finder auch NICHT updaten! (das verhindert das virus genauso wie es verhindert, das sich alle meine anderen anti viren programme updaten!)

So das war ne menge Datenflut, ich hoffe mir hilft trozdem einer mit meinem Problem ...

Ok der Komplettscan vom anti Maleware programm ist abgeschlossen:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3

25.02.2009 17:21:38
maleware log kompl.txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 167906
Laufzeit: 45 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fb0e529a-3d2c-473e-83fe-9e56ac6cc0eb} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\coolplay (Trojan.DNSChanger) -> No action taken.
HKEY_CLASSES_ROOT\coolplay (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\gaopdxjiwyxvbr.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\gaopdxqfqquwpn.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\gaopdxtjnjnreo.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\gaopdxtrnbaoel.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\gaopdxwwkhpkbp.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\gaopdxxjlqppxm.sys (Trojan.Agent) -> No action taken.




Als ich aber das alles löschen wolte, hat er mir wieder einen Fehler angezeigt: "Das Programm muss beendet werden, da ein Fehler in xxx.exe aufgereten ist (anstatt xxx halt der name vom programm)", also diese windows fehlermeldung wo man dan "Problembericht senden" oder "nicht senden" klicken kann...

Zuerst solltest du dies zur Kenntnis nehmen:

Dein System ist kompromitiert und zwar vermutlich von einem Trojan.DNS Changer mit entsprechendem Rootkit.<--

Erklärung Rootkit:
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Deshalb hat deine AV auch nicht gemeckert.
Wenn diese Tarnung fällt, ist der Virus verwundbar...soweit die Theorie.

DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING

Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html

Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte:
Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst.

Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen:

Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung
Download von Avenger http://swandog46.geekstogo.com/avenger2/download.php
Download von Malwarebytes Anleitung: Malwarebytes Anti-Malware <--- dl Linkin der Erklärung
Download von GMER http://www.gmer.net/gmer.zip

Lies dir die Anweisungen zu Malwarebytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus.

Checken wir das Ganze erst mal von Anfang an. Da es sich um einen DNS Changer handelt, müssen wir zunächst die DNS Einträge deiner Internetverbindung überprüfen. Gehe wie folgt vor:

Code: Alles auswählenAufklappen

ATTFilter

Geh bitte auf START
Systemsteuerung
Netzwerk- und Internetverbindungen
Netzwerkverbindungen
Hierauf dann einen Rechtsklick und Eigenschaften anklicken. 
Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet. 
Hierauf auch einen Rechtsklick und Eigenschaften aufrufen.
         

Hier siehst du dann eine Menge Einträge. Scrolle runter bis zum Eintrag TCP/IP
drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften.

Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen?
Dein System sollte die DNS eigentlich automatisch beziehen.

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar..

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Punkt 3.
Hiernach einen Malwarebyte Scan ( Full Scan ) und das Logfile hier posten....
Lasse zum Abschluß alle Funde löschen

Punkt 4.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Punkt 5.
Wieder zurück zu deiner Internetverbindung: Stelle den Eintrag DNS automatisch beziehen wieder her, falls dies nicht mittlerweile wieder auf automatisch steht..

Punkt 6.
Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.

Weiteres kommt dann nach diesem Logfile von mir.....

ok das logfile von malewarebytes habe ich schon in einem früheren beitrag gepostet!!! (aber wie auch schon in eben diesem beitrag erwähnt tritt beim löschen von den von malewarebytes gefundenen elementen ein Fehler auf "Wollen sie einen problembericht senden ja / nein ... (weist schon was is meine^^)")
Ich habe aber trozdem die anderen von dier beschriebenen schritte durchgeführt. Und hier das logfile von gmer :

(habs bei diesem filehoster gespeichert weils zu lang zum posten war^^)
http://www.file-upload.net/download-...ggmer.log.html

OK da hammers

Ich hab den Rootkit gefunden. Ich hoffe du hast alles andere vorher gemacht, z.B. Systemwiederherstellung etc.

Du installierst jetzt bitte Avenger und rufst ihn auf

In das Scriptfeld kopierst du dann bitte folgendes ein:

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\gaopdxtrnbaoel.sys
C:\WINDOWS\system32\drivers\gaopdxqfqquwpn.sys
C:\WINDOWS\system32\drivers\gaopdxtjnjnreo.sys
C:\WINDOWS\system32\drivers\gaopdxwwkhpkbp.sys
C:\WINDOWS\system32\drivers\gaopdxxjlqppxm.sys
C:\WINDOWS\system32\gaopdxjiwyxvbr.dll
         

Hinweis: Die Datei gaopdxserv ist der rootkit, den müssen wir .

Avenger startet dann unter Umständen mehrmals, sieht wild aus, zum Teil mit schwarzem Bildschirm. Lass ihn machen, im Anschluß daran öffnet sich Windows wieder und du erhälst ein Logfile. Dieses postest du dann hier..

Hinweis: Unter C:\Windows\System32 bleibt eine Datei über mit Namen
gadopXXXcounter ( XXX ist variabel ) Die musst du von Hand löschen...

Es kann auch sein, wie in meinem Fall, dass dein AV sofort anfängt zu meckern, der Wächter wird dir einen Virus melden und ihn versuchen zu löschen. In dem Fall normal, da die Tarnung des Virus nun gefallen ist.

Du musst aufpassen, wenn du den Code oben kopierst und in das Scriptfeld wieder einfügst dass du keine Leerzeichen dazwischen hast, dass passiert hier manchmal im copy / paste. Also lass dir Zeit.

Hiernach sollten deine AV updates wieder gehen. Ich drück die Daumen, wichtig ist das wir den Lump erst mal identifiziert haben. Wie du schon sagtest, der verhindert nämlich teilweise die Ausführung von Programmen.
Falls du Avenger nicht installieren kannst, versuch den Umweg über einen Stick, entpacke ihn da und kopiere die Installation auf deinen verseuchten Rechner....

Also versuchen wirs und poste das Log hier. Anschließend update vom AntiVirus und nochmals Malwarebytes drüber. Danach die Prozedur vom CCleaner.

Und dann sehen wir weiter.....


PS: Ich habs gesehen das du das Malwarebytes bereits gepostet hattest :-)

so ich hab avenger mit dem script hantieren lassen ... sah echt hefftig aus 5x reboot und bluescreen ... ich dachte mein rechner is jetz voll im a**** ...^^
auf jeden fall hier die logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gaopdxserv.sys" found!
ImagePath: \systemroot\system32\drivers\gaopdxgphtqary.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "gaopdxserv.sys" deleted successfully.

Error: file "C:\WINDOWS\system32\drivers\gaopdxtrnbaoel.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\gaopdxtrnbaoel.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\drivers\gaopdxqfqquwpn.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\gaopdxtjnjnreo.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\gaopdxwwkhpkbp.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\gaopdxxjlqppxm.sys" deleted successfully.

Error: file "C:\WINDOWS\system32\gaopdxjiwyxvbr.dll" not found!
Deletion of file "C:\WINDOWS\system32\gaopdxjiwyxvbr.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



Aber iwie sieht das nicht danach aus als wenn der rootkit nun weg währe...




... ABER ES HAT TROTZDEM GEKLAPPT !!!
vielen dank - problem gelöst bis demnächst...

Nicht s schnell wir sind nicht fertig

Du hast Leerzeichen in deinem Log. Offensichtlich ist das passiert was ich beschrieben habe.... Du musst es nochmal ausführen. Kopiere und versuchs nochmal. Überprüfe ob du Leerzeichen drin hast, bevor wir Avenger ausführen...

Poste das Log nochmal hier. Den Rootkit hammer definitiv

....und ich brauche nochmal ein GMER Log von dir. Wir haben noch lange nicht alles

hey redwulf ich hab das jetzt noch drei mal probiert, aber ich merke nicht, das ich irgendwo lehrstellen mit eingebaut habe oder das über haubt könnte.... :-(

hm vieleicht ises ja besser den pc einfach neu aufzusetzen .. is zwar scheisse aber iwie weiss ich auch nicht mehr weiter... naja hier trotzdem der GMER log:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-26 21:28:32
Windows 5.1.2600 Service Pack 3


---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Tcpip \Device\Ip Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \FileSystem\Ntfs \Ntfs mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)

---- System - GMER 1.0.14 ----

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtCreateFile
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtMapViewOfSection
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtSetInformationProcess
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateFile [0xF5B429D9]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateProcess [0xF5B42987]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateProcessEx [0xF5B4299B]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwMapViewOfSection [0xF5B42A19]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwProtectVirtualMemory [0xF5B429ED]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetContextThread [0xF5B429C5]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetInformationProcess [0xF5B429B1]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwUnmapViewOfSection [0xF5B42A2F]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwYieldExecution [0xF5B42A03]

---- EOF - GMER 1.0.14 ----

Hast du einen vollständigen Scan gemacht?
Fall nicht, bitte nachholen. Auf Scan drücken...und nicht gleich die Flinte ins Korn schmeissen.
Poste das Log bitte wieder hier...wir haben definitiv den rootkit gekillt, müssen nur noch den Dreck rauskehren.
Einiges scheint noch im system zu sein, darum kümmern wir uns später..
Ich brauche genaueres Feedback von dir in Zukunft.... Also auf gehts oder neu aufsetzen, deine Entscheidung...

Hallo Redwulf, hallo freeztyle.

Habe das gleiche Problem wie freeztyle.
Hab mal alle Ratschläge von Redwulf abgearbeitet, nur bekomme ich keine Aktualisierung der Anti-Malware hin. Es kommt die Fehlermeldung, das kein Kontakt zum Netz besteht.
Meine Firewall blockirt das nicht, könnte das auch der mögliche Virus sein?
Hab nun die Version vom 14.1.2009 und die hat beim ersten Durchgang 9 Bedrohungen gefunden. Nach dem löschen und nochmaligem Suchen nun keine Bedrohungen mehr.
Meine Frage: komm ich über Umwegen zu einer Aktualisierung von Anti-Malware und soll ich sowieso einen neues Thema beginnen oder kann ich mit meinem gleichen Problem hier weiterschreiben.
Ich bin leider kein echter Forenprofi.

Ich danke schon mal für Eure Antworten.

LG,

Stauby

Starte ein eigenes Thema und poste alle Berichte und Logs und beschreibe all deine Probleme genau.
Sag auch seit wann sie auftreten.

und versuche das abzuarbeiten:
http://www.trojaner-board.de/69886-a...-beachten.html