Hallöchen Gemeinde...

also die letzten jahre konnte ich mich aktiv und erfolgreich gegen sämtliche plagegeister wehren! aber gestern muss ich mir was eingefangen habe, was ich anscheinend net wegbekomme!

nach dem ausführen einer keygen.exe (ja ich weiß, ich depp ) meldete mein Avast Pro alarm! Ok, dachte ich mir...löscht du mal die Bedrohung und machst n Scan! Gesagt getan. Doch mein Avast löschte wohl mehr Datein als es eig. sollte...und schwupps fing der rechner an zu zicken! Dh, ich konnte nicht mehr online Daddeln (COD 4-->Corrupt File) Tasktleiste war verschwunden und ich konnte nur noch via Taskmanager agieren bis hin zu, dass er mich beim Neustart nach einem Passwort für meine Konto fragt (hatte nie eins erstellt). Es wurde mein Catalyst Control Center ausser Kraft gesetzt, also es konte nicht mehr geladen werden!

Nun, habe dann einige wichtige Daten gesichert auf meine 2te Partition und Windoof neu gemacht! Nach dem einigermaßen wieder richtig installierten PC und eines erneuten Neustarts zwecks Softwareinstallation, fuhr er net mehr hoch...er hing inna Schleife fest! Immer bis zu nem Gewissen punkt hochgefahren und wieder runter, wieder hoch usw.

also Windoof nochmal neuinstalliert! auch wieder alles ok..aber jezze will er schonwieder n Passwort für mein Konto! Avast hat auch ein Wurm gemeldet in meinem Temp Ordner! Ich gehe mal davon aus, dass dieser Plagegeist nicht richtig von meinem System runter ist...Hab auch schon A-Squared drüber laufen lassen...ehr niedrige Risiken!

So, dazu die Vorgeschichte! Ich wollte eig. mit nem Logfile vllt geklärt bekommen, was eig. los is mit meiner Maschine hier

Logfile of HijackThis v1.99.1
Scan saved at 18:18:11, on 15.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\QIP Infium psYNovA-Edition\infium.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Tino\LOKALE~1\Temp\Rar$EX00.203\HijackThis.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1237135601250
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3C24247-7A7A-479D-919D-A29834809CDA}: NameServer = 217.237.151.51 217.237.149.205
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)


für JEDE hilfe bin ich echt Dankbar

Hallo White_Rebel


lade dir mal die mbr.exe runter führe das Programm mit Adminrechten aus.

Poste das Ergebnis.

So, hab wieder das problem, dass ich nur noch durch den Taskmanager agieren kann! Ich gehe mal davon aus, dass meine "gesaved" datein ebenfalls befallen sind! Ich muss wohl oder übel die gesamte Festplatte räumen...ich hoffe das Dauert nich allzulang

danach meld ich mich nochmal...super Sonntag abend

bis nachher

EDIT: hab jezze nach wiederholtem Neustart ne Taskleiste...ich lad mir mal eben dein Proggi da runter und poste sofort! vielleicht kann ich einer nochmaligen neuinstall. umgehen!

geht der Abgesicherte Modus?
darin kannste auch Scannen.Lade dir auch mal das Avira Anti Root kit runter
und auch Malware Antibytes kannste mal Probieren.
Wenn du damit scannst auch bitte die Log-Datei hier Posten.


MfG

Ghost1975

Sorry für Doppelpost! aber das stand nur in der Textdatei (kenn das proggi ja nicht)


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


EDIT: hi Ghost, habe ehrlich gesagt bammel davor, nochma neuzustarten! dann geht wieder nix! gestern hab ich bestimmt 50 mal neui gebootet und es bleib dabei, dass ich nur den Taskmanager hatte! jezze ist es wohl zufall! aber ich lad mir auch ma die o.g proggis von dir

Der abgesicherte Modus war nur für den Fall das du beim normalboot nicht reinkommst

ah ok, hätte ich auch selber drauf kommen können

naja bin zz etwas durchn wind...ist besch*** wenn der rechner net läuft, brauch den zum arbeiten!

also der erste Scan mit dem AntiRootKit ist durch

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started Sonntag, 15. März 2009 - 19:39:05
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 179.96 GB
- Working disk free size : 167.91 GB (93 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/48685
Registry items: 0/133297
Processes: 0/39
Scan time: 00:06:19
--------------------------------------------------------------------------------------------------------
Active processes:
- ggbginys.exe (PID 49480) (Avira AntiRootkit Tool - Beta)
- IEXPLORE.EXE (PID 105256)
- System (PID 4)
- smss.exe (PID 952)
- csrss.exe (PID 1004)
- winlogon.exe (PID 1036)
- services.exe (PID 1080)
- lsass.exe (PID 1096)
- ati2evxx.exe (PID 1264)
- svchost.exe (PID 1284)
- svchost.exe (PID 1352)
- svchost.exe (PID 1520)
- svchost.exe (PID 1672)
- svchost.exe (PID 1708)
- ati2evxx.exe (PID 1860)
- spoolsv.exe (PID 1928)
- ndetect.exe (PID 1420)
- explorer.exe (PID 1444)
- RTHDCPL.EXE (PID 2032)
- reader_s.exe (PID 144)
- ctfmon.exe (PID 148)
- a2service.exe (PID 2000)
- PnkBstrA.exe (PID 380)
- firefox.exe (PID 1172)
- svchost.exe (PID 360)
- svchost.exe (PID 368)
- svchost.exe (PID 324)
- svchost.exe (PID 468)
- svchost.exe (PID 1144)
- svchost.exe (PID 3616)
- cmd.exe (PID 21196)
- services.exe (PID 21724)
- wuauclt.exe (PID 32208)
- infium.exe (PID 4448)
- Xfire.exe (PID 4616)
- reader_s.exe (PID 7260)
- msnmsgr.exe (PID 25000)
- mbam.exe (PID 54220)
- avirarkd.exe (PID 55328)
========================================================================================================
- Scan finished Sonntag, 15. März 2009 - 19:45:24
========================================================================================================

so...ich muss sagen...WTF!

hab soviele stücke auf A-Squared gehalten und dann sehe ich das hier...unfassbar!


Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1852
Windows 5.1.2600 Service Pack 2

15.03.2009 19:54:09
mbam-log-2009-03-15 (19-54-04).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 101292
Laufzeit: 15 minute(s), 53 second(s)

Infizierte Speicherprozesse: 4
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicherprozesse:
C:\WINDOWS\services.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ndetect.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Tino\reader_s.exe (Trojan.Agent) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\restore (Rootkit.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ndetect.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ndetect.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ndetect.exe,C:\WINDOWS\system32\regwiz.exe,) Good: (userinit.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Hijack.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Tino\reader_s.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\services.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\reader_s.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\drivers\protect.sys (Trojan.NtRootkit.Agent) -> No action taken.
C:\WINDOWS\system32\ndetect.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\3.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\5.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\7.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\8.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\BN1.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\BN8.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\services.ex_ (Heuristics.Reserved.Word.Exploit) -> No action taken.


so, wie soll ich vorgehen? alles löschen?!

Hi White_Rebel

das ging ja alles sehr schnell mit deinen Log Dateien.
Ja lasse das was Malwarebytes gefunden hat Löschen.


Sorry muß jetzt weg zur Arbeit,schaue mir das Morgen noch mal an.


MfG

Ghost1975

wollt nur noch kurz auf die HijackThis Version hinweisen:

Zitat:

Logfile of HijackThis v1.99.1

soll ich nochma n log posten mit der aktuellen version?

ja kannst du machen, aber eigentlich wird hier am Board kein Support geleistet wenn jemand illegale Software (Keygen und Cracks) ausführt

es war mir definitiv auch ne lehre...wollte eig. nur ein key für mein Textproggi...nie wieder! sone sch***

jedenfalls konnte der malwarebyte nicht alles löschen...es blieben immernoch einige übrig, die gerade das wohl verursachen (keine taskleiste, ATI treiber blocken und sogar, wenn ich neuen antivirensoftware installieren will, schmiert er ab)

dein Helfer ist grad nicht da und du bist da. Mh...ich mach dann mal weiter.

SUPERAntiSpyware

[img=http://img60.imageshack.us/img60/8849/superantispyware11pu3.th.gif]

• Downloade SASW >>hier<<
• Installiere das SUPERAntiSpyware für alle Benutzer mit den vorgegebenen Installationseinstellungen
• Starte es und klicke auf "Check for Updates...". Nachdem dem Update erscheint ein Protokollfenster, schließe es mit "close"
• Klicke im Hauptmenü auf "Preferences", wähle den Reiter "General and Startup", bei dem Kästchen "Start SUPERAntiSpyware when Windows starts" sollte kein Haken sein
• Wähle nun den Reiter "Scanning Control" und setze Haken bei:
  
• Close browseres before scanning
  
• Scan for tracking cookies
  
• Resolve Links/Shortcuts during scan (.Ink)
  
• Scan Alternate Data Streams
  
• Use Kernel Direct File Access (recommended)
  
• Use Kernel Direct Registry Access (recommended)
  
• Use Direct Disk Access (recommended)
  
• Display scan option in Explorer context (right-click) menu

• Klicke im Hauptmenü den Button "Scan your Computer..."
• Wähle in der Scan Location alle Festplatten und externe Datenträger aus
• Klicke auf "Perform Complete Scan" und gehe auf "weiter"
• Achte darauf dass die Funde in der Box markiert sind, danach klicke auf "weiter"
• Das Log findest du unter "Preferences..." => "Statistics/Logs" => klicke das Log an => "View Log..."
• Poste nun das Log

Gmer

• Donwloade Gmer
• Entpacke es auf dem Desktop
• Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
• Schließe bitte alle Anwendungen, auch das Antivirusprogramm
• Starte den Scan mit GMER mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
• Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
• Beende GMER mit "OK"

ok danke dir!

also der Pc blockt nun wohl sämtliche Virenprogramme die ich install. will...der kappt sofort die i-net verbindung und startet die Programme erst garnicht! nur mein avast, was ich gesichtert hatte gestern...langsam glaube ich, dass es damit zusammenhängt.

ich probiere mal deine o.g schritte aus...ich hoffe das es klappt...danke dir vielmals, wirklich!

bis "gleich"

EDIT: also es sind wohl 3 Datein, die das alles verursachen! reader_s.exe, Adobe.Bat und Makhem.exe! kann die manuell auch nicht löschen