| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Es funzt kein Antivirenprogramm mehr!!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.03.2009, 18:28
| #1 |
 |  Es funzt kein Antivirenprogramm mehr!!! Hallo Leute, ich hab seit Heute ein erhebliches Problem. Ich hab mir wohl einen ziemlich lästigen Virus eingefangen. Und zwar wurde Norton Internet Security 2009 nach einem Neustart einfach deaktiviert.Nach dem ich es löscht und neu installierte wird immer immer angezeigt das "Auto Protect" Deatktiviert ist,ich kann machen was ich will,es lässt sich nicht mehr einschalten.Ein Update für die Virendatenbank geht auch nicht mehr.Hab das auch schon mit Avira Probiert,und siehe da,gleiches Problem.Antimalware lässt sich nicht starten..... Norton zeigt mir unter "Netzwerk Anzeigen" ein zweites Netzwerk an mit folgender IP 192.168.2.101 Eine Whois abfrage meint dass die nach Amsterdam reicht. Hab auch nicht auf meine HDs zugreifen können,Autorun Eater schaffte zumindest hier abhilfe. Code:
ATTFilter GMER 1.0.15.14939 - http://www.gmer.net Rootkit scan 2009-03-16 18:19:19 Windows 5.1.2600 Service Pack 3 Hier der GMER log der eine Rootkit funktion entdeckte: ---- System - GMER 1.0.15 ---- SSDT 859ECA08 ZwConnectPort SSDT 85288BA8 ZwCreateThread SSDT \??\C:\WINXP\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xAB55E2A0] SSDT 8632BD88 ZwLoadDriver SSDT F7B2B818 ZwOpenProcess SSDT F7B2B81D ZwOpenThread SSDT 861449C8 ZwResumeThread SSDT \??\C:\WINXP\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xAB55EA50] SSDT F7B2B827 ZwTerminateProcess SSDT F7B2B822 ZwWriteVirtualMemory Code 8614E818 ZwEnumerateKey Code 860E2980 ZwFlushInstructionCache Code 860DA4B0 ZwQueryValueKey Code 860BEC56 IofCallDriver Code 860CC76E IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 860BEC5B .text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 860CC773 .text ntkrnlpa.exe!ZwCallbackReturn + 2FA0 8050483C 4 Bytes JMP C0F4AB55 PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B683E 5 Bytes JMP 860E2984 PAGE ntkrnlpa.exe!ZwQueryValueKey 806219F6 5 Bytes JMP 860DA4B4 PAGE ntkrnlpa.exe!ZwEnumerateKey 80623FFE 5 Bytes JMP 8614E81C ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\Autorun Eater\oldmcdonald.exe[1432] USER32.dll!GetCursor 7E37A91B 5 Bytes JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Programme\Autorun Eater\oldmcdonald.exe[1432] USER32.dll!DrawIconEx 7E37CB84 5 Bytes JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Programme\Autorun Eater\oldmcdonald.exe[1432] USER32.dll!GetIconInfo 7E37D427 5 Bytes JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Programme\Autorun Eater\billy.exe[1440] USER32.dll!GetCursor 7E37A91B 5 Bytes JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Programme\Autorun Eater\billy.exe[1440] USER32.dll!DrawIconEx 7E37CB84 5 Bytes JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Programme\Autorun Eater\billy.exe[1440] USER32.dll!GetIconInfo 7E37D427 5 Bytes JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Dokumente und Einstellungen\****\Desktop\gmer.exe[1468] USER32.dll!GetCursor 7E37A91B 5 Bytes JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Dokumente und Einstellungen\*****\Desktop\gmer.exe[1468] USER32.dll!DrawIconEx 7E37CB84 5 Bytes JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Dokumente und Einstellungen\******\Desktop\gmer.exe[1468] USER32.dll!GetIconInfo 7E37D427 5 Bytes JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\WINXP\Explorer.EXE[1492] USER32.dll!GetCursor 7E37A91B 5 Bytes JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\WINXP\Explorer.EXE[1492] USER32.dll!DrawIconEx 7E37CB84 5 Bytes JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\WINXP\Explorer.EXE[1492] USER32.dll!GetIconInfo 7E37D427 5 Bytes JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe[2656] USER32.dll!GetCursor 7E37A91B 5 Bytes JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe[2656] USER32.dll!DrawIconEx 7E37CB84 5 Bytes JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe[2656] USER32.dll!GetIconInfo 7E37D427 5 Bytes JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\nmapapp.exe[3196] USER32.dll!GetCursor 7E37A91B 5 Bytes JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\nmapapp.exe[3196] USER32.dll!DrawIconEx 7E37CB84 5 Bytes JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\nmapapp.exe[3196] USER32.dll!GetIconInfo 7E37D427 5 Bytes JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Programme\Opera 10 Preview\opera.exe[3284] USER32.dll!GetCursor 7E37A91B 5 Bytes JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Programme\Opera 10 Preview\opera.exe[3284] USER32.dll!DrawIconEx 7E37CB84 5 Bytes JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) .text C:\Programme\Opera 10 Preview\opera.exe[3284] USER32.dll!GetIconInfo 7E37D427 5 Bytes JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ ) ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) ---- Modules - GMER 1.0.15 ---- Module \systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys (*** hidden *** ) AE778000-AE78E000 (90112 bytes) ---- Services - GMER 1.0.15 ---- Service C:\WINXP\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxpvrfvmjrrbtkusckvlsxptatrlehjbcc.dll Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxpvrfvmjrrbtkusckvlsxptatrlehjbcc.dll ---- Files - GMER 1.0.15 ---- File C:\WINXP\system32\gaopdxcounter 4 bytes File C:\WINXP\system32\gaopdxpvrfvmjrrbtkusckvlsxptatrlehjbcc.dll 19456 bytes executable File C:\WINXP\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys 44032 bytes executable <-- ROOTKIT !!! File C:\WINXP\system32\drivers\gaopdxserv.sys 40960 bytes executable File C:\WINXP\Temp\gaopdx347859 6656 bytes executable ---- EOF - GMER 1.0.15 ---- |
| Themen zu Es funzt kein Antivirenprogramm mehr!!! |
| .dll, 0 bytes, anzeige, autorun, avira, controlset002, cursor, desktop, einstellungen, explorer.exe, file, gmer.exe, internet, internet security, log, netzwerk, neustart, opera, opera.exe, programm, programme, registry, scan, security, shell32.dll, symantec, system, temp, udp, virus |
Baum-Darstellung