Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Es funzt kein Antivirenprogramm mehr!!!

Es funzt kein Antivirenprogramm mehr!!!


Plagegeister aller Art und deren Bekämpfung: Es funzt kein Antivirenprogramm mehr!!!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 3 1 23
Alt 16.03.2009, 18:28   #1
PeterLustig
 
Es funzt kein Antivirenprogramm mehr!!! - Standard

Es funzt kein Antivirenprogramm mehr!!!


Hallo Leute,

ich hab seit Heute ein erhebliches Problem.
Ich hab mir wohl einen ziemlich lästigen Virus eingefangen.
Und zwar wurde Norton Internet Security 2009 nach einem Neustart einfach deaktiviert.Nach dem ich es löscht und neu installierte wird immer immer angezeigt das "Auto Protect" Deatktiviert ist,ich kann machen was ich will,es lässt sich nicht mehr einschalten.Ein Update für die Virendatenbank geht auch nicht mehr.Hab das auch schon mit Avira Probiert,und siehe da,gleiches Problem.Antimalware lässt sich nicht starten.....

Norton zeigt mir unter "Netzwerk Anzeigen" ein zweites Netzwerk an mit folgender IP 192.168.2.101

Eine Whois abfrage meint dass die nach Amsterdam reicht.
Hab auch nicht auf meine HDs zugreifen können,Autorun Eater schaffte zumindest hier abhilfe.

Code:
ATTFilter
GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-16 18:19:19
Windows 5.1.2600 Service Pack 3

Hier der GMER log der eine Rootkit funktion entdeckte:

---- System - GMER 1.0.15 ----

SSDT            859ECA08                                                                                                                   ZwConnectPort
SSDT            85288BA8                                                                                                                   ZwCreateThread
SSDT            \??\C:\WINXP\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                   ZwDeleteKey [0xAB55E2A0]
SSDT            8632BD88                                                                                                                   ZwLoadDriver
SSDT            F7B2B818                                                                                                                   ZwOpenProcess
SSDT            F7B2B81D                                                                                                                   ZwOpenThread
SSDT            861449C8                                                                                                                   ZwResumeThread
SSDT            \??\C:\WINXP\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                   ZwSetValueKey [0xAB55EA50]
SSDT            F7B2B827                                                                                                                   ZwTerminateProcess
SSDT            F7B2B822                                                                                                                   ZwWriteVirtualMemory

Code            8614E818                                                                                                                   ZwEnumerateKey
Code            860E2980                                                                                                                   ZwFlushInstructionCache
Code            860DA4B0                                                                                                                   ZwQueryValueKey
Code            860BEC56                                                                                                                   IofCallDriver
Code            860CC76E                                                                                                                   IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!IofCallDriver                                                                                                 804EF1A6 5 Bytes  JMP 860BEC5B 
.text           ntkrnlpa.exe!IofCompleteRequest                                                                                            804EF236 5 Bytes  JMP 860CC773 
.text           ntkrnlpa.exe!ZwCallbackReturn + 2FA0                                                                                       8050483C 4 Bytes  JMP C0F4AB55 
PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                                                                       805B683E 5 Bytes  JMP 860E2984 
PAGE            ntkrnlpa.exe!ZwQueryValueKey                                                                                               806219F6 5 Bytes  JMP 860DA4B4 
PAGE            ntkrnlpa.exe!ZwEnumerateKey                                                                                                80623FFE 5 Bytes  JMP 8614E81C 

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Autorun Eater\oldmcdonald.exe[1432] USER32.dll!GetCursor                                                      7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Autorun Eater\oldmcdonald.exe[1432] USER32.dll!DrawIconEx                                                     7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Autorun Eater\oldmcdonald.exe[1432] USER32.dll!GetIconInfo                                                    7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Autorun Eater\billy.exe[1440] USER32.dll!GetCursor                                                            7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Autorun Eater\billy.exe[1440] USER32.dll!DrawIconEx                                                           7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Autorun Eater\billy.exe[1440] USER32.dll!GetIconInfo                                                          7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Dokumente und Einstellungen\****\Desktop\gmer.exe[1468] USER32.dll!GetCursor                                   7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Dokumente und Einstellungen\*****\Desktop\gmer.exe[1468] USER32.dll!DrawIconEx                                  7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Dokumente und Einstellungen\******\Desktop\gmer.exe[1468] USER32.dll!GetIconInfo                                 7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\WINXP\Explorer.EXE[1492] USER32.dll!GetCursor                                                                           7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\WINXP\Explorer.EXE[1492] USER32.dll!DrawIconEx                                                                          7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\WINXP\Explorer.EXE[1492] USER32.dll!GetIconInfo                                                                         7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe[2656] USER32.dll!GetCursor    7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe[2656] USER32.dll!DrawIconEx   7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe[2656] USER32.dll!GetIconInfo  7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\nmapapp.exe[3196] USER32.dll!GetCursor     7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\nmapapp.exe[3196] USER32.dll!DrawIconEx    7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\nmapapp.exe[3196] USER32.dll!GetIconInfo   7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Opera 10 Preview\opera.exe[3284] USER32.dll!GetCursor                                                         7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Opera 10 Preview\opera.exe[3284] USER32.dll!DrawIconEx                                                        7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Opera 10 Preview\opera.exe[3284] USER32.dll!GetIconInfo                                                       7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress]                                          [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                                 [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]                                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]                                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress]                                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]                                 [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]                                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]                                 [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]                                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                  SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                  SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

---- Modules - GMER 1.0.15 ----

Module          \systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys (*** hidden *** )                                  AE778000-AE78E000 (90112 bytes)                                                             

---- Services - GMER 1.0.15 ----

Service         C:\WINXP\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys (*** hidden *** )                                     [SYSTEM] gaopdxserv.sys                                                                      <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys                                                                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start                                                                1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type                                                                 1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath                                                            \systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group                                                                file system
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules                                                              
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv                                                   \\?\globalroot\systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl                                                      \\?\globalroot\systemroot\system32\gaopdxpvrfvmjrrbtkusckvlsxptatrlehjbcc.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys                                                                          
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@start                                                                    1
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@type                                                                     1
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@imagepath                                                                \systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@group                                                                    file system
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules                                                                  
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxserv                                                       \\?\globalroot\systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxl                                                          \\?\globalroot\systemroot\system32\gaopdxpvrfvmjrrbtkusckvlsxptatrlehjbcc.dll

---- Files - GMER 1.0.15 ----

File            C:\WINXP\system32\gaopdxcounter                                                                                            4 bytes
File            C:\WINXP\system32\gaopdxpvrfvmjrrbtkusckvlsxptatrlehjbcc.dll                                                               19456 bytes executable
File            C:\WINXP\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys                                                       44032 bytes executable                                                                       <-- ROOTKIT !!!
File            C:\WINXP\system32\drivers\gaopdxserv.sys                                                                                   40960 bytes executable
File            C:\WINXP\Temp\gaopdx347859                                                                                                 6656 bytes executable

---- EOF - GMER 1.0.15 ----

Alt 16.03.2009, 18:29   #2
PeterLustig
 
Es funzt kein Antivirenprogramm mehr!!! - Standard

Es funzt kein Antivirenprogramm mehr!!!


Und hier noch der HijackThis Log.

Ich hoffe ihr könnt helfen

Code:
ATTFilter
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\System32\TUProgSt.exe
C:\Programme\Cyberlink\Shared Files\brs.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe
C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe
C:\Programme\Autorun Eater\oldmcdonald.exe
C:\Programme\Autorun Eater\billy.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Opera 10 Preview\opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R3 - URLSearchHook: IsoBuster Toolbar - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - C:\Programme\IsoBuster\tbIsoB.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IsoBuster Toolbar - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - C:\Programme\IsoBuster\tbIsoB.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\IPSBHO.DLL
O3 - Toolbar: IsoBuster Toolbar - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - C:\Programme\IsoBuster\tbIsoB.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll
O4 - HKLM\..\Run: [RemoteControl9] C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] C:\Programme\CyberLink\PowerDVD9\Language\Language.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Autorun Eater] C:\Programme\Autorun Eater\oldmcdonald.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236774808953
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe
__________________
Alt 16.03.2009, 18:32   #3
PeterLustig
 
Es funzt kein Antivirenprogramm mehr!!! - Standard

Es funzt kein Antivirenprogramm mehr!!!


Hab jetzt die IP gecheckt die HijackThis mir im log anzeigte.

Ist wohl der alte Ukrainische Freund

Whois Record

inetnum: 85.255.112.0 - 85.255.127.255
netname: UkrTeleGroup
descr: UkrTeleGroup Ltd.
admin-c: UA481-RIPE
tech-c: UA481-RIPE
country: UA
org: ORG-UL25-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: UKRTELE-MNT
mnt-routes: UKRTELE-MNT
mnt-domains: UKRTELE-MNT
source: RIPE # Filtered

organisation: ORG-UL25-RIPE
org-name: UkrTeleGroup Ltd.
org-type: LIR
address: UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine
phone: +380487311011
fax-no: +380487502499
mnt-ref: UKRTELE-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

person: Andrew Sotov
address: Mechnikova 58/5 65029 Odessa
abuse-mailbox:
phone: +380631508855
nic-hdl: UA481-RIPE
source: RIPE # Filtered
__________________
Alt 16.03.2009, 19:42   #4
Angel21
 
Es funzt kein Antivirenprogramm mehr!!! - Standard

Es funzt kein Antivirenprogramm mehr!!!


Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109
Zur Auflösung, du hast einen Trojan.DNSchanger drauf Bitte kein Onlinebanking, eBay und Amazon mehr betreiben, von einem sicheren PC aus die Kenn- und Passwörter ändern. Bei Auffälligkeiten die Bank informieren und das Konto sperren lassen.



Lass mal bitte Malwarebytes drüberlaufen und poste das Ergebnis hier, wenn das nicht gehen sollte dann bitte SUPERAntiSpyware versuchen.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 16.03.2009, 21:18   #5
PeterLustig
 
Es funzt kein Antivirenprogramm mehr!!! - Standard

Es funzt kein Antivirenprogramm mehr!!!


Erst einmal danke für deine Antwort

Das die DNS einstellungen verstellt waren und mein PC als "Zombie" verwendet wurde wusste ich hehe.

Ich hab jetzt mal Windows neu aufgesetzt.

HijackThis hat keine Fehler bei der Logauswertung gemeldet.

Ich hoffe dass es dass jetzt war.

Ist bekannt dass der Virus viell. auch nach einer Neuinstallation aktiv bleibt?

Grüße


Alt 16.03.2009, 21:37   #6
Angel21
 
Es funzt kein Antivirenprogramm mehr!!! - Standard

Es funzt kein Antivirenprogramm mehr!!!


Es ist sogar bekannt, dass der Virus einige Einstellungen im Router ändert. Fälle mit neuem Einstellen des Routers ist auch bekannt - bei dem Problem mit DNSchanger.

DNSchanger und Silentbanker sind die neusten Waffen für Betrüger um irgendwie an Daten ranzukommen. Die sind sehr beliebt geworden gg


Poste mal ein neues HijackThis Logfile bitte
__________________
--> Es funzt kein Antivirenprogramm mehr!!!

Alt 16.03.2009, 21:47   #7
PeterLustig
 
Es funzt kein Antivirenprogramm mehr!!! - Standard

Es funzt kein Antivirenprogramm mehr!!!


Habe jetzt noch mal Malwarebytes durchlaufen lassen,zeigt mir keine Fehler an.Aber Norton Internet Security 2009 entfernt immer und immer wieder einen "Trojan Horse" Virus.

Hier der HijackThis Log.

Code:
ATTFilter
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\WINXP\SOUNDMAN.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe
C:\Programme\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe
C:\Programme\Opera 10 Preview\opera.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\16.1.0.33\IPSBHO.DLL
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CE98B9D-0707-42C6-B224-7F80CF2F4E43}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

Alt 16.03.2009, 21:51   #8
Angel21
 
Es funzt kein Antivirenprogramm mehr!!! - Standard

Es funzt kein Antivirenprogramm mehr!!!


Kannst du vielleicht zeigen welchen Trojan Horse er genau meint?

By the Way: Norton würde ich deinstallieren und Avira würde ich nehmen auf Agressive Einstellung. http://www.trojaner-board.de/54192-a...tellungen.html
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 16.03.2009, 21:54   #9
PeterLustig
 
Es funzt kein Antivirenprogramm mehr!!! - Standard

Es funzt kein Antivirenprogramm mehr!!!


Zitat:
Zitat von Angel21 Beitrag anzeigen
Kannst du vielleicht zeigen welchen Trojan Horse er genau meint?

By the Way: Norton würde ich deinstallieren und Avira würde ich nehmen auf Agressive Einstellung. http://www.trojaner-board.de/54192-a...tellungen.html
Also Norton zeigt leider nur "Trojan Horse" an,ansonsten leider keine genaue Bezeichnung usw.

Ich hab aber leider schon Geld für Norton ausgegeben,deswegen möchte ich es jetzt auch nutzen ;-)

BTW: Danke dass du dich so nett um mich kümmerst hehe

Alt 16.03.2009, 22:01   #10
Angel21
 
Es funzt kein Antivirenprogramm mehr!!! - Standard

Es funzt kein Antivirenprogramm mehr!!!


Bitte keine Ursache .......Hast du kein Pfad? Zeigt dir Norton keinen Pfad an?

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CE98B9D-0707-42C6-B224-7F80CF2F4E43}: NameServer = 192.168.2.1
Beziehst du die IPs automatisch oder per fester Einstellung?
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 16.03.2009, 22:08   #11
PeterLustig
 
Es funzt kein Antivirenprogramm mehr!!! - Standard

Es funzt kein Antivirenprogramm mehr!!!


Leider zeigt mir Norton keinen Pfad an,hab da schon alles durchgecheckt weils mich selbst interessiert hat

Hab ne feste IP ja

Alt 16.03.2009, 22:11   #12
Angel21
 
Es funzt kein Antivirenprogramm mehr!!! - Standard

Es funzt kein Antivirenprogramm mehr!!!


Ich würde die IP automatisch beziehen lassen



Kannst du mir mal das Logfile (Report) von Norton schicken? also hier posten? Das interessiert mich auch xD
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!
Geändert von Angel21 (16.03.2009 um 22:17 Uhr)

Alt 16.03.2009, 22:18   #13
PeterLustig
 
Es funzt kein Antivirenprogramm mehr!!! - Standard

Es funzt kein Antivirenprogramm mehr!!!


Wo finde ich denn die Logdatei?Kann nur den Verlauf speichern (Ist eine Datei mit mcf als Endung).

Kannst du was damit Anfangen?

Grüße

Alt 16.03.2009, 22:19   #14
Angel21
 
Es funzt kein Antivirenprogramm mehr!!! - Standard

Es funzt kein Antivirenprogramm mehr!!!


Dann speicher den Verlauf und setze ihn hier rein. Ich weiß nicht, ich habe ein leicht Ungutes Gefühl bei der Sache. Evtl. mal einen Rootkitscan machen lassen und bitte auf jeden Fall CCleaner drüberlaufen lassen.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 16.03.2009, 22:21   #15
a5cl3p1o5
 
Es funzt kein Antivirenprogramm mehr!!! - Standard

Es funzt kein Antivirenprogramm mehr!!!


Hallo PeterLustig,

ich kenne leider Norton nicht in der neuen Version. Gibt es bei Dir die Möglichkeit unter Statistik -> Logfiles anzeigen verschiedene Optionen zu markieren und dann zu exportieren?

Wenn ja, bitte Logfile posten. Wenn nein, nutze bitte den Kaspersky online scanner, damit wir uns ein Bild von Deinem System (und mögliche Infektionen machen können).

Grüße
a5cl3p1o5
__________________
a5cl3p1o5, ehemals 45cl3p1u5

Antwort
Seite 1 von 3 1 23

Themen zu Es funzt kein Antivirenprogramm mehr!!!
.dll, 0 bytes, anzeige, autorun, avira, controlset002, cursor, desktop, einstellungen, explorer.exe, file, gmer.exe, internet, internet security, log, netzwerk, neustart, opera, opera.exe, programm, programme, registry, scan, security, shell32.dll, symantec, system, temp, udp, virus


« system.exe Lastet CPU zu 80%+ aus !! BITTE UM HILFE | mein google "gehackt" ? »


Ähnliche Themen: Es funzt kein Antivirenprogramm mehr!!!


  1. Windows 7: Total infiziert! Kein Antivirenprogramm, Antimalwareprogramm findet etwas!
    Log-Analyse und Auswertung - 09.09.2015 (10)
  2. Nach Instalation von Iminet,kein Netzwerk mehr (kein internet mehr) Goggle Chrome und IE lassen sich nicht öffnen(weißer Bildschirm)
    Plagegeister aller Art und deren Bekämpfung - 27.12.2014 (1)
  3. Antivirenprogramm findet 18 Viren - nach Upgrade des Programms wird jedoch kein Virus mehr gefunden
    Plagegeister aller Art und deren Bekämpfung - 10.10.2013 (13)
  4. Programme gehen nicht mehr, kein Antivirenprogramm mehr
    Log-Analyse und Auswertung - 26.10.2012 (11)
  5. Rechner funzt nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 08.08.2012 (8)
  6. Keine Anmeldung bei Windows mehr möglich. Passwort feld fehlt. Kein Internet mehr. Kein Admin mehr.
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (5)
  7. Laptop lässt mich kein Antivirenprogramm installieren - Installation fehlgeschlagen!
    Antiviren-, Firewall- und andere Schutzprogramme - 26.12.2011 (6)
  8. laut Hijack This habe ich keine Firewall und kein Antivirenprogramm ...
    Antiviren-, Firewall- und andere Schutzprogramme - 09.12.2009 (1)
  9. Vista. Kann kein Antivirenprogramm meh installieren
    Antiviren-, Firewall- und andere Schutzprogramme - 18.08.2009 (10)
  10. Kann kein Antivirenprogramm wie Avira oder Avast installieren
    Log-Analyse und Auswertung - 04.08.2008 (3)
  11. Taskkill funzt net mehr
    Alles rund um Windows - 23.07.2008 (14)
  12. internet explorer funzt net mehr.....
    Log-Analyse und Auswertung - 10.06.2008 (1)
  13. DRINGEND!!!kann kein Antivirenprogramm mehr installieren
    Log-Analyse und Auswertung - 04.09.2007 (3)
  14. Kein WHP funzt mehr ! !
    Alles rund um Windows - 02.03.2007 (1)
  15. Hilfe, nix funzt mehr
    Plagegeister aller Art und deren Bekämpfung - 20.04.2005 (3)
  16. Netzwerkdrucker funzt nicht mehr
    Alles rund um Windows - 29.10.2004 (3)
  17. internet funzt nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 26.12.2003 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Es funzt kein Antivirenprogramm mehr!!! - Hallo Leute, ich hab seit Heute ein erhebliches Problem. Ich hab mir wohl einen ziemlich lästigen Virus eingefangen. Und zwar wurde Norton Internet Security 2009 nach einem Neustart einfach deaktiviert.Nach - Es funzt kein Antivirenprogramm mehr!!!...
Archiv
Du betrachtest: Es funzt kein Antivirenprogramm mehr!!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131