Hallo. Bin mal wieder da...

Beim Computer meines Kollegen geht das Internet nicht mehr und auch ansonsten ist das Ding seiner Ansicht nach langsamer geworden. Er hat wohl gestern eine Meldung von Windows bekommen, dass sein Computer aus irgendeinem Grund "isoliert" wird (leider hat er keine Ahnung von Computern und daher der Meldung auch keine besondere Aufmerksamkeit geschenkt).

Naja jedenfalls habe ich ein HiiJack Scan gemacht und dies ist das Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:49, on 17.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
M:\****\Trojaner-Tools\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AVK Client] "C:\Programme\G DATA\AVKClient\AVKCl.exe" /GUI
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {485D813E-EE26-4DF8-9FAF-DEDF2885306E} (NSHelp Class) - http://server2003/connectcomputer/nshelp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://**.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117177643765
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = b***.local
O17 - HKLM\Software\..\Telephony: DomainName = b***.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = b***.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = b***.local
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: G DATA AntiVirus Client (AntiVirusKit Client) - G DATA Software AG - C:\Programme\G DATA\AVKClient\AvkCl.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AVKClient\AVKWCtl.exe
O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\1\HPZipm12.exe (file missing)

--
End of file - 4568 bytes
         

Hab nach vielem Hin- und Her, abgesichertem Modus, Umbennen usw. auch Malwarebytes zum Laufen bekommen und das Ergebnis was alles andere als gut:

Code: Alles auswählenAufklappen

ATTFilter

Quickscan:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3

17.04.2009 12:09:53
mbam-log-2009-04-17 (12-09-34).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 90169
Laufzeit: 3 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
\\?\globalroot\systemroot\system32\UACdkepjpkb.dll (Trojan.TDSS) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
\\?\globalroot\systemroot\system32\UACdkepjpkb.dll (Trojan.TDSS) -> No action taken.
C:\Windows\system32\UACdhsulhho.dll (Trojan.TDSS) -> No action taken.
C:\Windows\system32\UACdkepjpkb.dll (Trojan.TDSS) -> No action taken.
C:\Windows\system32\UACsdesbivn.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> No action taken.
C:\Windows\system32\UAClmkoogoe.dll (Trojan.Agent) -> No action taken.
C:\Windows\system32\UACnkdpwppq.dll (Trojan.Agent) -> No action taken.
C:\Windows\system32\UACovrjomkb.log (Trojan.Agent) -> No action taken.
C:\Windows\system32\UACrvxfumqf.dll (Trojan.Agent) -> No action taken.
C:\Windows\system32\UACwakbirjx.dat (Trojan.Agent) -> No action taken.
C:\Windows\system32\drivers\UACbqaqpqjv.sys (Trojan.Agent) -> No action taken.
         

Ein ausführlicher Scan wird derzeit ausgeführt. Hab bisher noch nichts mit den infizierten Dateien gemacht. Warte lieber auf Anweisung.

Achja, vor dem hiJack habe ich CCleaner drüber laufen lassen.

Das war's schon.
Vielen dank für eure Mühe im Voraus!

Gruß,
Gerrit.

Wenn der vollständige Scan fertig ist, klicke auf "Ausgewählte entfernen".
Lade Dir danach Gmer runter, und führe einen Scan aus, schicke uns danach das Log.

Sorry für die blöde Frage, aber ich hab den Punkt "entfernen" dort nirgends gefunden. Kannst du mir sagen, wo der ist?

Hier ist eine Anleitung: Anleitung

Weiter unten steht doch etwas mit "Ausgewälte entfernen." Wenn Du das Bild in der Anleitung siehst, wirst Du sicher wissen was ich meine.

Ok, hab's gefunden. *vordiestirnschlag*

Er konnte einige Dateien nicht entfernen und hat vorgeschlagen, den Computer neu zu starten wegen Löschen beim Neustart.

Hier ist das Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3

17.04.2009 13:56:57
mbam-log-2009-04-17 (13-56-57).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 133947
Laufzeit: 23 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
\\?\globalroot\systemroot\system32\UACdkepjpkb.dll (Trojan.TDSS) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
\\?\globalroot\systemroot\system32\UACdkepjpkb.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Windows\system32\UACdhsulhho.dll (Trojan.TDSS) -> Delete on reboot.
C:\Windows\system32\UACdkepjpkb.dll (Trojan.TDSS) -> Delete on reboot.
C:\Windows\system32\UACsdesbivn.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\UAClmkoogoe.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\UACnkdpwppq.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\UACovrjomkb.log (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\UACrvxfumqf.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\UACwakbirjx.dat (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\drivers\UACbqaqpqjv.sys (Trojan.Agent) -> Delete on reboot.
         

Danke schonmal für deine Hilfe!!!

Hast Du einen Neustart gemacht?

Ja, habe ich.

Gut.

Lade Dir nun


Superantispyware herunter, und mache einen Scan. Danach schicke uns einen Log

Kann ich das Programm nach der Aktualisierung auf einen anderen PC ziehen? Das Problem ist: Ich lade die Programme hier herunter und führe sie auf dem PC des Kollegen aus, da ja sein Internet zur Zeit nicht geht.

Kopiere mal den ganzen Ordner unter:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\SUPERAntiSpyware
         

auf seinen PC, NACH dem Update.

Dann speichere den Ordner bei ihm unter

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\*Hier den Ordner hin kopieren*
         

Müsste funktionieren.

Hi, ich kann den Scan jetzt nicht mehr zu Ende führen da ich weg muss. Bin auch erst Montag wieder online und kann dann weitermachen. Hilfst du mir dann wieder?

Nochmals danke und schönes Wochenende!

Werd ich machen.


Virenfreie Tage!

Guten Morgen!

SuperAntiSpyware hat nichts gefunden, das Log sieht daher so aus:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 04/20/2009 bei 09:14 AM

Version der Applikation : 4.26.1000

Version der Kern-Datenbank : 3843
Version der Spur-Datenbank : 1798

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:47:32

Gescannte Speicherelemente  : 355
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 4388
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 46371
Erfasste Datei-Elemente   : 0
         

Einen Scan im abgesicherten Modus habe ich nicht mehr gemacht (sind hier bei der Arbeit, daher setze ich den PC nur wenn unbedingt notwendig außer Gefecht )

Was nun?

(Internet geht immer noch nicht)

Nachtrag: der Internet-Explorer zeigt, egal welche Adresse ich eingebe, immer "Adresse ungültig" oder "Webseite kann nicht angezeigt werden".

So, Problem (teilweise) selbst gelöst.

Sicherheitscenter war deaktiviert -> habe ich wieder aktiviert.

Outlook war auf offline -> auf online gestellt.

Bei den TCP/IP Einstellungen fehlte die DNS-Adresse -> eingetragen.

Outlook und IE gehen also wieder.

Soll ich noch irgendwas machen?

Es darf auch gerne jemand anderes sich damit beschäftigen