Google-Umleitung, Systemwiederherstellung,

Tobir13 · 12.07.2009, 12:54

Hallo,
habe mir anscheinend einen trojaner runtergeladen, den ich trotz pctools antispyware nicht mehr wegbekomme. Die Auswirkungen sind: Bei Google oder Firefox werden die Anfragen mit falschen Seiten beantwortet, Die Systemwiederherstellung funktioniert nicht, obwohl sie aktiviert ist. Spybot wird nicht gestartet obwohl es frisch heruntergeladen wurde, die exe-datei öffnet Spybot nicht. Ich bi ziemlich verweifelt, da mein PCtools nichts findet und im Hintergrund doch noch irgend ein Programm läuft.
Ich habe hjk angehängt, es wäre schön wenn mir jeman d weiterhelfen könnte,

Danke
Tobir13

Tobir13 · 12.07.2009, 14:33

Habe noch die Hjt - datei als pdf angehängt. kann vieeleicht mal jemand drüberschauen und mir eine nTipp geben.
danke

Tobir13 · 12.07.2009, 14:58

Hallo liebe Mitstreiter

nachdem ich nun versucht habe mal das Malwarebytes Antimalware-Programm herunterzuladen und laufen zu lassen, musste ich feststellen, dass obwohl das Programm instaliert ist, es nicht startet. Bei Klicken auf das Malware-bytes Icon findet keine Reaktion statt. Dies ist genauso wenn ich Spybot Search and Destrpoy starten möchte. Was kann ich tun??

Danke
Tobir 13

Tobir13 · 12.07.2009, 18:59

Hier nochmals mein logfile, vielleicht kann mir ja doch jemand helfen und kennt sich aus, wo der Wurm steckt!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:56:05, on 12.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Programme\Ahead\InCD\InCDsrv.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\svchost.exe
H:\Programme\Gemeinsame Dateien\AAV\aavus.exe
H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
H:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\WINDOWS\system32\drivers\CDAC11BA.EXE
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\WINDOWS\fonts\services.exe
H:\Programme\Canon\MyPrinter\BJMyPrt.exe
H:\Programme\Spyware Doctor\pctsTray.exe
H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
H:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
H:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
H:\Programme\Registry Mechanic\RegMech.exe
H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
H:\Programme\ATI Technologies\ATI.ACE\CLI.exe
H:\Programme\MSI\Common\RaUI.exe
H:\Programme\MicroStar\WLANUtility\WlanUtility.exe
H:\WINDOWS\system32\rundll32.exe
H:\Programme\ATI Technologies\ATI.ACE\cli.exe
H:\Programme\Spyware Doctor\pctsAuxs.exe
H:\Programme\Spyware Doctor\pctsSvc.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\Programme\Spyware Doctor\TFEngine\TFService.exe
H:\Programme\Mozilla Firefox\firefox.exe
H:\WINDOWS\system32\WISPTIS.EXE
H:\Dokumente und Einstellungen\Mueller\Eigene Dateien\Downloads\HiJackThis(5).exe
H:\WINDOWS\system32\wbem\wmiprvse.exe

F3 - REG:win.ini: load=H:\WINDOWS\system32\msregnpl.exe
F3 - REG:win.ini: run=H:\WINDOWS\system32\msveiii.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: MessengerUpdate - {5948A52A-BA3A-49A8-BCAF-D578502BDA9D} - H:\Dokumente und Einstellungen\Mueller\Anwendungsdaten\Messenger\Drivers\MsgUpdate.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - H:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - H:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CanonMyPrinter] H:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [ArcSoft Connection Service] H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [ISTray] "H:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [AnyDVD] H:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RegistryMechanic] H:\Programme\Registry Mechanic\RegMech.exe /H
O4 - HKLM\..\Policies\Explorer\Run: [exec] H:\WINDOWS\system32\msmugpn.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1935655697-1547161642-725345543-1006\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe (User 'AnnaMarina')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Canon IJ Status Monitor Canon iP4500 series.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = H:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: MSI Wireless Utility.lnk = H:\Programme\MSI\Common\RaUI.exe
O4 - Global Startup: WlanUtility.lnk = H:\Programme\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://H:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - H:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - H:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138985749609
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169999382703
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: jpip - {B92DD248-E3D5-4A92-B311-C9B841681455} - H:\Programme\LizardTech\Express View\expressview.dll
O18 - Protocol: sidlet - {B92DD248-E3D5-4A92-B311-C9B841681455} - H:\Programme\LizardTech\Express View\expressview.dll
O23 - Service: AAV UpdateService - Unknown owner - H:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\avmailc.exe (file missing)
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\avguard.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - H:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\avesvc.exe (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - H:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Software Updater (gusvc) - Google - H:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - H:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - H:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - H:\Programme\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - H:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - H:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - H:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: ThreatFire - PC Tools - H:\Programme\Spyware Doctor\TFEngine\TFService.exe

--
End of file - 11172 bytes

Vielen dank für die Unterstützung
Tobir13

john.doe · 12.07.2009, 19:13

Hallo und

Du bist total verseucht.

1.) Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

F3 - REG:win.ini: load=H:\WINDOWS\system32\msregnpl.exe
F3 - REG:win.ini: run=H:\WINDOWS\system32\msveiii.exe
O4 - HKLM\..\Policies\Explorer\Run: [exec] H:\WINDOWS\system32\msmugpn.exe

=> Fix checked

2.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Files to delete:
H:\WINDOWS\fonts\services.exe
H:\WINDOWS\system32\msregnpl.exe
H:\WINDOWS\system32\msveiii.exe
H:\WINDOWS\system32\msmugpn.exe

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Tobir13 · 12.07.2009, 19:53

Hallo,
vielen Dank erstmal für die Hilfe. Habe die Anweisungen befolgt, hier ist die txt-Datei avenger.txt:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at H:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: could not open file "H:\windows\fonds\services.exe"
Deletion of file "H:\windows\fonds\services.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

File "H:\Windows\system32\msregnpl.exe" deleted successfully.
File "H:\windows\system32\msveiii.exe" deleted successfully.
File "H:\Windows\system32\msmugpn.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Was ist weiter zu tun? Was ist mit dem file services.exe?

Danke

Google-Umleitung, Systemwiederherstellung,

Log-Analyse und Auswertung: Google-Umleitung, Systemwiederherstellung,