Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Viren blockieren Programme und verändern Browser

Viren blockieren Programme und verändern Browser


Plagegeister aller Art und deren Bekämpfung: Viren blockieren Programme und verändern Browser

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 3 1 23
Alt 16.07.2009, 22:25   #1
Soultaker
 
Viren blockieren Programme und verändern Browser - Standard

Viren blockieren Programme und verändern Browser


Hallo , seid gestern abend habe ich mehrere VIren auf meinem PC die wahllos Programme abstürzen lassen und meine Browser verändert haben.. Google ich zum Beispiel nach Wikipedia , und drücke auf den Eintrag , öffnet sich ein neues Fenster und schickt mich auf eine seite die nichts damit zu tun hat.
Außerdem funktionieren mehrere Programme nicht mehr (vorallem Antiviren Programme) , ich habe Antivir durchlaufen lassen und habe per Logfile auswertung von HijackThis mehrere Viren erkennen und löschen können , dennoch sind nicht alle Probleme behoben , ich bin für jede Tipps und Hilfe dankbar , hier mein Logfile nach den Virenprogrammdurchläufen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:23:52, on 16.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\programme\steam\steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\websrvx\websrvx.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://admin/proxy.pac
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\smss.exe
O2 - BHO: C:\WINDOWS\system32\gsf83iujid.dll - {d76ab2a1-00f3-42bd-f434-00bbc39c8953} - C:\WINDOWS\system32\gsf83iujid.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programme\Pinnacle\Shared Files\\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ,C:\DOKUME~1\Jannis\LOKALE~1\Temp\38556711638mmx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: awtuvUNH - C:\WINDOWS\
O22 - SharedTaskScheduler: rtasgvfu76ew8ndkfno94 - {D76AB2A1-00F3-42BD-F434-00BBC39C8953} - C:\WINDOWS\system32\gsf83iujid.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Lavasoft Ad-Aware Service aawserviceAlerter (aawserviceAlerter) - Unknown owner - C:\WINDOWS\TEMP\fujpunetbf.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: websrvx - Unknown owner - C:\Programme\websrvx\websrvx.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 9090 bytes

Alt 17.07.2009, 09:25   #2
Chris4You
 
Viren blockieren Programme und verändern Browser - Standard

Viren blockieren Programme und verändern Browser


Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\Programme\websrvx\websrvx.exe
C:\DOKUME~1\Jannis\LOKALE~1\Temp\38556711638mmx.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

websrvx.exe: http://www.prevx.com/filenames/X439997076255466111-X1/WEBSRVX.EXE.html

Wenn beide Files erkannt wurden:
Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
ATTFilter
registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtuvUNH

Registry values to replace with dummy: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 
 
Files to delete:
C:\Programme\websrvx\websrvx.exe
C:\DOKUME~1\Jannis\LOKALE~1\Temp\38556711638mmx.dll

Folders to delete:
C:\DOKUME~1\Jannis\LOKALE~1\Temp
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O2 - BHO: C:\WINDOWS\system32\gsf83iujid.dll - {d76ab2a1-00f3-42bd-f434-00bbc39c8953} - C:\WINDOWS\system32\gsf83iujid.dll (file missing)
O20 - AppInit_DLLs: ,C:\DOKUME~1\Jannis\LOKALE~1\Temp\38556711638mmx.d ll
O22 - SharedTaskScheduler: rtasgvfu76ew8ndkfno94 - {D76AB2A1-00F3-42BD-F434-00BBC39C8953} - C:\WINDOWS\system32\gsf83iujid.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service aawserviceAlerter (aawserviceAlerter) - Unknown owner - C:\WINDOWS\TEMP\fujpunetbf.exe (file missing)
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: websrvx - Unknown owner - C:\Programme\websrvx\websrvx.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\
Danach noch bitte MAM und Gmer:
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Chris
__________________

__________________
Alt 17.07.2009, 10:17   #3
Soultaker
 
Viren blockieren Programme und verändern Browser - Standard

Viren blockieren Programme und verändern Browser


Also Habe die erste Datei Hochladen , können , die zweite hat wohl Adaware (was gestern plötzlich wieder funktionierte ) noch gelöscht

Datei a258080b001c13c7324000c36e665000ad8694fe.EXE empfangen 2009.07.17 01:09:28 (UTC)
Status: Beendet
Ergebnis: 16/40 (40.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.17 Trojan.Win32.Koobface!IK
AhnLab-V3 5.0.0.2 2009.07.16 -
AntiVir 7.9.0.220 2009.07.17 BDS/Backdoor.Gen
Antiy-AVL 2.0.3.7 2009.07.16 -
Authentium 5.1.2.4 2009.07.17 -
Avast 4.8.1335.0 2009.07.16 -
AVG 8.5.0.387 2009.07.16 -
BitDefender 7.2 2009.07.17 Generic.Malware.Fdld.44895330
CAT-QuickHeal 10.00 2009.07.16 Win32.Backdoor.Phdet.gen!A.3
ClamAV 0.94.1 2009.07.17 -
Comodo 1670 2009.07.17 -
DrWeb 5.0.0.12182 2009.07.17 -
eSafe 7.0.17.0 2009.07.16 Suspicious File
eTrust-Vet 31.6.6617 2009.07.15 -
F-Prot 4.4.4.56 2009.07.17 -
F-Secure 8.0.14470.0 2009.07.16 Net-Worm:W32/Koobface.gen!F
Fortinet 3.120.0.0 2009.07.16 -
GData 19 2009.07.17 -
Ikarus T3.1.1.64.0 2009.07.17 Trojan.Win32.Koobface
Jiangmin 11.0.800 2009.07.16 -
K7AntiVirus 7.10.794 2009.07.16 -
McAfee 5678 2009.07.16 W32/Koobface.worm
McAfee+Artemis 5678 2009.07.16 W32/Koobface.worm
McAfee-GW-Edition 6.8.5 2009.07.17 Heuristic.LooksLike.Win32.Agent2.B
Microsoft 1.4803 2009.07.17 Trojan:Win32/Koobface.gen!B
NOD32 4251 2009.07.16 probably a variant of Win32/TrojanProxy.Small.NCJ
Norman 2009.07.16 -
nProtect 2009.1.8.0 2009.07.16 -
Panda 10.0.0.14 2009.07.16 Suspicious file
PCTools 4.4.2.0 2009.07.16 -
Prevx 3.0 2009.07.17 -
Rising 21.38.34.00 2009.07.16 -
Sophos 4.43.0 2009.07.17 Mal/TinyDL-T
Sunbelt 3.2.1858.2 2009.07.16 -
Symantec 1.4.4.12 2009.07.17 Suspicious.MH690.A
TheHacker 6.3.4.3.369 2009.07.16 -
TrendMicro 8.950.0.1094 2009.07.16 PAK_Generic.001
VBA32 3.12.10.8 2009.07.16 -
ViRobot 2009.7.16.1839 2009.07.16 -
VirusBuster 4.6.5.0 2009.07.16 -
weitere Informationen
File size: 12800 bytes
MD5 : d74beda6e598d849b747d8ad0537f707
SHA1 : def40a47438b6da3c3549d9033eff12d720119a7
SHA256: ee942c9b1df4929e42847b3d0300828e3edc5d3966ae1c59354dc5dd6b2484c1
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x8800
timedatestamp.....: 0x4A5EFDA9 (Thu Jul 16 12:15:05 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6000 0x3000 0x2A00 7.84 e9170b538aba7c5c6b888b501164f598
UPX2 0x9000 0x1000 0x400 2.89 d74405875e88fe17429844b9ff4143fc

( 9 imports )

> advapi32.dll: SetServiceStatus
> iphlpapi.dll: IcmpSendEcho
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> msvcp60.dll: _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB
> msvcrt.dll: exit
> ole32.dll: CoInitialize
> oleaut32.dll: -
> user32.dll: PeekMessageA
> ws2_32.dll: -

( 0 exports )
TrID : File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
ssdeep: 192:vPXPzOdr49i293QxngkU6Tc6Hzz1h7UqFyfMM+ilvMjNp05inRuB:vPXKdrwL9mgTEDzTLQD+dRq5iA
PEiD : -
packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX
packers (F-Prot): UPX
RDS : NSRL Reference Data Set

Hier kommt der Avenger Logfile
Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "a6nbgx3m" found!
Start Type: 3 (Manual)

Rootkit scan completed.

File "C:\Programme\websrvx\websrvx.exe" deleted successfully.

Error: file "C:\DOKUME~1\Jannis\LOKALE~1\Temp\38556711638mmx.dll" not found!
Deletion of file "C:\DOKUME~1\Jannis\LOKALE~1\Temp\38556711638mmx.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\DOKUME~1\Jannis\LOKALE~1\Tem" not found!
Deletion of folder "C:\DOKUME~1\Jannis\LOKALE~1\Tem" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtuvUNH" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.


Das Anti Malware programm ließ sich nicht installieren , wenn ich auf den setup drücke passiert nichts :/ ?
__________________
Alt 17.07.2009, 10:19   #4
Soultaker
 
Viren blockieren Programme und verändern Browser - Standard

Viren blockieren Programme und verändern Browser


Der Folgende Teil ist iwie viel zu lang ich teile ihn deswegen , hoffe es ist nicht schlimm


GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-17 11:07:06
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

Code 8A2C32A6 ZwEnumerateKey
Code 8A2C25F6 ZwFlushInstructionCache
Code 8A2C34E5 IofCallDriver
Code 8A2736ED IofCompleteRequest
Code 8A2C0AFD ZwSaveKey
Code 8A2BCF0D ZwSaveKeyEx

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 5a52f23e.sys
Device \FileSystem\Ntfs \Ntfs 8A5A11F8
Device \Driver\Tcpip \Device\Ip 5a52f23e.sys
Device \Driver\Tcpip \Device\Tcp 5a52f23e.sys
Device \Driver\Tcpip \Device\Udp 5a52f23e.sys
Device \Driver\Tcpip \Device\RawIp 5a52f23e.sys

---- EOF - GMER 1.0.15 ----


Und hier der Scan von Gmer;

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-17 11:15:52
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

INT 0x62 ? 8A5A2BF8
INT 0x64 ? 8A0E4F00
INT 0x74 ? 8A0E4F00
INT 0x82 ? 8A5A2BF8
INT 0x84 ? 8A0E4F00
INT 0xB4 ? 8A5A2BF8
INT 0xB4 ? 8A5A2BF8
INT 0xB4 ? 8A0E4F00
INT 0xB4 ? 8A0E4F00
INT 0xB4 ? 8A5A2BF8

Code 8A2C32A6 ZwEnumerateKey
Code 8A2C25F6 ZwFlushInstructionCache
Code 8A2C34E5 IofCallDriver
Code 8A2736ED IofCompleteRequest
Code 8A2C0AFD ZwSaveKey
Code 8A2BCF0D ZwSaveKeyEx

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 804EF1A0 5 Bytes JMP 8A2C34EA
.text ntkrnlpa.exe!IofCompleteRequest 804EF230 5 Bytes JMP 8A2736F2
.text ntkrnlpa.exe!ZwSaveKey 80500D38 5 Bytes JMP 8A2C0B02
.text ntkrnlpa.exe!ZwSaveKeyEx 80500D4C 5 Bytes JMP 8A2BCF12
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B5642 5 Bytes JMP 8A2C25FA
PAGE ntkrnlpa.exe!ZwEnumerateKey 80622DBE 5 Bytes JMP 8A2C32AA
? spai.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B944D62C 5 Bytes JMP 8A0E44E0
? C:\WINDOWS\System32\drivers\5a52f23e.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[340] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00E3000A
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!InternetCloseHandle 441EDA59 5 Bytes JMP 13509A58
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!HttpOpenRequestA 441F4341 5 Bytes JMP 135082BC
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!InternetConnectA 441F499A 5 Bytes JMP 13508164
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!InternetReadFile 441FABB4 5 Bytes JMP 13509858
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!InternetQueryDataAvailable 441FADF5 5 Bytes JMP 13509648
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!InternetOpenA 441FC865 5 Bytes JMP 13508114
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!HttpSendRequestA 441FCD40 5 Bytes JMP 13508C5C
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!HttpSendRequestW 44210825 5 Bytes JMP 13509058
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!InternetReadFileExW 44212AAA 5 Bytes JMP 13509A08
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!InternetReadFileExA 44212AE2 5 Bytes JMP 135099B8
.text C:\WINDOWS\Explorer.EXE[340] SHELL32.dll!SHFileOperationW 7E71FDEE 5 Bytes JMP 01261102 C:\Programme\Unlocker\UnlockerHook.dll
.text C:\WINDOWS\system32\spoolsv.exe[408] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00DA000A
.text C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE[496] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 018A000A
.text C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE[496] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 018B000A
.text C:\Programme\Logitech\SetPoint\SetPoint.exe[504] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 01A1000A
.text C:\Programme\Logitech\SetPoint\SetPoint.exe[504] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 01A2000A
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[540] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 018C000A
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[540] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 018D000A
.text C:\WINDOWS\system32\winlogon.exe[844] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A0000A
.text C:\WINDOWS\system32\winlogon.exe[844] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A1000A
.text C:\WINDOWS\system32\services.exe[892] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B3000A
.text C:\WINDOWS\system32\lsass.exe[904] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B3000A
.text C:\WINDOWS\ehome\ehtray.exe[976] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0175000A
.text C:\WINDOWS\ehome\ehtray.exe[976] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0176000A
.text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[984] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 018F000A
.text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[984] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0190000A
.text C:\WINDOWS\system32\Ati2evxx.exe[1076] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00F3000A
.text C:\WINDOWS\system32\Ati2evxx.exe[1076] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00F4000A
.text C:\Programme\Unlocker\UnlockerAssistant.exe[1160] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 018D000A
.text C:\Programme\Unlocker\UnlockerAssistant.exe[1160] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 018E000A
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[1312] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 018D000A
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[1312] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 018E000A
.text C:\WINDOWS\RTHDCPL.EXE[1332] ntdll.dll!LdrLoadDll 7C9261CA 3 Bytes JMP 0293000A
.text C:\WINDOWS\RTHDCPL.EXE[1332] ntdll.dll!LdrLoadDll + 4 7C9261CE 1 Byte [86]
.text C:\WINDOWS\RTHDCPL.EXE[1332] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0294000A
.text C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe[1376] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0199000A
.text C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe[1376] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 019A000A
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1412] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 01A8000A
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1412] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 01A9000A
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[1584] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00C1000A
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[1584] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00C2000A
.text C:\WINDOWS\system32\Ati2evxx.exe[1600] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00F3000A
.text C:\WINDOWS\system32\Ati2evxx.exe[1600] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00F4000A
.text C:\Programme\Skype\Phone\Skype.exe[1620] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 02DE000A
.text C:\WINDOWS\system32\ctfmon.exe[1720] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 017B000A
.text C:\WINDOWS\system32\ctfmon.exe[1720] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 017C000A
.text C:\Programme\Spybot - Search & Destroy\TeaTimer.exe[1752] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 01A8000A
.text C:\Programme\Spybot - Search & Destroy\TeaTimer.exe[1752] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 01A9000A
.text C:\Programme\DAEMON Tools Lite\daemon.exe[1784] ntdll.dll!LdrLoadDll 7C9261CA 3 Bytes JMP 0193000A
.text C:\Programme\DAEMON Tools Lite\daemon.exe[1784] ntdll.dll!LdrLoadDll + 4 7C9261CE 1 Byte [85]
.text C:\Programme\DAEMON Tools Lite\daemon.exe[1784] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0194000A
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[1904] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 014A000A
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[1904] kernel32.dll!SetUnhandledExceptionFilter 7C84467D 5 Bytes JMP 0056DBBD C:\Programme\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1920] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 011D000A
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1920] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 011E000A
.text C:\programme\steam\steam.exe[1932] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 01A1000A
.text C:\Programme\ICQ6.5\ICQ.exe[2036] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 01AA000A
.text C:\Dokumente und Einstellungen\Jannis\Desktop\0qpliu8s.exe[2112] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0196000A
.text C:\Dokumente und Einstellungen\Jannis\Desktop\0qpliu8s.exe[2112] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0197000A
.text C:\WINDOWS\system32\NOTEPAD.EXE[2204] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 017B000A
.text C:\WINDOWS\system32\NOTEPAD.EXE[2204] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 017C000A
.text C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe[2400] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00C5000A
.text C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe[2400] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00C6000A
.text C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe[2628] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0141000A
.text C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe[2628] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0142000A
.text C:\WINDOWS\system32\PnkBstrA.exe[2644] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00C5000A
.text C:\Programme\Windows Media Player\wmplayer.exe[2804] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0174000A
.text C:\WINDOWS\system32\svchost.exe[2860] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 006B000A
.text C:\WINDOWS\ehome\mcrdsvc.exe[3004] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00AC000A
.text C:\Programme\Skype\Plugin Manager\skypePM.exe[3476] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 01AD000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3884] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 01E1000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3884] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 01E4000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3884] WS2_32.dll!connect 71A1406A 5 Bytes JMP 016F1C20
.text C:\Programme\Mozilla Firefox\firefox.exe[3884] WS2_32.dll!send 71A1428A 5 Bytes JMP 016F1C00
.text C:\Programme\Mozilla Firefox\firefox.exe[3884] WS2_32.dll!gethostbyname 71A14FD4 5 Bytes JMP 1350A9AC
.text C:\Programme\Mozilla Firefox\firefox.exe[3884] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 016F1DE0
.text C:\Dokumente und Einstellungen\Jannis\Desktop\mbam-setup.exe[4040] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 018B000A
.text C:\Dokumente und Einstellungen\Jannis\Desktop\mbam-setup.exe[4040] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 018C000A
.text C:\WINDOWS\System32\alg.exe[4092] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00B5000A
.text C:\WINDOWS\System32\alg.exe[4092] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B6000A

Alt 17.07.2009, 10:22   #5
Soultaker
 
Viren blockieren Programme und verändern Browser - Standard

Viren blockieren Programme und verändern Browser


---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EA9040] spai.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EA913C] spai.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EA90BE] spai.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EA97FC] spai.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EA96D2] spai.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 5a52f23e.sys
Device \FileSystem\Ntfs \Ntfs 8A5A11F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{2A94106D-4DFB-4664-BFC9-B43570C64661} 8A1B24D8
Device \Driver\usbstor \Device\0000008e 8A0BB500
Device \Driver\usbstor \Device\0000008e sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\Tcpip \Device\Ip 5a52f23e.sys
Device \Driver\usbuhci \Device\USBPDO-0 8A2472F8
Device \Driver\usbuhci \Device\USBPDO-1 8A2472F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A6121F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A6121F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A6121F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A6121F8
Device \Driver\usbuhci \Device\USBPDO-2 8A2472F8
Device \Driver\usbuhci \Device\USBPDO-3 8A2472F8
Device \Driver\usbehci \Device\USBPDO-4 8A161500
Device \Driver\Tcpip \Device\Tcp 5a52f23e.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A5A31F8
Device \Driver\PCI_PNP7498 \Device\00000059 spai.sys
Device \Driver\Cdrom \Device\CdRom0 8A0881F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A1B24D8
Device \Driver\usbstor \Device\00000091 8A0BB500
Device \Driver\usbstor \Device\00000091 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\NetBT \Device\NetbiosSmb 8A1B24D8
Device \Driver\usbstor \Device\00000092 8A0BB500
Device \Driver\usbstor \Device\00000092 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000093 8A0BB500
Device \Driver\usbstor \Device\00000093 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000094 8A0BB500
Device \Driver\usbstor \Device\00000094 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000095 8A0BB500
Device \Driver\usbstor \Device\00000095 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\Tcpip \Device\Udp 5a52f23e.sys
Device \Driver\Tcpip \Device\RawIp 5a52f23e.sys
Device \Driver\NetBT \Device\NetBT_Tcpip_{A6B44794-9904-4E34-8AF5-F59A15246235} 8A1B24D8
Device \Driver\usbuhci \Device\USBFDO-0 8A2472F8
Device \Driver\usbuhci \Device\USBFDO-1 8A2472F8
Device \Driver\usbuhci \Device\USBFDO-2 8A2472F8
Device \Driver\Tcpip \Device\IPMULTICAST 5a52f23e.sys
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A29B500
Device \Driver\usbuhci \Device\USBFDO-3 8A2472F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A29B500
Device \Driver\Ftdisk \Device\FtControl 8A5A31F8
Device \Driver\usbehci \Device\USBFDO-4 8A161500
Device \Driver\sptd \Device\1582588748 spai.sys
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target3Lun0 8A2751F8
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target3Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target1Lun0 8A2751F8
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target1Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target2Lun0 8A2751F8
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target2Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target0Lun0 8A2751F8
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\afpwd287 \Device\Scsi\afpwd2871 8A2751F8
Device \Driver\afpwd287 \Device\Scsi\afpwd2871 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Cdfs \Cdfs 8A0C1500
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [340] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe [408] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE [496] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Logitech\SetPoint\SetPoint.exe [504] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [540] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [844] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\services.exe [892] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe [904] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\ehome\ehtray.exe [976] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Java\jre1.6.0_07\bin\jusched.exe [984] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\Ati2evxx.exe [1076] 0x10000000
Library \\?\globalroot\systemroot\system32\UACcjrudnyquuhrtysom.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1104] 0x03270000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1104] 0x00EA0000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Unlocker\UnlockerAssistant.exe [1160] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1224] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [1312] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\RTHDCPL.EXE [1332] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe [1376] 0x00A20000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [1412] 0x00A00000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1444] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1540] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\wbem\wmiapsrv.exe [1584] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\Ati2evxx.exe [1600] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Skype\Phone\Skype.exe [1620] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\ctfmon.exe [1720] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [1752] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\DAEMON Tools Lite\daemon.exe [1784] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1820] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [1904] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Lavasoft\Ad-Aware\aawservice.exe [1920] 0x00E40000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\programme\steam\steam.exe [1932] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\ICQ6.5\ICQ.exe [2036] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Dokumente und Einstellungen\Jannis\Desktop\0qpliu8s.exe [2112] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\NOTEPAD.EXE [2204] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe [2400] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe [2628] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\PnkBstrA.exe [2644] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Windows Media Player\wmplayer.exe [2804] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2860] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\ehome\mcrdsvc.exe [3004] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Skype\Plugin Manager\skypePM.exe [3476] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Mozilla Firefox\firefox.exe [3884] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Dokumente und Einstellungen\Jannis\Desktop\mbam-setup.exe [4040] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\System32\alg.exe [4092] 0x10000000

---- EOF - GMER 1.0.15 ----


Alt 17.07.2009, 12:32   #6
Chris4You
 
Viren blockieren Programme und verändern Browser - Standard

Viren blockieren Programme und verändern Browser


Hi,

!ACHTUNG!
Du hast einen aktiven Rootkit auf dem Rechner, Internet stark einschränken,
ich muss das Gmer-Log noch durchsehen...

Gmer hat das Teil nicht als Rootkit klassifiziert, Avenger schon...
Daher basteln wir uns aus beiden Teilen was zusammen...

Ich hoffe wir bekommen Ihn ohne Probleme runter, das Rootkit hängt sich lt. Gmer in alle
laufenden Prozesse und verhindert so den Start von für sich "unangenehmen" Anwendungen (z.B. MAM)...

Ich hoffe es geht gut, sonst bleibt nur Neuaufsetzen...

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
ATTFilter
Drivers to delete:
a6nbgx3m

Files to delete:
C:\windows\system32\hjgruiaboymtql.dll
C:\windows\system32\UACcjrudnyquuhrtysom.dll
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Danach bitte sofort MAM installieren (eventuell auf test.com umbennenen) und ein neues HJ-Log...
Alle Logs posten, auch falls Avira das schreien anfängt...

chris
__________________
--> Viren blockieren Programme und verändern Browser
Geändert von Chris4You (17.07.2009 um 12:42 Uhr)

Alt 17.07.2009, 13:46   #7
Chris4You
 
Viren blockieren Programme und verändern Browser - Standard

Viren blockieren Programme und verändern Browser


Hi,

prüfe auch noch das hier (virustotal.com) (Dank handball10):
C:\WINDOWS\system32\drivers\smss.exe

(Wobei das Konstrukt schon auf was unerfreuliches hindeutet... ;o)...

Daher im Avengerscript noch folgende Zeilen aufnehmen:

Unter Files to delete
Code:
ATTFilter
C:\WINDOWS\system32\drivers\smss.exe
Falls Du MAM ans rennen bringt, sollte aber auch das genügen... (wobei das Teil auch den Start von Sicherheitsprodukten verhindert)...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 17.07.2009, 14:23   #8
Soultaker
 
Viren blockieren Programme und verändern Browser - Standard

Viren blockieren Programme und verändern Browser


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "ajx37oap" found!
Could not open driver ajx37oap for rootkit scan. Error:c0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Rootkit scan completed.


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\a6nbgx3m" not found!
Deletion of driver "a6nbgx3m" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete file "C:\windows\system32\hjgruiaboymtql.dll"
Deletion of file "C:\windows\system32\hjgruiaboymtql.dll" failed!
Status: 0xc0000156

File "C:\windows\system32\UACcjrudnyquuhrtysom.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

ah ich hab das zweite zu spät gelesen ich mach gleich nochma eins dafür, hijackthis logfile kommt sofort MAM hängt grad in der Installation fest... ich lass avenger gleich nochma durchlaufen

Alt 17.07.2009, 14:29   #9
Soultaker
 
Viren blockieren Programme und verändern Browser - Standard

Viren blockieren Programme und verändern Browser


also hier das avenger mit dem smss , scheint aber nicht geklappt zu haben

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "aolfohl8" found!
Could not open driver aolfohl8 for rootkit scan. Error:c0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Rootkit scan completed.


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\a6nbgx3m" not found!
Deletion of driver "a6nbgx3m" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete file "C:\windows\system32\hjgruiaboymtql.dll"
Deletion of file "C:\windows\system32\hjgruiaboymtql.dll" failed!
Status: 0xc0000156

File "C:\windows\system32\UACcjrudnyquuhrtysom.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\drivers\smss.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\smss.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Alt 17.07.2009, 14:29   #10
Chris4You
 
Viren blockieren Programme und verändern Browser - Standard

Viren blockieren Programme und verändern Browser


Hi,

das ist ja geil, das Teil ändert seinen Namen!

Zuerst:
Hidden driver "a6nbgx3m" found!

Jetzt:
Hidden driver "ajx37oap" found!

Das verspricht interessant zu werden...

Mach bitte mal folgendes:
Arbeitsplatz->rechte Maustaste->Eigenschaften->Hardware->Gerätemanager->Ansicht->ausgeblendete Geräte anzeigen->Nicht PnP-Treiber

und dort den Treiber "TDSSserv.sys" oder aehnlich (alles das mit ADS, TDS, OV, GAO oder UACD anfängt) deaktivieren und neu starten.

Schau wie angegeben ob Du die findest und deaktivieren kannst:
Code:
ATTFilter
hjgruiaboymtql.dll
UACcjrudnyquuhrtysom.dll
Danach neu booten...

chris
Ps.: Das Problem ist, wir müssen alle Teile auf einmal erwischen...
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )
Geändert von Chris4You (17.07.2009 um 14:35 Uhr)

Alt 17.07.2009, 14:30   #11
Soultaker
 
Viren blockieren Programme und verändern Browser - Standard

Viren blockieren Programme und verändern Browser


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:20, on 17.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\programme\steam\steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://admin/proxy.pac
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\smss.exe
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programme\Pinnacle\Shared Files\\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Lavasoft Ad-Aware Service aawserviceAlerter (aawserviceAlerter) - Unknown owner - C:\WINDOWS\TEMP\fujpunetbf.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: websrvx - Unknown owner - C:\Programme\websrvx\websrvx.exe (file missing)
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 8581 bytes

Alt 17.07.2009, 14:36   #12
Soultaker
 
Viren blockieren Programme und verändern Browser - Standard

Viren blockieren Programme und verändern Browser


Unter nicht PNP treiber habe ich nichts von dem gefunden was du gesagt hast aber 2 mit ausrufezeichen , deren treiber nicht bekannt sind und ihr dienst ebenso ijibwpty und Parport , habe beide deaktiviert werde jetzt mal rebooten

Alt 17.07.2009, 14:42   #13
Chris4You
 
Viren blockieren Programme und verändern Browser - Standard

Viren blockieren Programme und verändern Browser


Hi,

muss leider gleich weg, wir probieren mal was von Andreas aus:
RootkitRevealer scannen lassen

* Lade RootkitRevealer (http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx) runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
* Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
* Starte durch Klick auf "Scan".
* Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern und hier posten.

So, und wenn wir garnicht weiterkommen haben wir jetzt noch 2 Möglichkeiten...
1.) ComboFix
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
-und-
2.) NotfallCD:
Antivir, Rescue-CD
http://www.avira.de/de/support/support_downloads.html
Dort bitte das Rescue System sowie das update
dazu runterladen. Beim Start der Anwendung leere CD in den Brenner,
CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update.
Von CD booten (Einstellung im BIOS vornehmen)...
http://www.pcwelt.de/start/sicherheit/antivirus/news/149200/

G Data-Rettungs-CD, Größe ca. 110 MB:
http://www.gdata.de/typo3conf/ext/dam_frontend/pushfile.php?docID=826
Runterladen und dann auf CD brennen, von CD booten (im Bios die Bootreihenfolge umstellen, gilt auch für AVIRA)....

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 17.07.2009, 14:45   #14
Soultaker
 
Viren blockieren Programme und verändern Browser - Standard

Viren blockieren Programme und verändern Browser


Gut das mein Brenner im Arsch ist.....

ok ich mach was du gesagt hast , wenn du weg musst ist nicht schlimm ich bin dankbar für jede hilfe

Alt 17.07.2009, 14:49   #15
Soultaker
 
Viren blockieren Programme und verändern Browser - Standard

Viren blockieren Programme und verändern Browser


HKU\.DEFAULT 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKU\s-1-5-19 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKU\s-1-5-19_classes 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKU\s-1-5-20 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKU\s-1-5-20_classes 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKU\s-1-5-21-839522115-884357618-682003330-1003 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKU\s-1-5-21-839522115-884357618-682003330-1003_classes 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKU\S-1-5-18 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKLM\HARDWARE 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKLM\SAM 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKLM\SECURITY 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKLM\SOFTWARE 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKLM\SYSTEM 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
C: 1.1.1601 02:00 0 bytes Error mounting volume

Antwort
Seite 1 von 3 1 23

Themen zu Viren blockieren Programme und verändern Browser
0 bytes, abstürzen, ad-aware, antivirus, avg, avira, bho, browse, browser, c:\windows\temp, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, locker, logfile, logfile auswertung, mozilla, neues fenster, pop-up-blocker, rundll, software, superantispyware, system, temp, userinit.exe, viren, windows, windows xp, windows\temp


« Scriptkiddie in Foren unterwegs... | trojanisches pferd TR/Trash.Gen , HILFE !! »


Ähnliche Themen: Viren blockieren Programme und verändern Browser


  1. Zertifikatfehler,Datum falsch,keine SystemWiederherstellung möglich,alle Programme blockieren,
    Log-Analyse und Auswertung - 12.11.2015 (11)
  2. 9 Viren bzw. unerwünschte Programme wurden gefunden
    Log-Analyse und Auswertung - 08.09.2015 (23)
  3. Gruppenrichtlinien blockieren Programme und Neuinstallationen
    Plagegeister aller Art und deren Bekämpfung - 23.03.2015 (9)
  4. Probleme mit Browser-Redirecting und merkwürdige Programme installiert
    Log-Analyse und Auswertung - 28.12.2014 (7)
  5. 11 Viren bzw. unerwünschte Programme wurden gefunden !
    Log-Analyse und Auswertung - 28.12.2014 (21)
  6. Win Vista: Virus oder Registry durcheinander? Gruppenrichtilien blockieren / Programme lassen sich nicht installieren
    Plagegeister aller Art und deren Bekämpfung - 09.09.2014 (38)
  7. Virus!? Browser schließt, Programme nicht öffbar
    Plagegeister aller Art und deren Bekämpfung - 30.05.2014 (13)
  8. C:\Programme(x86)\Browser Updater\TBUpdater.dll
    Plagegeister aller Art und deren Bekämpfung - 17.05.2013 (54)
  9. These: Avira installiert eigene Viren bzw. parallel AV-Programme, die Viren enthalten ...
    Antiviren-, Firewall- und andere Schutzprogramme - 13.05.2013 (7)
  10. computer läuft sehr langasam-programme und browser blockieren immer
    Plagegeister aller Art und deren Bekämpfung - 11.11.2011 (9)
  11. keygenguru.com Virus! Zerstört Anti-Viren Programme und andere Programme! (XP)
    Alles rund um Windows - 29.07.2011 (2)
  12. Habe Viren, unerwünschte Programme und Banner :(
    Plagegeister aller Art und deren Bekämpfung - 14.07.2011 (7)
  13. Internetverbindung: Browser nein, Programme wie ICQ etc ja
    Plagegeister aller Art und deren Bekämpfung - 12.06.2010 (4)
  14. Trojaner eingefangen? Browser und Programme spinnen
    Log-Analyse und Auswertung - 20.02.2010 (22)
  15. Seit Trojanerwarnung blockieren Browser nach einiger Zeit...
    Log-Analyse und Auswertung - 04.11.2008 (13)
  16. Pc spinnt völlig - Desktop lässt sich nicht verändern - Programme stürzen dauernd ab
    Plagegeister aller Art und deren Bekämpfung - 03.05.2007 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Viren blockieren Programme und verändern Browser - Hallo , seid gestern abend habe ich mehrere VIren auf meinem PC die wahllos Programme abstürzen lassen und meine Browser verändert haben.. Google ich zum Beispiel nach Wikipedia , und - Viren blockieren Programme und verändern Browser...
Archiv
Du betrachtest: Viren blockieren Programme und verändern Browser auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131