Hallo zusammen,

ich habe mir heute nachmittag anscheinend den "Windows System Defender" eingefangen (plötzliches Aufpoppen falscher Sicherheitshinweise). Und auf einmal ging auch mein Avira Antivirus nicht mehr. Konnte es auch nicht neu installieren oder deinstallieren, da immer der Hinweis kam "Die CRC-Summe von C:\Programme\Avira\Antivir PersonalEdition Classic\SETUP.EXE wurde verändert. Dies könnte von einem Virus verändert worden sein!"

Daraufhin habe ich jetzt 2 mal Malwarebytes durchgeführt und die Dateien anschließend gelöscht - die Logfiles dazu liegen hier:
http://www.file-upload.net/download-1983694/mbam-log-2009-11-01--17-41-52-.zip.html.

Ich habe allerdings den Eindruck, dass der Computer immer noch nicht richtig läuft (langsame Downloads und ab und zu poppen noch komische Werbefenster auf). Außerdem habe ich gesehen, dass ich die Datei "reader_s.exe" auf dem Computer habe, was wohl auch kein gutes Zeichen ist...?
Habe deswegen hier jetzt mein Logfile von Hijack geposted und hoffe, mir kann jemand weiterhelfen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:17:41, on 01.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\Videoload Manager\ContentManager.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Webshots\webshots.scr
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\hxxx\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.starbarsearch.com/?useie5=1&q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.starbarsearch.com/?useie5=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: GoogleAFE - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\GoogleAFE.dll
O3 - Toolbar: Webshots Toolbar - {C17590D2-ECB4-4b15-8820-F58798DCC118} - C:\Programme\Webshots\WSToolbar4IE.dll
O3 - Toolbar: (no name) - {68F28680-9343-4321-8599-4D999B1FDAA8} - (no file)
O3 - Toolbar: (no name) - {7BEA62E6-E4FF-40D8-8B97-1707EE86BAEE} - (no file)
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Dokumente und Einstellungen\hxxx\reader_s.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Webshots Photo Search - res://C:\Programme\Webshots\WSToolbar4IE.dll/MENUSEARCH.HTM
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Übertragen mit Image Converter 2 Plus - C:\Programme\Sony\Image Converter 2\menu.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/de/
O17 - HKLM\System\CCS\Services\Tcpip\..\{C015E951-18F3-488A-BD5B-A6A6153C2BA0}: NameServer = 213.191.92.87 62.109.123.6
O18 - Protocol: fluxhttp - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - C:\Programme\Gemeinsame Dateien\fluxDVD\Lib\XEB\xebnavigation.ax
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Content Management Service (ContentMgrService) - ACE GmbH - C:\Programme\Videoload Manager\ContentManager.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Update Service (gupdate1c999b517479ace) (gupdate1c999b517479ace) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Programme\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe

--
End of file - 8304 bytes


Vielen Dank im Voraus!!!

Halli hallo.

Arbeite bitte das hier ab:
http://freenet-homepage.de/rene-gad/...Anleitung.html
Die beiden AVZ .zip log Dateien lade bitte bei rapidshare hoch und poste uns den downloadlink.

Hallo,

habe die AVZ Anleitung soweit möglich befolgt.

Da der dort angegebene Link bei mir nicht funktionierte (komme derzeit einfach nicht auf die Onlineseiten von diversen Antivirus-Anbietern), habe ich die Software File von AVZ in der 4.32.0.0 Version bei Softpedia.com runtergeladen und die Updates durchgeführt. Bei dieser Version hieß dann der Punkt 3. bei Standard Scripts nicht "Healing/Quarantine and Advanced System Analysis" sondern "Advanced System Analysis with malware removal mode enabled", aber ich hoffe mal, das macht keinen weiteren Unterschied.

Unter den Links hier sind jetzt auf jedenfall die .zip Log Dateien, die man erhält, wenn man die Anleitung bis Punkt 10. befolgt:

http://rapidshare.com/files/301603894/virusinfo_syscure.zip.html
http://rapidshare.com/files/301604195/virusinfo_syscheck.zip.html

Hoffe, sie geben hilfreichen Aufschluss?

Außerdem generiert das Programm noch eine Datei mit dem Namen virusinfo_cure.zip? Weiß nicht, ob die auch noch interessant ist?

Vielen Dank & Grüße.

Lade die virusinfo_cure.zip bitte auch hoch.

Du hast Combofix laufen lassen? Solche Infos musst du uns zukommen lassen!
Bitte ComboFix entfernen: Start --> Ausführen -->Kopiere rein

Zitat:

Combofix /u

Bei dir läuft ein Rootkit. Wir werden jetzt erstmal die Maskierung aufheben.


Führe mit AVZ folgendes Skript aus (File -> Custom Skript):

Code: Alles auswählenAufklappen

ATTFilter

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DelBHO('{7BEA62E6-E4FF-40D8-8B97-1707EE86BAEE}');
 DelBHO('{68F28680-9343-4321-8599-4D999B1FDAA8}');
 DeleteFile('C:\Dokumente und Einstellungen\homy\reader_s.exe');
 DeleteFile('C:\WINDOWS\Installer\{95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC}\QTPlayer.ico');
 DeleteCLSID('95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC');
 DeleteFile('C:\WINDOWS\System32\tssdis.exe');
 DeleteFile('C:\WINDOWS\system32\10.tmp');
 DeleteFile('mvfs32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir','EventMessageFile');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{31435657-9980-0010-8000-00AA00389B71}');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_CURRENT_USER','Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','30334');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
         

Hallo,

sorry, dass mit dem ComboFix wusste ich nicht, bzw. hatte ich vor einiger Zeit mal installiert und jetzt aber nicht mehr daran gedacht!

Werde erst heute abend wieder an meinem Computer sein. Und dann den Link zur cure.zip Datei schicken, Combofix entfernen und versuchen das Script durchzuführen.

Nehme an, ich muss dann einfach die Befehle bei AVZ reinkopieren?
Bekomme ich dann im Anschluss irgendeine Art Ergebnis, das ich nochmal posten soll?

Vielen Dank & bis später.

Das Skript musst du über die "Custom Skript" Funktion ausführen. Die findest du im "File" Menü.

Nachdem du das Skript, ausgeführt hast und CF deinstalliert hast lasse bitte den CCleaner laufen (Punkte 1&2).
Starte das System neu und erstelle anschließen abermals die beiden AVZ logs und poste diese.

Poste außerdem eine Beschreibung wie es deinem Rechner geht.