Hallo,

ich habe mir über Opera "den als Anti-Viren Programm getarnten Virus oder so iwas g"Internet Security eingefangen

Ich habe AntiVir , kein Premium, und ein abgelaufenes Avast Anti virenprogramm

Es ist auch blöd, dass die Floskel "Internet Security 2010" sowohl bei Kaspersky als auch bei Norton im Namen steht und so viele Google einträge andere Programme meinen

Inernet Security 2010 äußert sich wie folgt:

1. ca. alle 2 min kommt ein Popup, welches mir die Premiumversion empfiehlt oder mir mitteilt, mein Rechner ist voll von Viren etc.

2. Das Winrar Archiv mit den "Sysinternals" lässt sich nicht öffnen (ist mir von einem Lehrer empfohlen worden

3. --> Der Taskmanager lässt nicht öffnen. popup lässt :"Application cannot be executed. The file is infected. Please activate your antivirus sofltware" verlauten

$. Anstelle des Bildschirmhintergrundes ist eine komplett ausfüllende Meldung über eingefangene Malware etc. zu sehen. Beim herunterfahren ist der normale Hintergund kurz zu sehen

4. Antivir bleibt nach 34 durchsuchten Dateien aber einer Anzeige von 94,4% hängen

6. Youtube wird blockiert


außerdem ist das Inet relativ lahm
Das ist alles was mir gerade einfällt

Hier die HFT Akte:


Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 11:38:21, on 27.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avast\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Program Files\Samsung\EmoDio\SMSTray.exe
C:\WINDOWS\system32\winupdate86.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\InternetSecurity2010\IS2010.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Windows\System32\Msiexec.exe
C:\WINDOWS\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**ttp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon86.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [SMSTray] C:\WINDOWS\Program Files\Samsung\EmoDio\SMSTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS\TEMP\~TMC0.tmp
O4 - HKLM\..\Run: [winupdate86.exe] C:\WINDOWS\system32\winupdate86.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Internet Security 2010] C:\Program Files\InternetSecurity2010\IS2010.exe
O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Programme\Video ActiveX Access\iesmn.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: siszyd32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\winhelper86.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winhelper86.dll
O13 - Gopher Prefix:
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast\ashWebSv.exe
O23 - Service: Browser Defender Update Service - Unknown owner - C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 7803 bytes




Schon mal im Voraus vielen Dank für eure Mühen

Pollycat

Hallo und

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | sysgif32
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | winupdate86.exe

files to delete:
c:\documents and settings\user\start menu\programs\startup\siszyd32.exe
C:\WINDOWS\system32\winupdate86.exe
C:\WINDOWS\system32\winlogon86.exe
C:\WINDOWS\TEMP\~TMC0.tmp

folders to delete:
C:\Programme\Video ActiveX Access
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken.



Wenn das alles getan ist: Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Viel Dank für die schnelle Antwort

Ich werde es jetzt mal ausprobieren

Mit Hintergrund wächter deaktivieren ist gemeint, den Virenscanner einfach auszuschalten?

Polly

Ja, den Virenscanner deaktivieren, um die Ausführung vom Avenger nicht zu verhindern (wir löschen damit ja Schädlinge! )

Hi,

es gibt ein kleines wahrscheinlich aber fatales Problem:


Ich hatte ja geschrieben, dass ich die Sysinternals nicht öffnen kann. Diese sind wie der heruntergeladene Avenger als .zip gespeichert. Offentsichtlich blockiert der Virus das öffnen von .zip Dateien (Gleich Fehlermeldung wie beim Taskmanager)
Ich habe ddas .exe schließlich über rechtsklick, explorer geöffnet bekommen und Avenger gestartet
Nach abarbeitung der ersten schritte kam vor der"Reboot new?"-Box wieder selbige Fehlermeldung, die icj einfach geschlossen habe und dann auf reboot new geklickt habe.
Der Pc ist runtergefahren und neugestrartet, dann musste ich mein PW eingeben und las erst richtig

benutzereinstellungen werden geladen

dann sah man kurz NUR den Desktophintergrund, bevor

abmelden

zu lesen war, dann konnte ich mein PW wierder eingeben und so weiter
Auch nach ausschalten des Netzteils veränderte sich daran nichts.



Auf der Website vom Avenger stand ja iwas von wegen "nie wieder starten"


Gibts noch Rettung für das komplette System oder kann ich nur noch ein paar Daten Retten(Hauptsächlich eigene Dateien) oder ist alles zu spät?


Hilfe!!^^

Polly

Hm, d.h. der Rechner fährt nicht mehr richtig hoch? versteh ich das richtig? Wie siehts im abgesicherten Modus aus?

Sorry, dass ich erst jetzt antworte, jedoch kann ich eben nur antworten wenn der Rechner meines Vaters frei ist

Im abgesicherten Modus passiert bis auf eines genau dasselbe. Zwischen
benutzer..laden

und

abmelden

erscheint kurz ein schwarzes Bild mit einigen Zeichen darauf. Es ist jedoch zu schnell verschwnden um etwas lesen zu können


Polly

Schau Dir mal bitte diesen Strang an => http://www.trojaner-board.de/80783-a...ten-modus.html

Ich hoffe mit Posting #4 bekommst Du es wieder in den Griff.

(Nochmal einen funktionierenden rechner gefunden)^^


Danke, hört sich zumindest mal gut an

Werde morgen mal ausprobieren


Polly

Naja iwie komme ich mit der Boot Cd nicht zurecht


im ersten blau hinterlegten menü hab ich im 3. Punkt(Ich galube iwas mit FILE oder SYSTEM) den punkt NTFS <iwas> gefunden und ausgeführt

In der folgenden Konsolen Anwendung musste im ersten Schritt nachdem manches anderes geladen hatte die Partition der Cd oder sowas gewählt werden

Vorher stand da >notfalls ENTER drücken> --> hab ich gemacht

Da kam iwas mit dem vorgegebenen Pfad
[windows\system32\config] --> auch ENTER

Im 3. Schritt habe ich dann den Pfad eingegeben

Hat aber nen FAIL gegeben



Was habe ich falsch gemacht?


Polly

Ich hab das mit der Ultimate Boot CD leider noch nicht selbst getestet
Vllt hast Du mit der Bearbeitung über ein BartPE mehr Glück => Registry bearbeiten und System wiederbeleben - PC-WELT

BartPE musst Du Dir erstellen. Notfalls kannst Du auch die Platte des nicht bootenden Rechner in einen anderen Rechner als Zweitplatte einbauen und von da aus dann die Registry bearbeiten ( siehe Posting #5 von shadow )

Falls nicht wieder hinzubiegen ist:
kann ich nur die Dateien unter EIGENE DATEIEN iwie retten?



Kennt sich sonst jemand mit dem Programm aus?


Polly

Ja retten geht. Platte in den anderen Rechner bauen und sichern oder über Live-System wie Ultimate-Boot-CD, Linux-Live (Knoppix oder PartedMagic), BartPE und dann auf externe Platte.

BartPe hat net geklappt


Wie kann ich die Daten denn via Ultimate Boot CD retten?


Polly

Sorry, was genau hat bei BartPE nicht geklappt? Das kann vieles heißen


Nimm stattdessen vllt mal PartedMagic:

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Deine Daten drauf sind und evtl. die der ext. Platte
6. Wenn alles gemountet ist kannst Du Daten auf die ext. Platte kopieren