Ich vermute mal das ich Viren und Trojaner auf dem Laptop habe. Auf einmal funktioniert Antivir nicht mehr und andauernd kommt da etwas wo High-Risk steht und mich dazu fordert ein Programm(Security Center Alert) zu kaufen. Wie gesagt funktioniert Antivir nicht mehr und ist auch völlig weg vom laptop.
Auf anderen Foren habe ich die HijackThis programm empfohlen bekommen und habe es auch ausgeführt nun bräuchte ich einen Profi der mir mein Logfile anguckt und bescheid sagt was ich dort löschen muss.
Ich danke schonmal im Vorraus und liebe Grüße.

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 16:36:43, on 05.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\TEMP\settdebugx.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\TEMP\wscsvc32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [settdebugx.exe] C:\WINDOWS\TEMP\settdebugx.exe
O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5335 bytes





Es wäre super nett von euch wenn das schnell ginge.

Hallli hallo.

Poste bitte zwei AVZ logs.

Hey danke dir dass du mir hilfst
Hab alles gemacht in den Zip-Ordnern sind html und xml Dateien wenn ich drauf klicke kommt in Internetexplorer eine Tabelle. Wie poste ich dir alles? rüber?

Bin ganz neu hier musst du verstehen. Frauen und Technik das wird schon.

In der Anleitung unter Punkt #9 wird beschrieben wie du die beiden .zip Archive an deinen nächsten Post anhängen kannst.

Hier ist das was du von mir wolltest. Hoffe es bringt dich weiter.

Führe bitte folgendes Skript mit AVZ aus:

Zitat:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('c:\windows\temp', '*.*', true);
DeleteFile('\\?\globalroot\systemroot\system32\h8srtserf.dll');
DeleteFile('\\?\globalroot\systemroot\system32\H8SRTxqoirmtdrx.dll');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}');
DelCLSID('{5E2121EE-0300-11D4-8D3B-444553540000}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSVC('H8SRTd.sys');
BC_Activate;
RebootWindows(true);
end.

Poste danach bitte ein GMER log und zwei frische AVZ logs.

sorry ich steig da nicht durch. ich brauche schritte wie ich das ausführen soll :S

Steht in der Anleitung zu AVZ alles Schritt für Schritt drinn...

Weiter unten unter Ausführen von Bereinigungs-Skripten.

Diese eckligen Meldungen kommen nicht mehr. Ist mein Pc jetzt wieder rein von diesen ganzen Trojanern Würmern und Viren??

Starte den Rechner bitte neu und estelle zwei neue AVZ logs.

AVZ scheint sich da etwas verheddert zu haben....

EDIT führe bitte vorher noch dieses Skript aus:

Zitat:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('c:\windows\temp', '*.*', true);
DelCLSID('{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSVC('H8SRTd.sys');
BC_DeleteSVC('H8SRTd');
BC_Activate;
RebootWindows(true);
end.

Starte den Rechner danach nocheinmal neu und räume mit dem CCleaner auf.

Danach poste zwei frische AVZ logs.

okay hab alles gemacht was du gesagt hast hier die logs

Das sieht besser aus aber das log gefällt mir nicht. Da ist immer noch was nicht ganz sauber.

Poste bitte ein GMER log.

hier hat etwas lange gedauert:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-09 18:42:15
Windows 5.1.2600 Service Pack 3
Running: gvgekjnz.exe; Driver: C:\WINDOWS\TEMP\pxtdypow.sys


---- System - GMER 1.0.15 ----

SSDT B3A4BA86 ZwCreateKey
SSDT B3A4BA7C ZwCreateThread
SSDT B3A4BA8B ZwDeleteKey
SSDT B3A4BA95 ZwDeleteValueKey
SSDT B3A4BA9A ZwLoadKey
SSDT B3A4BA68 ZwOpenProcess
SSDT B3A4BA6D ZwOpenThread
SSDT B3A4BAA4 ZwReplaceKey
SSDT B3A4BA9F ZwRestoreKey
SSDT B3A4BA90 ZwSetValueKey
SSDT B3A4BA77 ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTpvbubndjnl.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTgwujnkrfuf.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTordrmskklt.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTxqoirmtdrx.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTtbstmjcjao.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTpvbubndjnl.sys
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTgwujnkrfuf.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTordrmskklt.dat
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTxqoirmtdrx.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTtbstmjcjao.dll
Reg HKCU\Software\Microsoft\Windows Live\Communications Clients\Shared\3267048888\Groups@\x00b0AiLeM\xb0 1
Reg HKCU\Software\Microsoft\Windows Live\Communications Clients\Shared\3267048888\Groups@\x00b0ArKiLeR\xb0 0

---- EOF - GMER 1.0.15 ----

Öffne bitte gmer.

Oben links findest du einen Reiter der etwa so aussieht:

Zitat:

>>>>

Klicke den an und es werden weitere Reiter erscheinen.
Wähle den Reiter cmd aus.

Dann kopiere bitte in das schwarze obere Feld folgendes rein:

Zitat:

gvgekjnz.exe -del service H8SRTd.sys
gvgekjnz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys"
gvgekjnz.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys"
gvgekjnz.exe -reboot

Klicke danach auf Run!

Der Rechner startet neu. Räume mit dem CCleaner auf und poste ein frisches GMER log.

Hier ist der neue GMER Log

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-10 09:04:57
Windows 5.1.2600 Service Pack 3
Running: gvgekjnz.exe; Driver: C:\WINDOWS\TEMP\pxtdypow.sys


---- System - GMER 1.0.15 ----

SSDT B4237E2E ZwCreateKey
SSDT B4237E24 ZwCreateThread
SSDT B4237E33 ZwDeleteKey
SSDT B4237E3D ZwDeleteValueKey
SSDT B4237E42 ZwLoadKey
SSDT B4237E10 ZwOpenProcess
SSDT B4237E15 ZwOpenThread
SSDT B4237E4C ZwReplaceKey
SSDT B4237E47 ZwRestoreKey
SSDT B4237E38 ZwSetValueKey
SSDT B4237E1F ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Registry - GMER 1.0.15 ----

Reg HKCU\Software\Microsoft\Windows Live\Communications Clients\Shared\3267048888\Groups@\x00b0AiLeM\xb0 1
Reg HKCU\Software\Microsoft\Windows Live\Communications Clients\Shared\3267048888\Groups@\x00b0ArKiLeR\xb0 0

---- EOF - GMER 1.0.15 ----