Hallo Leute,

ich habe mir einen ausgesprochen listigen Plagegeist eingefangen.

Nach dem ausführen einer kleiner Anwendung ist der Computer ohne Warnung neu gestartet und nach dem Neustart wird Avira Antivir nicht
mehr ausgeführt. Beim Versuch den Dienst Avira AnitiVir Guard manuell über die Computerverwaltung zu starten erhalten ich die Fehlermeldung:

Der Dienst ........ konnte nicht gestartet werden. Fehler 193:0xc1

Beim Versuch über Software die Anwendung Antivir zu deinstallieren/reparieren wird das Fenster der Anwendung geschlossen, bevor ich was auswählen kann.

Beim Versuch die Software mit einem neuen Installerpaket zu installieren erscheint die Meldung das nicht alle Dateien erstellt werden konnten und man soll Windows neu starten und es erneut probieren -> hilft aber nichts!

Wenn ich versuche BitDefender Free E.2009 zu installieren erhalten ich die
Fehlermeldung: Error writing to file: G:\Programme\BitDefender\BitDefender2009\bdfsfltr.sys Verify that you have access to that directory.
Womit auch BitDefender vereitelt wird!

Wenn ich versuche F-Prot zu installieren meldet dieser den Fehler:

Error 1920. Service F-Prot Anitvirus (FPAVServer) faild to start. Verify that you have sufficient privilegs to start system services.

Die Rechte habe ich als Admin natürlich und auch die NTFS Berechtigungen der Laufwerke sind in Ordnung.

Der Versuch HiJackThis (HJTInstall202.exe) zu starten wird ebenfalls blockiert.

Das gleich gilt für das Malewarebytes-Anti_Maleware kann nicht installiert
werden.

Das Piriform CCleaner proggi von hier, beendet sich immer nach ca. 10Sek.

Wenn man versucht im Internet bei Google etc. nach Infos zu suchen, wird der Explorer (alle Fenster) geschlossen, sobald man Links öffnen will, die irgendwelche Infos zu Schädlingen beinhalten könnten, ich habe ermitteln können das er zumindestens auf die Zeichenfolge ,,Hijackthis'' dabei reagiert, wenn diese in der Webseite vorkommt.

Im Selbstversuch habe ich rausgefunden, dass wenn man eine Textdatei im System abspeichert und diese ,,Hijackthis.txt'' nennt, diese sofort beendet wird wenn man versucht diese zu öffen. Ist die Zeichenfolge dagegen in der Textdatei enthalten, reagiert der Schädling nicht darauf. ?

Kann mir wer sagen was ich mir da auf meinen Hostsystem eingefangen habe?

Anlage: RSIT-LOG:


Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2010-01-17 13:10:12
Microsoft Windows XP Professional Service Pack 3
System drive G: has 32 GB (80%) free of 40 GB
Total RAM: 511 MB (64% free)


======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=G:\Programme\Avira\AntiVir Desktop\avgnt.exe [2010-01-17 834048]
"C-Media Mixer"=Mixer.exe /startup []
"WinampAgent"=G:\Programme\Winamp\winampa.exe [2005-07-09 834048]
"TrueImageMonitor.exe"=G:\Programme\Acronis\TrueImageEchoServer\TrueImageMonitor.exe [2008-09-25 1310496]
"AcronisTimounterMonitor"=G:\Programme\Acronis\TrueImageEchoServer\TimounterMonitor.exe [2008-09-25 886576]
"Acronis Scheduler2 Service"=G:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe [2008-09-25 140568]
"ANIWZCS2Service"=G:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe [2007-01-19 49152]
"NPSStartup"= []
"F-PROT Antivirus Tray application"=G:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe [2010-01-17 1597832]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=G:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

G:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Dienst-Manager.lnk - G:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
REALTEK USB Wireless LAN Utility.lnk - G:\Programme\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - G:\WINDOWS\system32\WPDShServiceObj.dll [2006-08-24 133120]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
relog_ap

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableLUA"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"G:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe"="G:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server"
"G:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe"="G:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b85e17a1-6983-11de-acba-000b6a083a98}]
shell\AutoRun\command - D:\ELP-IuK\ELP-IuK_Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b85e17a2-6983-11de-acba-000b6a083a98}]
shell\AutoRun\command - D:\ELP-IuK\ELP-IuK_Setup.exe


======List of files/folders created in the last 1 months======

2010-01-17 13:10:13 ----D---- G:\Programme\trend micro
2010-01-17 13:10:12 ----D---- G:\rsit
2010-01-17 12:59:46 ----D---- G:\Programme\CCleaner
2010-01-17 11:45:36 ----HD---- G:\WINDOWS\system32\GroupPolicy
2010-01-17 11:20:26 ----D---- G:\WINDOWS\BDOSCAN8
2010-01-17 02:46:22 ----D---- G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FRISK Software
2010-01-17 02:46:20 ----SHD---- G:\Config.Msi
2010-01-17 02:41:29 ----D---- G:\Programme\FRISK Software
2010-01-17 02:22:28 ----HD---- G:\Dokumente und Einstellungen\***\Anwendungsdaten\drivers
2010-01-17 01:41:36 ----D---- G:\Dokumente und Einstellungen\***\Anwendungsdaten\dvdcss
2010-01-17 01:39:19 ----A---- G:\WINDOWS\system32\WNASPI32.DLL
2010-01-17 01:39:12 ----D---- G:\Programme\Nidesoft Studio
2010-01-15 19:26:56 ----D---- G:\Programme\DVD Decrypter
2010-01-12 23:04:51 ----A---- G:\WINDOWS\system32\rmc_rtspdl.dll
2010-01-12 23:04:51 ----A---- G:\WINDOWS\system32\rmc_fixasf.exe
2010-01-12 23:04:07 ----A---- G:\WINDOWS\system32\AUDIOGENIE2.DLL
2010-01-12 23:02:56 ----D---- G:\WINDOWS\Replay Media Catcher
2010-01-12 23:02:46 ----D---- G:\Programme\Replay Media Catcher
2010-01-11 23:11:37 ----RASH---- G:\WINDOWS\system32\nbDX.dll
2010-01-11 23:11:37 ----RASH---- G:\WINDOWS\system32\msfDX.dll
2010-01-11 23:11:37 ----RASH---- G:\WINDOWS\system32\flvDX.dll
2010-01-10 22:33:20 ----D---- G:\Dokumente und Einstellungen\***\Anwendungsdaten\Media Player Classic
2010-01-10 21:57:04 ----A---- G:\WINDOWS\system32\unrar.dll
2010-01-10 21:57:04 ----A---- G:\WINDOWS\avisplitter.ini
2010-01-10 21:57:03 ----A---- G:\WINDOWS\system32\xvidcore.dll
2010-01-10 21:57:02 ----A---- G:\WINDOWS\system32\xvidvfw.dll
2010-01-10 21:57:01 ----A---- G:\WINDOWS\system32\ff_vfw.dll.manifest
2010-01-10 21:57:01 ----A---- G:\WINDOWS\system32\ff_vfw.dll
2010-01-10 21:56:59 ----D---- G:\Programme\K-Lite Codec Pack
2010-01-10 21:09:36 ----D---- G:\Programme\Abcc Free FLV AVI MP4 MPEG WMV ASF MOV Converter
2010-01-10 20:56:59 ----D---- G:\Dokumente und Einstellungen\***\Anwendungsdaten\AVS4YOU
2010-01-10 20:56:58 ----D---- G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2010-01-10 20:56:18 ----D---- G:\Programme\Gemeinsame Dateien\AVSMedia
2010-01-10 20:56:00 ----HDC---- G:\WINDOWS\$NtUninstallWMFDist11$
2010-01-10 20:55:27 ----D---- G:\Programme\AVS4YOU
2010-01-10 20:55:27 ----A---- G:\WINDOWS\system32\msxml3a.dll
2010-01-10 20:53:39 ----D---- G:\Dokumente und Einstellungen\***\Anwendungsdaten\Leawo
2010-01-10 20:25:21 ----A---- G:\WINDOWS\system32\TubeFinder.exe
2010-01-10 20:25:19 ----D---- G:\Dokumente und Einstellungen\***\Anwendungsdaten\FreeFLVConverter
2010-01-10 20:25:19 ----A---- G:\WINDOWS\system32\VB6FR.DLL
2010-01-10 20:25:19 ----A---- G:\WINDOWS\system32\PCCLPFR.DLL
2010-01-10 20:25:19 ----A---- G:\WINDOWS\system32\MSCMCFR.DLL
2010-01-10 20:25:19 ----A---- G:\WINDOWS\system32\CMDLGFR.DLL
2010-01-10 16:50:26 ----A---- G:\WINDOWS\system32\spmsgXP_2k3.dll
2010-01-10 16:50:21 ----HDC---- G:\WINDOWS\$NtUninstallWdf01007$
2010-01-10 16:49:36 ----D---- G:\Dokumente und Einstellungen\***\Anwendungsdaten\Nokia
2010-01-10 16:48:18 ----A---- G:\WINDOWS\system32\wdfcoinstaller01007.dll
2010-01-10 16:48:18 ----A---- G:\WINDOWS\system32\nmwcdcocls.dll
2010-01-10 16:48:14 ----D---- G:\Programme\Nokia
2010-01-10 16:47:27 ----D---- G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2010-01-10 00:58:59 ----D---- G:\Dokumente und Einstellungen\***\Anwendungsdaten\DivX
2010-01-09 23:50:05 ----A---- G:\WINDOWS\system32\pxinsi64.exe
2010-01-09 23:50:05 ----A---- G:\WINDOWS\system32\pxcpyi64.exe
2010-01-09 23:49:40 ----D---- G:\Programme\Gemeinsame Dateien\DivX Shared
2010-01-09 23:49:40 ----D---- G:\Programme\DivX
2010-01-09 19:25:42 ----D---- G:\Dokumente und Einstellungen\***\Anwendungsdaten\AnvSoft
2010-01-09 19:25:39 ----D---- G:\Programme\AnvSoft
2010-01-09 18:09:55 ----D---- G:\Dokumente und Einstellungen\***\Anwendungsdaten\Publish Providers
2010-01-09 18:06:43 ----D---- G:\Programme\Microsoft SQL Server
2010-01-09 18:06:31 ----D---- G:\Dokumente und Einstellungen\***\Anwendungsdaten\Sony
2010-01-09 18:05:53 ----D---- G:\Programme\Vstplugins
2010-01-09 18:05:47 ----D---- G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
2010-01-09 18:05:36 ----D---- G:\Programme\Sony
2010-01-08 18:33:40 ----A---- G:\WINDOWS\system32\devil.dll
2010-01-08 18:33:40 ----A---- G:\WINDOWS\system32\avisynth.dll
2010-01-08 18:33:39 ----A---- G:\WINDOWS\system32\yv12vfw.dll
2010-01-08 18:33:39 ----A---- G:\WINDOWS\system32\i420vfw.dll
2010-01-08 18:33:39 ----A---- G:\WINDOWS\system32\AVSredirect.dll
2010-01-08 18:33:38 ----D---- G:\Programme\AviSynth 2.5
2010-01-08 18:33:11 ----D---- G:\Programme\eRightSoft
2010-01-07 20:27:55 ----D---- G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2010-01-07 20:27:54 ----D---- G:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Suite
2010-01-07 20:27:16 ----A---- G:\WINDOWS\system32\nmwcdcls.dll
2010-01-07 20:26:37 ----D---- G:\WINDOWS\system32\Samsung_USB_Drivers
2010-01-07 20:26:36 ----D---- G:\Programme\DIFX
2010-01-07 20:26:34 ----DC---- G:\WINDOWS\system32\DRVSTORE
2010-01-07 20:26:32 ----A---- G:\WINDOWS\system32\FsUsbExService.Exe
2010-01-07 20:26:32 ----A---- G:\WINDOWS\system32\FsUsbExDevice.Dll
2010-01-07 20:26:22 ----D---- G:\Dokumente und Einstellungen\***\Anwendungsdaten\Samsung
2010-01-07 20:26:09 ----D---- G:\Programme\MarkAny
2010-01-07 20:26:07 ----D---- G:\Programme\PC Connectivity Solution
2010-01-07 20:25:47 ----D---- G:\Programme\Samsung
2010-01-07 20:21:12 ----D---- G:\Programme\Gemeinsame Dateien\Adobe
2009-12-21 22:18:09 ----D---- G:\WINDOWS\NTDS
2009-12-21 22:18:09 ----D---- G:\Programme\Visual CertExam Suite

======List of files/folders modified in the last 1 months======

2010-01-17 13:10:13 ----D---- G:\Programme
2010-01-17 13:02:24 ----D---- G:\WINDOWS\Debug
2010-01-17 13:02:24 ----D---- G:\WINDOWS
2010-01-17 13:02:22 ----D---- G:\WINDOWS\Temp
2010-01-17 12:25:09 ----A---- G:\WINDOWS\RTacDbg.txt
2010-01-17 12:07:11 ----N---- G:\WINDOWS\SchedLgU.Txt
2010-01-17 12:05:04 ----D---- G:\WINDOWS\system32\drivers
2010-01-17 12:02:08 ----SHD---- G:\RECYCLER
2010-01-17 11:55:50 ----D---- G:\WINDOWS\security
2010-01-17 11:45:36 ----D---- G:\WINDOWS\system32
2010-01-17 11:45:02 ----D---- G:\Programme\Gemeinsame Dateien
2010-01-17 11:44:38 ----SHD---- G:\WINDOWS\Installer
2010-01-17 11:20:29 ----SD---- G:\WINDOWS\Downloaded Program Files
2010-01-17 11:20:26 ----HD---- G:\WINDOWS\inf
2010-01-17 11:20:25 ----D---- G:\WINDOWS\system32\CatRoot2
2010-01-17 02:44:18 ----D---- G:\WINDOWS\Prefetch
2010-01-17 02:44:06 ----D---- G:\Dokumente und Einstellungen
2010-01-17 01:39:19 ----D---- G:\WINDOWS\system
2010-01-15 18:47:01 ----D---- G:\WINDOWS\WinSxS
2010-01-10 21:39:20 ----D---- G:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp
2010-01-10 20:56:08 ----D---- G:\Programme\Windows Media Player
2010-01-10 20:56:05 ----RSHDC---- G:\WINDOWS\system32\dllcache
2010-01-10 20:45:03 ----SD---- G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2010-01-09 18:07:05 ----A---- G:\WINDOWS\system32\PerfStringBackup.INI
2010-01-09 18:06:58 ----HD---- G:\Programme\Uninstall Information
2010-01-09 18:06:29 ----RSD---- G:\WINDOWS\assembly
2010-01-09 18:05:14 ----D---- G:\Programme\Gemeinsame Dateien\Microsoft Shared
2010-01-08 18:33:37 ----RSD---- G:\WINDOWS\Fonts
2010-01-07 20:26:17 ----HD---- G:\Programme\InstallShield Installation Information
2009-12-21 22:18:08 ----D---- G:\Programme\Gemeinsame Dateien\InstallShield

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;AMD K7-Prozessortreiber; G:\WINDOWS\system32\DRIVERS\amdk7.sys [2008-04-14 41856]
R1 ASPI32;ASPI32; G:\WINDOWS\system32\drivers\ASPI32.sys [1999-09-10 25244]
R1 sK9Ou0s;sK9Ou0s; \??\G:\WINDOWS\system32\srosa2.sys []
R1 ssmdrv;ssmdrv; G:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.5.0; G:\WINDOWS\system32\DRIVERS\AegisP.sys [2009-05-30 21035]
R2 ANIO;ANIO Service; \??\G:\WINDOWS\system32\ANIO.SYS []
R2 tifsfilter;Acronis True Image FS Filter; G:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2009-04-27 44384]
R3 cmpci;C-Media PCI Audio Driver (WDM); G:\WINDOWS\system32\drivers\cmaudio.sys [2002-07-16 379726]
R3 FETNDIS;VIA Rhine Family Fast Ethernet Adapter Driver; G:\WINDOWS\system32\DRIVERS\fetnd5b.sys [2002-07-05 40448]
R3 FsUsbExDisk;FsUsbExDisk; \??\G:\WINDOWS\system32\FsUsbExDisk.SYS []
R3 hidusb;Microsoft HID Class-Treiber; G:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; G:\WINDOWS\system32\DRIVERS\mouhid.sys [2006-07-17 12288]
R3 nv;nv; G:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-03 1897408]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; G:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; G:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbstor;USB-Massenspeichertreiber; G:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; G:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S1 avgio;avgio; \??\G:\Programme\Avira\AntiVir Desktop\avgio.sys []
S1 avipbb;avipbb; G:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-04-27 96104]
S2 avgntflt;avgntflt; G:\WINDOWS\system32\DRIVERS\avgntflt.sys [2010-01-15 56816]
S3 A5AGU;D-Link USB Wireless Network Adapter Service; G:\WINDOWS\system32\DRIVERS\A5AGU.sys [2007-09-05 377920]
S3 nmwcd;Nokia USB Phone Parent; G:\WINDOWS\system32\drivers\ccdcmb.sys [2009-10-06 17664]
S3 nmwcdc;Nokia USB Generic; G:\WINDOWS\system32\drivers\ccdcmbo.sys [2009-10-06 22016]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver; \??\G:\WINDOWS\system32\NSNDIS5.SYS []
S3 NTSIM;NTSIM; \??\G:\WINDOWS\system32\ntsim.sys []
S3 pccsmcfd;PCCS Mode Change Filter Driver; G:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter; G:\WINDOWS\system32\DRIVERS\RTL8187.sys [2007-05-21 235648]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM); G:\WINDOWS\system32\DRIVERS\ss_bbus.sys [2009-03-20 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter); G:\WINDOWS\system32\DRIVERS\ss_bmdfl.sys [2009-03-20 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem; G:\WINDOWS\system32\DRIVERS\ss_bmdm.sys [2009-03-20 121856]
S3 upperdev;upperdev; G:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2009-10-06 7936]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; G:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
S3 usbscan;USB-Scannertreiber; G:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 usbser;USB Modem Driver; G:\WINDOWS\system32\drivers\usbser.sys [2008-04-14 26112]
S3 UsbserFilt;UsbserFilt; G:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2009-10-06 7936]
S3 Wdf01000;Kernel Mode Driver Frameworks service; G:\WINDOWS\System32\Drivers\wdf01000.sys [2008-03-27 503008]
S3 WpdUsb;WpdUsb; G:\WINDOWS\System32\Drivers\wpdusb.sys [2006-08-24 38656]
S4 IntelIde;IntelIde; G:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AcrSch2Svc;Acronis Scheduler2 Service; G:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe [2008-09-25 455960]
R2 FsUsbExService;FsUsbExService; G:\WINDOWS\system32\FsUsbExService.Exe [2009-03-31 233472]
S2 ANIWZCSdService;ANIWZCSd Service; G:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe [2007-01-19 49152]
S2 AntiVirSchedulerService;Avira AntiVir Planer; G:\Programme\Avira\AntiVir Desktop\sched.exe [2010-01-17 108289]
S2 AntiVirService;Avira AntiVir Guard; G:\Programme\Avira\AntiVir Desktop\avguard.exe [2010-01-17 185089]
S3 aspnet_state;ASP.NET State Service; G:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; G:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; G:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864]
S3 idsvc;Windows CardSpace; G:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256]
S3 MSSQL$SONY_MEDIAMGR;MSSQL$SONY_MEDIAMGR; G:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe [2002-12-17 7520337]
S3 MSSQLServerADHelper;MSSQLServerADHelper; G:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe [2002-12-17 66112]
S3 ose;Office Source Engine; G:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 ServiceLayer;ServiceLayer; G:\Programme\PC Connectivity Solution\ServiceLayer.exe [2009-10-27 657408]
S3 SQLAgent$SONY_MEDIAMGR;SQLAgent$SONY_MEDIAMGR; G:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE [2002-12-17 311872]
S3 WMConnectCDS;Windows Media Connect-Dienst; G:\Programme\Windows Media Connect 2\wmccds.exe [2005-10-06 856064]
S4 FPAVServer;F-PROT Antivirus for Windows system; G:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe [2010-01-17 75424]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; G:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880]

-----------------EOF-----------------


Mit bestem Dank für die Bemühungen im voraus.

Dodes

Hi,

sieht nach Bagle aus:
G:\WINDOWS\system32\srosa2.sys -> http://www.prevx.com/filenames/X1190...ROSA2.SYS.html

Das heisst für Dich: Neuaufsetzen (http://www.trojaner-board.de/51262-a...sicherung.html) ...

Wir können über CF eine notdürftige Reinigung versuchen, auf die Gefahr hin, dass der Rechner komplett zerschossen wird!

Vorher probiere MAM bereits im Downloadialog in z.B. Test.exe umzubennenen und dann die EXE im MAM-Ordner (mbam.exe) auf teschle.exe umzubenennen und zu starten...

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt
werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Hi Chris4You,

eine Neuinstallation kommt nicht in Frage

Ich habe es mit dem Tool RootRepeal zu Fuß geschafft den Schädling zu
beseitigen und gleichzeit das System zu immunisieren

Über den Prozessexplorer wurde mir ein versteckter Prozess angezeigt:

%SystemDrive%\Windows\System32\wfsintwq.sys

wenn man Terminate und Delete Files ausgewählt, kann man wieder alle
Webseiten aufrufen und Dateien öffnen, die ,,HiJackthis'' als Namen tragen!

Leider ist nach einem Neustart dieser Prozess wieder aktiv, und die gelöschte
Datei wieder hergestellt worden. Also habe ich den Prozess und die Datei erneut gelöscht, und im Zielverzeichniss sofort eine leere Textdatei nach
wfsintwq.sys umbenannt und sämtliche NTFS Berechtigungen von der
umbenannten Datei entfernt! Sofort war die Datei unsichtbar nur durch den
Versuch eine Datei mit dem selben Namen zu erzeugen und der Fehlermeldung, die Datei existiert bereits, wird deutlich das diese noch da ist. Da ich alle NTFS Berechtigungen entfernt habe, kann nichts mehr die Datei verändern.

Nach einem erneuten Systemstart war der der Spuk mit dem ,,hijackthis'' vorbei. Leider ließ sich aber Antivir immer noch nicht starten oder installieren,
da war noch was im System.

Mit der Files Scann Funktion von RootRepeal entdeckte ich zwei weitere Dateien, die sich nach dem Systemstarte wieder herstellten:

%SystemDrive%\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Drivers\downld und
%SystemDrive%\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Drivers\winupgro.exe

Ich wendete die gleiche Methode an: Erste ,,Force Delete'' und dann eine leere Textdatei mit dem selben Namen im Zielpfad anlegen und sämlichte NTFS Berechtigungen der Dateien entfernen. Schwups waren auch diese unsichtbar Das müss übrigens für jeden Systembenutzer wiederholt werden.

Bei einem erneuten File Scann werden diese Dateien wieder als versteckt angezeigt aber sie dürfen nicht mehr mit ,,Force Delete'' entfernt werden, da es sich ja jetzt um unsere leeren Dummy Dateien handelt um zu verhindern das der Schädling sie wieder restaurieren kann, der bekommt beim Versuch die Fehlermeldung ,,Datei existiert bereits !!" Präsentiert *lol*

Bishierher läßt sich aber immer noch kein Virenscanner wieder in Betrieb
nehmen, eine Installation wird immer noch geblockt.

Also bin ich wieder mit RootRepeal ans Werk gegangen und habe unter Treiber die Datei %SystemDrive%\Windows\System\srosa2.sys mit Force Delete entfernt. Anschließend habe ich auch hier sofort am Zielpfad eine leere
Dummydatei mit dem selben Namen angelegt srosa2.sys. Als ich dann beim entfernen der NTFS Berechtigungen auf Übernehmen geklickt habe und die
Datei unsichtbar wurde, startet der Computer sofort neu! ---> BiNGO

Nach dem Neustart ließ sich Antivir wieder über Software reparieren und startete ganz normal. Na ja, zumindestens ist damit der Sonntag wieder gerettet und habe was über die Funktionsweise von Schädlingen gelernt.

Ich hoffe das Ihr der Anleitung oben folgen könnt, durch das anlegen von leeren Dummys wird verhindert, das der Schädling beim Versuch des entfernen merkt das die Dateien nicht mehr da sind und diese wieder durch Schadcode beladene ersetzen kann.

Beste Grüße

Dodes

Hi,

das Problem ist nicht nur der Rookit, sondern das Sicherheitsloch, das durch den Systembackdoor entstanden ist. Jemand kann remote kompletten Zugriff auf Deinen Rechner gehabt haben, Passwörter abgefischt haben, Einstellungen geändert haben etc. Dass lässt sich nicht mehr nachvollziehen, damit ist nach- wie vor eine unsicher Ausgangsbasis gegeben.

Das was Du gemacht hast (löschen, Textdatei und Rechte entziehen) ist clever, leider aber für normale User wahrscheinlich zumindest "schwierig"!

Du solltest trotzdem noch GMER laufen lassen um eventuell Rest aufspüren zu können...

But it's your decision...

chris