Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Taskmanager/Regedit gesperrt (https://www.trojaner-board.de/76890-taskmanager-regedit-gesperrt.html)

cryx 29.08.2009 12:04

Taskmanager/Regedit gesperrt
 
Guten Tag.

Seit einer Weile ist mein Taskmanager und der Regedit Befehl gesperrt.
Ich habe dann versucht mithifle von TuneUp in die Registry Einträge zu kommen und auch mit Erfolg die Werte für DisableTsk-und Regedit geändert.
Nun ändert sich der Wert aber trotzdem noch auf 1. Beim Löschen passiert das gleiche. Ich weiß nicht was ich machen soll pls help.

Hier mein HiJackThis Log-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:03:43, on 29.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\Java\jre1.5.0\bin\jucheck.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 4777 bytes

uptodate 29.08.2009 12:20

Hi cryx !

Fixe mit Hijackthis

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

Ich kann auf Deinem System weder einen Antivirescanner erkennen (ausser SpywareDr.), noch das Dein System aktuell ist ! :pfui:

Lade Dir nach dem fixen antivir runter, und lass dieses durchlaufen.
+ Malwareantispy ! :daumenhoc

Bring Dein System "UPTODATE" !!!!!

Sp2 = SP3
InternetExplorer= 8

Mfg
Martin

myrtille 29.08.2009 12:53

Hi cryx,

bitte NICHTS mit dem Namen Malwareantispy herunterladen!

Die Chancen, dass es sich dabei selbst um einen Schädling handelt sind sehr groß!

Arbeite stattdessen bitte folgendes ab:

Rootkitscan mit RootRepeal
  • Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
  • Entpacke die Datei auf Deinen Desktop.
  • Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
  • Klicke auf den Reiter Report und dann auf den Button Scan.
  • Mache einen Haken bei den folgenden Elementen und klicke Ok.
    .
    Drivers
    Files
    Processes
    SSDT
    Stealth Objects
    Hidden Services

    .
  • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
  • Wähle C:\ und klicke wieder Ok.
  • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
  • Wenn der Suchlauf beendet ist, klicke auf Save Report.
  • Speichere das Logfile als RootRepeal.txt auf dem Desktop.
  • Kopiere den Inhalt hier in den Thread.

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

Hast du das Antivirenprogramm von SpywareDoctor oder nur das Antispywareprogramm?

lg myrtille

cryx 29.08.2009 14:42

Danke für die Antworten.

Also wegen dem miesen Systemstatus, das liegt daran das ich meinen Computer neuformatiert habe, wegen den Viren. Aber nach allem habe ich ihn immer noch. Antivirusprogramm wollte ich noch installieren, SpywareDoctor war nur eine Testversion, zum Anzeigen der Viren die ich momentan habe.

Hier der Logfile von RootRepeal:

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/08/29 15:44
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP2
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF3DEA000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7D63000 Size: 8192 File Visible: No Signed: -
Status: -

Name: injpjl.sys
Image Path: C:\WINDOWS\system32\drivers\injpjl.sys
Address: 0xF7D69000 Size: 5184 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB7B3F000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\RootRepeal report 08-29-09 (15-44-25).txt
Status: Visible to the Windows API, but not on disk.

Path: C:\System Volume Information\_restore{8C838208-7A1B-4DD7-9822-E5D11F44F8F1}\RP45\sessionstore.js
Status: Locked to the Windows API!

Path: C:\System Volume Information\_restore{8C838208-7A1B-4DD7-9822-E5D11F44F8F1}\RP45\A0012537.exe
Status: Visible to the Windows API, but not on disk.

Path: C:\System Volume Information\_restore{8C838208-7A1B-4DD7-9822-E5D11F44F8F1}\RP45\A0012538.EXE
Status: Visible to the Windows API, but not on disk.

Path: C:\System Volume Information\_restore{8C838208-7A1B-4DD7-9822-E5D11F44F8F1}\RP45\A0012539.EXE
Status: Visible to the Windows API, but not on disk.

Path: C:\System Volume Information\_restore{8C838208-7A1B-4DD7-9822-E5D11F44F8F1}\RP45\A0012540.EXE
Status: Visible to the Windows API, but not on disk.

Path: c:\dokumente und einstellungen\besitzer\anwendungsdaten\mozilla\firefox\profiles\pjs9dosa.default\sessionstore.js
Status: Size mismatch (API: 16729, Raw: 16693)

Path: c:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\mozilla\firefox\profiles\pjs9dosa.default\cache\_cache_001_
Status: Size mismatch (API: 1052069, Raw: 1031404)

Path: c:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\mozilla\firefox\profiles\pjs9dosa.default\cache\_cache_002_
Status: Size mismatch (API: 1020998, Raw: 979145)

Path: c:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\mozilla\firefox\profiles\pjs9dosa.default\cache\_cache_003_
Status: Size mismatch (API: 2926791, Raw: 2918149)

==EOF==


_____________________________________________________________

Ein Logfile ist anghänht das andere ist aber zu groß

myrtille 29.08.2009 15:51

Hi,


das sieht gar nicht gut aus :( Du wirst wohl nochmal formatieren müssen.

Könntest du bitte das fehlende Log bei file-upload hochladen und den Downloadlink hier angeben.

Ich werde dich dann noch eine Datei zur Kontrolle bei Virustotal auswerten lassen, aber du solltest dir diese Anleitung zum Neuaufsetzen schonmal durchlesen.

lg myrtille

cryx 30.08.2009 09:40

Guten Morgen,

hört sich aber nicht gut an. Sind es sehr viele kritische Viren die ich auf dem Rechner habe? Ich bin mir sogar fast sicher das es von einer meiner Sicherungsdateien ist, die infiziert worden ist und bei der Neuinstallation wieder in das System kam.

Hier ist der OTL-Log:
http://www.file-upload.net/download-1855976/OTL.Txt.html

myrtille 30.08.2009 10:14

Hi,

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\winrkikv.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Wenn winrkikv.exe nicht mehr da ist, dann schau ob du eine andere Datei findest, die mit win***.exe heißt, wobei *** durch beliebige Buchstaben ersetzt werden kann.

Sehr viel deutet daraufhin, dass du dir Sality eingefangen hast. Das ist ein Virus, der deine ausführbaren Dateine infiziert, wenn du also Setups oder Updates vom infizierten Rechner auf den neuaufgesetzten Rechner kopiert hast, dann wirst du dich damit infiziert haben.
Außerdem infiziert Sality alle externen Medien, sodass diese beim anschließen an einen Rechner, den Rechner ebenfalls infizieren.

Suche bitte alle deine externen Medien zusammen.
Download den Flash Disinfector von sUBs und speichere die Datei auf Deinem Desktop.
  • Bitte trenne den Rechner vom Netz (WLAN nicht vergessen).
  • Schalte Antiviren-Programm und Firewall ab.
  • Alle USB-Sticks und externe Medien anschließen.
  • Starte die Flash_Disinfector.exe durch Doppelklick. Folge ggfs. den Anweisungen.
  • Dein Desktop wird kurzfristig verschwinden und dann wiederkommen, das ist normal.
  • Warte, bis das Programm den Scan beendet hat, dann schließe das Programm.

Damit sollten deine externen Medien gesäubert sein und keine weiteren Rechner infizieren können.

Schau dir schonmal die Anleitung zum Neuaufsetzen an, vor allem ist wichtig, dass du keine ausführbaren Dateien sicherst (exe,com, scr,pif, etc).

lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131