Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   AntiVir entfernt Virus - nach Neustart kein Explorer/Desktop/Taskmanager (https://www.trojaner-board.de/79322-antivir-entfernt-virus-neustart-kein-explorer-desktop-taskmanager.html)

JoeyDe 11.11.2009 00:41
AntiVir entfernt Virus - nach Neustart kein Explorer/Desktop/Taskmanager
 
Hallo Leute,
ich habe hier einen Rechner wo ich momentan nicht mehr weiter weiss.

Die Vorgeschichte:
Laptop von einer Kollegin, Windows XP Home SP3, sie hat einen USB-Stick angeschlossen, meldet AntiVir einen Virus..eine autorun.exe und eine autorun.inf.
Der Virus wurde als win32.psw.ldpinch erkannt.
Der USB Stick war von ihr und wurde sonst nirgends verwendet, ergo konnte der Virus nur von ihren Rechner stammen.
Scannt draufhin den kompletten Rechner und der Virus wurde unter C:\Programme\Gemeinsame Dateien als svchost.exe gefunden.

Und das Problem ist nun, wenn der Laptop gestartet wird, erscheint das Login-Bild wo man die Benutzer auswählen kann und anschließend rattert der PC weiter doch es erscheint kein Desktop oder Taskleiste.
Der Taskmanager lässt sich auch nicht aufrufen (nur im abgesicherten Modus).
Einmal konnte ich beobachten wie auf dem leeren Desktop das Antivir-Update Programm erscheint und sich selbst aktualisiert.

Im Abgesicherten Modus mit Eingabeaufforderung ist es mir möglich den Taskmanager zu starten.
Im normalen abgesicherten Modus nicht.
Desktop & Taskleiste sind ebenfalls nicht vorhanden und das starten von Explorer.exe oder IEexplorer.exe ist mir ebenfalls nicht möglich. (explorer.exe wurde nicht gefunden)

Ich habe die Reperaturfunktion von der XP CD durchgeführt was keinen Erfolg brachte.
Per BartPE einen Virenscann mit Cureit von Dr. Web über die Festplatte gemacht, Virus wurde keiner gefunden.

Hier mal die HiJackThis-Log:
[QUOTE]Hallo Leute,
ich habe hier einen Rechner wo ich momentan nicht mehr weiter weiss.

Die Vorgeschichte:
Laptop von einer Kollegin, Windows XP Home SP3, sie hat einen USB-Stick angeschlossen, meldet AntiVir einen Virus..eine autorun.exe und eine autorun.inf.
Der Virus wurde als win32.psw.ldpinch erkannt.
Der USB Stick war von ihr und wurde sonst nirgends verwendet, ergo konnte der Virus nur von ihren Rechner stammen.
Scannt draufhin den kompletten Rechner und der Virus wurde unter C:\Programme\Gemeinsame Dateien als svchost.exe gefunden.

Und das Problem ist nun, wenn der Laptop gestartet wird, erscheint das Login-Bild wo man die Benutzer auswählen kann und anschließend rattert der PC weiter doch es erscheint kein Desktop oder Taskleiste.
Der Taskmanager lässt sich auch nicht aufrufen (nur im abgesicherten Modus).
Einmal konnte ich beobachten wie auf dem leeren Desktop das Antivir-Update Programm erscheint und sich selbst aktualisiert.

Im Abgesicherten Modus mit Eingabeaufforderung ist es mir möglich den Taskmanager zu starten.
Im normalen abgesicherten Modus nicht.
Desktop & Taskleiste sind ebenfalls nicht vorhanden und das starten von Explorer.exe oder IEexplorer.exe ist mir ebenfalls nicht möglich. (explorer.exe wurde nicht gefunden)

Ich habe die Reperaturfunktion von der XP CD durchgeführt was keinen Erfolg brachte.
Per BartPE einen Virenscann mit Cureit von Dr. Web über die Festplatte gemacht, Virus wurde keiner gefunden.

Hier mal die HiJackThis-Log:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:38, on 10.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\cmd.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [VModes] VModes 1024 768 32 60
O4 - HKLM\..\Run: [SRFirstRun] rundll32 srclient.dll,CreateFirstRunRp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD7/JSCDL/jdk/6u12-b04/jinstall-6u12-windows-i586-jc.cab?AuthParam=1234209082_3217096ab0639c4e2665bc53320a2777&GroupName=JSC&FilePath=/ESD7/JSCDL/jdk/6u12-b04/jinstall-6u12-windows-i586-jc.cab&File=jinstall-6u12-windows-i586-jc.cab&BHost=javadl.sun.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs:
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DCOM-Server-Prozessstart DcomLaunchAntiVirScheduler (DcomLaunchAntiVirScheduler) - - C:\WINDOWS\system32\accwiza.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remoteprozeduraufruf (RPC) RpcSsDnscache (RpcSsDnscache) - - C:\WINDOWS\system32\accwiza.exe
O23 - Service: Smartcard SCardSvrCOMSysApp (SCardSvrCOMSysApp) - - C:\WINDOWS\system32\accwiza.exe
O23 - Service: Windows-Bilderfassung (WIA) stisvcWZCSVC (stisvcWZCSVC) - - C:\WINDOWS\system32\accwiza.exe
O23 - Service: Dienst für Seriennummern der tragbaren Medien WmdmPmSNBrowser (WmdmPmSNBrowser) - - C:\WINDOWS\system32\accwiza.exe
O23 - Service: Automatische Updates wuauservEapHost (wuauservEapHost) - - C:\WINDOWS\system32\accwiza.exe
O23 - Service: Konfigurationsfreie drahtlose Verbindung WZCSVCEapHost (WZCSVCEapHost) - - C:\WINDOWS\system32\accwiza.exe

--
End of file - 5727 bytes
Die verdächtige Datei accwiza.exe ist nicht vorhanden,
die Dienste habe ich zur Vorsicht alle deaktiviert. Brachte keine Änderung.

Bin für jeden Hinweis dankbar :)

JoeyDe 11.11.2009 09:22
Kleiner Nachtrag von mir.
Habe mit Malwarebytes die Kiste nochmals gescannt:

Code:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 5.1.2600 Service Pack 3 (Safe Mode)

11.11.2009 09:15:31
mbam-log-2009-11-11 (09-14-53).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 122100
Laufzeit: 29 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\debugger (Security.Hijack) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: ibdsnd.dll  -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\Microsoft Common (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\ibdsnd.dll (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
Erstaunlich was das Programm noch alles findet, wenn man bedenkt das Antivir und CureIt und Comodo Virenscanner schon drüber gelaufen sind.

JoeyDe 11.11.2009 10:17
Nach Neustart und nochmaligen Scannen:

Code:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 5.1.2600 Service Pack 3 (Safe Mode)

11.11.2009 09:58:22
mbam-log-2009-11-11 (09-58-22).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 122109
Laufzeit: 24 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Das Problem mit Explorer, Desktop, Taskmanager & Co. bestehlt leider immer noch.

Was tun?

JoeyDe 11.11.2009 23:24
Thema erledigt :)

Schuld an der Misere war die Windows-Produktaktivierung.
Nachdem ich diese mit div. Hilfsmitteln "Umgangen" bin konnte ich den PC wieder ganz normal starten.
Anschließend habe ich die im laufenden Betrieb die "Umgehung" aufgehoben und mit dem gültigen Key wieder aktiviert. :)

Der PC ist scheinbar nach div. Viren/Trojaner-Scanner frei von Ungeziefer,
aber ich habe trotzdem eine totale Neuinstallation empfohlen.

Habe folgende Scanner verwendet:
Antivir
CureIt
Comodo Virenscanner
Dr. Web CureIt
Malwarebytes
A-Squared
HiJackTHis

CureIt hat zu keiner Zeit was gefunden
was mich doch ein wenig verwundert hat.
AntiVir einen Teil, Comodo auch einige Files.
Interessant wäre gewesen ob A-Squared die Files welche Malwarebytes gefunden hatte ebenfalls aufgespürt hätte,
da dieser Scanner gute Bewertungen auf diversen Testseiten bekommt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19