Trojaner-Board - Komme nicht auf AV Seiten und AV kann auch nicht updaten

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Komme nicht auf AV Seiten und AV kann auch nicht updaten (https://www.trojaner-board.de/70740-komme-av-seiten-av-updaten.html)

Komme nicht auf AV Seiten und AV kann auch nicht updaten

Guten Tag,

ich habe zZ folgendes Problem und zwar:

1) Ich komme mit meinem Rechner nicht auf Internetseiten die mit Antivursprogrammen oder online Virenscannern zu tun haben.

2) Ich komme mit meinem Pc auch nicht auf bekannte seiten wie Micorosoft (als ich versuchte mir SP 3 runterzuladen und auch nicht auf z.b Trojaner Board.

3) Antivirusprogramme können nicht updaten und finden auch keinen virus habe Panda Internet Security 2009 und G Data Internet Security 2009 ausprobiert, und auch Malewarebytes Anti-Malware ausprobiert finde auch nix und kann nicht updaten

bin hier an einem 400 mhz Laptop neben meinem Rechner und weiß nichtmehr weiter, mein Rechner is ziemlich Neu, habe vor kurzem Windows xp-home Original mit SP 2 aufgespielt. Nachdem das Problem auftrat sp3 manuell gedownloaden auf usb stick und auf Rechner Installiert, doch das Problem bleibt bestehen..

Ich hoffe ihr könnt mir helfen.

Mfg,
D4rk331

:hallo: und herzlich willkommen beim Trojaner-Board...;) so ein Problem tritt häufiger auf in letzter zeit.. am besten fangen wir erstmal mit einem hijack-log-file an. lade dir erstmal hijackthis herunter, installiere es führe es unter der hijackthis.exe aus ( icon ist immer auf dem destkopt) und mache einen scan UND ein logfile "Do a system scan and save a logfile" danach poste bitte das ergebnis. Ich weiß nicht ob es noch viel rettung für deinen pc gibt aber warten wir erstmal ab... mit freundlichen grüén Killtrojans;)

Danke, so ich hoffe ich habs richtig gemacht hier is der Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:40:48, on 07.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\GIGABYTE\EnergySaver\GSvr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA\InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\QIP Infium\infium.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\InternetSecurity\AVKTray\AVKTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Infium] "C:\Programme\QIP Infium\infium.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 6105 bytes

Weiß denn keiner Rat ? oder habe ich das falsche gepostet ?

Hallo und :hallo:

GMER - Rootkit Detection

Lade Tralala von File-Upload.net - Tralala.exe
Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
Doppelklick auf Tralala.exe

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg
Der Reiter Rootkit oben ist schon angewählt
Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner.de hoch und poste den Link.
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Hab ich gemacht und er meinte auch irgendwas mit Warning.. hier der Log

habs in einem Textdokument gespeichert und hier hochgeleden

http://www.materialordner.de/ApQWk3Y0ZtuvUuEzsg3lwgtFwouw17pr.html

Mfg,
D4rk331

1.) Deinstalliere vorübergehend Alcohol 120.

2.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Drivers to delete:

Lanmanman

lgvbbav
 

Files to delete:

C:\WINDOWS\system32\bqyprs.dll

C:\Programme\Internet Explorer\wswdnvdf.dll

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

3.) Poste ein neues Gmer-Log.

ciao, andreas

Danke <3 Ich komme wieder auf Antivirus Seiten und mein Antivirus kann auch wieder updaten = ) aber zur sicherheit :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "Lanmanman" deleted successfully.
Driver "lgvbbav" deleted successfully.
File "C:\WINDOWS\system32\bqyprs.dll" deleted successfully.
File "C:\Programme\Internet Explorer\wswdnvdf.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Und hier neuer Gmer-Log:

http://www.materialordner.de/K5k67sB...YlZhQlsvW.html

Hatt diesmal auch keine Warnung abgegeben, vielen Dank für die Hilfe !.

Habe aber noch eine kleine Frage und zwar, Verträgt sich die Windows Firewall mit den Firewalls von Antivirus Programmen ? also Empfehlt ihr eher die Windows Firewall zusätzlich anzulassen oder behindern die sich gegenseitig ?

Edit:// Kann ich Alcohol 120 % wieder installieren oder hatt es etwas damit zu tun ?

Mfg,
D4rk331

Halt, halt! Die schlimmsten Bösewichter sind gekillt, aber erstens sind dort noch Reste und zweitens haben die leider jede Menge nachgeladen. Das muss auch noch entfernt werden.

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Registry keys to delete:

HKLM\SYSTEM\ControlSet003\Services\Lanmanman

HKLM\SYSTEM\ControlSet003\Services\lgvbbav

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log.

ciao, andreas

Ok

Avenger:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKLM\SYSTEM\ControlSet003\Services\Lanmanman" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\lgvbbav" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Neuer Gmer:

http://www.materialordner.de/VHjRXx7Km7ZxfVsrj9qs7jhvKB5W9c9U.html

Mfg,
D4rk331

So, das Log ist sauber. Nun an die Reste. Aufmerksam lesen und abarbeiten (HJT-Log brauchst du nicht): http://www.trojaner-board.de/69886-a...-beachten.html

ciao, andreas

Jo, hab alles erledigt, vielen Dank für eure Hilfe !.

Mfg,
D4rk331

/closed

Hallo,

ich habe exakt das gleiche Problem wie der Threadersteller und hoffe ihr könnt mir helfen.
Bin auch nur zufällig darauf gestoßen weil ich mich heute ein bisschen mit dem Conficker Wurm befasst habe (da ja morgen die Welt untergehen soll ;-) ) und versucht dieses Ding mittels Rootkit Tools zu identifizieren.

Jedoch bin ich erst gar nicht auf die AV Seiten gekommen und das hat mich stutzig gemacht. Da auch die Updatefunktion von Antivir bis vor einer Woche nicht geklappt hat (habe danach die neue Version installiert) ist das Rätsel jetzt gelöst.

Ich habe dann mal Gmer bzw. tralala.exe (Gmer.exe wurde wohl blockiert) durchlaufen lassen und der hat auch einen Rootkit gefunden.

Ich hab die Gmer.log hier hochgeladen denn ich werd daraus nicht ganz schlau.
http://www.materialordner.de/jX1UGUC...px9b2KCsV.html

Eine Zeile ist rot markiert (Type: Service Name: ..\svchost.exe)

Ich hoffe ihr könnt mir helfen denn das beunruhigt mich doch sehr da ich nicht weiss was dieser Rootkit alles anstellen kann.
OS ist Win2000 SP4 mit Patches bis Feb2009

Vielen Dank!
Olli

Hallo Olli77 und :hallo:

Bitte eröffne wie jeder hier dein eigenes Thema. Anschliessend klicke auf den Link "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die Liste unter Punkt 2 ab.

ciao, andreas