Home » Viren, Trojaner & Malware Forum » Problem mit Trojanern... Sicherheitsprogramme deaktiviert WICHTIG! » Themenansicht

Problem mit Trojanern... Sicherheitsprogramme deaktiviert WICHTIG!
#0
24.08.2005, 17:53
soci
...neu hier

Beiträge: 5
#1 Ich brauche Hilfe! Problem mit Trojanern... Sicherheitsprogramme deaktiviert

... dass heißt das zum Beispiel der Antivir Guard nicht mehr arbeitet. Danach habe ich mir etwa 6 Programme gedownloadet aber sie finden nix.

Syntome:

- selbstständige Deaktivierung der Sicherheitsprogramme
- ständige (alle 5 min.) neue Werbung
- IE hat als Standard eine "Suchseite" obwohl about:black eingestellt ist
- selbstständige Installation eines Programms namens "PS Guard Trojan Remover" welcher aber nur Dateien sucht und wohlmöglich ein maskiertes Prog zum Einscannen von Dateien ist
- langsameres Internet
- rechts unten in der Taskleiste ein Roter Kreis mit Ausrufezeichen bei rechtsklick erscheint "Your computer is infected! Click here to protect your computer from spyware/virus Thread" bei klick gelangt man auf http://www.psguard.com/?aff=1&sub=0

BITTE HELFT MIR ... ICH HOFFE ICH BLEIBE VON EINER SYSTEMNEUINSTALLATION ERSPART?!

edit:

das logfile

Logfile of HijackThis v1.99.1
Scan saved at 18:07:27, on 24.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\UltimateZip 2.7\uzqkst.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\steffen\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\steffen\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\steffen\LOKALE~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {829BFE28-A597-4A6B-9BD5-7FC6DB1B69D9} - C:\WINDOWS\system32\mhep.dll
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\steffen\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip 2.7\uzqkst.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Filter: text/html - {78F7F622-BB36-4BF4-90DC-A52D49981755} - C:\WINDOWS\system32\mhep.dll
O18 - Filter: text/plain - {78F7F622-BB36-4BF4-90DC-A52D49981755} - C:\WINDOWS\system32\mhep.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
Dieser Beitrag wurde am 24.08.2005 um 18:11 Uhr von soci editiert.
Seitenanfang Seitenende
24.08.2005, 19:28
Gool
Member
Avatar Gool

Beiträge: 4730
#2 Arbeite das folgende ab:

about:blank
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Fixe mit HJT ("scan" -> Häkchen setzen -> "fix checked") sofern noch vorhanden:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\steffen\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\steffen\LOKALE~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {829BFE28-A597-4A6B-9BD5-7FC6DB1B69D9} - C:\WINDOWS\system32\mhep.dll
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\steffen\LOKALE~1\Temp\se.dll,DllInstall
O18 - Filter: text/html - {78F7F622-BB36-4BF4-90DC-A52D49981755} - C:\WINDOWS\system32\mhep.dll
O18 - Filter: text/plain - {78F7F622-BB36-4BF4-90DC-A52D49981755} - C:\WINDOWS\system32\mhep.dll

KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Aktiviere "Delete on Reboot". Folgendes in das Eingabefeld einfügen und mit Klick auf das weiße Kreuz im roten Kreis bestätigen. Die Frage, ob jetzt neugestartet werden soll ("reboot now?") erst nach der letzten Datei mit Ja bestätigen.

C:\WINDOWS\system32\mhep.dll
C:\WINDOWS\SYSTEM\intell32.exe
C:\Programme\PSGuard\PSGuard.exe

PC wird neugestartet

Lösche:
C:\Programme\PSGuard

smitRem:
Download: http://noahdfear.geekstogo.com/

Entpacke smitRem, gehe in den Ordner und führe RunThis.bat aus (Doppelklick)

Es dauert dann ein Weilchen bis der Scan beendet ist (der Bildschirm wird blau werden - das ist normal).

Suche die smitfiles.txt und poste die Textdatei in den Thread.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
24.08.2005, 22:24
soci
...neu hier

Themenstarter

Beiträge: 5
#3 danke schonnmal im vorraus .. scheint bisher alles zu klappen :-)

***********************
smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ShudderLTD key present! Running LTDFix!

ShudderLTD key was successfully removed! ;)


Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

wininet.dll INFECTED!! ;) Starting replacement procedure.


~~~~ Looking for C:\WINDOWS\system32\dllcache\wininet.dll ~~~~


~~~~ C:\WINDOWS\system32\dllcache\wininet.dll Present! ~~~~


~~~~ Checking dllcache\wininet.dll for infection ~~~~


~~~~ dllcache\wininet.dll Clean! ~~~~

~~~ Replaced wininet.dll from dllcache ~~~
Seitenanfang Seitenende
24.08.2005, 23:38
Gool
Member
Avatar Gool

Beiträge: 4730
#4 Fein ;)
Wie schauts nun aus? Ich hoffe, dass es besser ist. Bitte mache einen Scan mit Ewido und berichte davon.

Da 99% aller von uns hier behandelten "Kunden" ihre Probleme dadurch haben, dass sie den Internet Explorer benutzen, möchte ich Dich auf alternative Browser wie Firefox und Opera hinweisen:
http://firefox-browser.de
http://opera.com

Beide Browser sind sehr viel sicherer als der Internet Explorer und bieten überdies sehr viele Funktionen. Der Firefox kann mit unendlich vielen Erweiterungen nachgerüstet werden (u.a. über addons.mozilla.org oder erweiterungen.de). Der Internet Explorer sollte nur im äußersten Notfall verwendet werden.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
25.08.2005, 11:04
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 ueberpruefe bitte auch in der Registry folgende Schluessel:
welcher Wert ist eingetragen? 1 oder 0 ?

* Modifies value "FirewallDisableNotify"="" in key "HKLM\Software\Microsoft\Security Center".
* Modifies value "UpdatesDisableNotify"="" in key "HKLM\Software\Microsoft\Security Center".
* Modifies value "AntiVirusDisableNotify"="" in key "HKLM\Software\Microsoft\Security Center".
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.08.2005, 16:26
soci
...neu hier

Themenstarter

Beiträge: 5
#6 alles auf null außer FirstRunDisabled da steht was von 0x00(..)001 (1)


soll ich auf eins setzen?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1