Virus spert Antivirenprogramm Update/Internetseiten

#0
19.06.2009, 18:32
Member

Beiträge: 18
#1 Guten Tag!
Ich habe einen Virus auf meinen Pc welcher Antivirenprogramm updates und Internetseiten von Antivirenprogramm-Anbietern verhindert! Ausserdem funktionieren die Google Links nicht mehr sie führen mih auf eine seite welche ein nichts mit dem Thema zutun haben und huptsächlich Werbung enthalten!
Ich habe die Schritte von: http://board.protecus.de/t23188.htm ausgeführt!
Hier die ergebinisse:
1.Oben beschrieben
2.Temporäre Dateien beseitigt
3.Malwarebytes gemacht und Infektionen gelöcht! Hier der Log:

Zitat

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2297
Windows 6.0.6001 Service Pack 1

19.06.2009 18:01:29
mbam-log-2009-06-19 (18-01-29).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 70406
Laufzeit: 2 minute(s), 36 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 10

Infizierte Speicherprozesse:
c:\program Files\Manson\liser.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kell (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Agent) -> Data: c:\progra~1\manson\liser.dll -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Program Files\Manson (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Users\Dario\AppData\Local\Temp\VRT7F42.tmp (Worm.Koobface) -> Quarantined and deleted successfully.
c:\Windows\Temp\sdgkdwrjw4jsgewhzawe2zhzdehwa44.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Temp\txpxr_571093430164.b1k (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Windows\Temp\VRT5552.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Temp\VRT625B.tmp (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\Windows\Temp\VRTE733.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\program files\Manson\liser.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\program files\Manson\liser.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\install.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Windows\KBPK090614.log (Malware.Trace) -> Quarantined and deleted successfully.
4.Combofix neuste version ausgeführt! Error meldung! : http://img269.imageshack.us/img269/3645/errorimh.jpg

5.Hier der Log:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:13:16, on 19.06.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18248)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\Registry Mechanic\RMTray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\explorer.exe
C:\Users\Dario\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [TrayServer] C:\Program Files\MAGIX\Video_deluxe_15_Download-Version\TrayServer.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [RegistryMechanic] C:\Program Files\Registry Mechanic\RMTray.exe /H
O4 - HKCU\..\Run: [nHancer] "C:\Program Files\nHancer\nHancer.exe" /tray
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: ksrsr6ikruhjstjash353haaaa2hd80 - Unknown owner - C:\Windows\ksrsr6ikruhjstjash353haaaa2hd81.exe (file missing)
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - C:\Program Files\nHancer\nHancerService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: ThreatFire - PC Tools - C:\Program Files\Spyware Doctor\TFEngine\TFService.exe

--
End of file - 3558 bytes
Dieser Beitrag wurde am 19.06.2009 um 18:42 Uhr von Zmash editiert.
Seitenanfang Seitenende
19.06.2009, 18:35
Member

Beiträge: 3716
#2 Hi,
combofix löschen, erneut laden,
diesmal versuchen umzubenennen, hauptsache das .exe bleibt stehen, nochmal versuchen auszufüren.
Seitenanfang Seitenende
19.06.2009, 18:39
Member

Themenstarter

Beiträge: 18
#3 Gleiche Fehlermedung troz neu installation und umbennenen!

Edit: Merke grade das nach dem ausführen und der Fehlermeldung von ComboFix, sich dieses von selber löscht! ist das normal?
Dieser Beitrag wurde am 19.06.2009 um 18:44 Uhr von Zmash editiert.
Seitenanfang Seitenende
19.06.2009, 18:48
Moderator

Beiträge: 5694
#4 Start-->Ausführen kopiere rein:
sc stop ksrsr6ikruhjstjash353haaaa2hd80
Klicke OK

Nochmal dasselbe kopiere rein:
sc delete ksrsr6ikruhjstjash353haaaa2hd80
Klicke OK

Rechner neu Starten

>>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\Windows\ksrsr6ikruhjstjash353haaaa2hd81.exe
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

>>
Versuche nochmals mit Combofix.

Gruss swiss
Seitenanfang Seitenende
19.06.2009, 19:04
Member

Themenstarter

Beiträge: 18
#5 Nach dem ich dies getan habe und der Rechner neu gestartet ist, habe ich keinen Desktop mehr ...:-(
es kam eine Fehlermeldung die besagt:
An Windows wurde eine nicht autorisierte Änderung vorgenommen
ich kann nur auf schließen oder Weitere informationen erhalten sie online klicken (dadurch bin ich auch in den browser gekommen!)
bitte helft mir :-)
danke

Edit: wenn man auf schlißen drückt muss man sich neu anmelden und die fehlermeldung kommt wieder !
Seitenanfang Seitenende
19.06.2009, 19:14
Moderator

Beiträge: 5694
#6 Starte im abgesicherten Modus und versuche Combofix von dort auszuführen.
Hast du dann wirklich eine Orginal Vista Version?
Schau mal hier:
http://support.microsoft.com/kb/931699/de

Gruss Swiss
Seitenanfang Seitenende
19.06.2009, 19:18
Member

Themenstarter

Beiträge: 18
#7 vista ist original version (war beim dell rechner dabei)
ich starte jetzt mal im abgesicherten Modus

edit: http://support.microsoft.com/kb/931699/de
kann ich nicht aufrufen
Seitenanfang Seitenende
19.06.2009, 19:21
Moderator

Beiträge: 5694
#8 Aber der abgesicherte Modus geht??
Seitenanfang Seitenende
19.06.2009, 19:22
Member

Themenstarter

Beiträge: 18
#9 Habe ich noch nicht probiert moment!
hoffe komme wenn es nicht klapt wieder ins forum :-)
hoffentlich bis gleich!
Seitenanfang Seitenende
19.06.2009, 19:28
Member

Themenstarter

Beiträge: 18
#10 Der abgesichertemodus funktioniert! (hätte ich nicht gedacht, nachdem was ich über diese art von vieren gelesen habe...)
ComboFix ist aber trozdem nicht ausführbar!
mein desktop ist aber wieder da!

Edit: also weiterhin die fehlermeldung!
Seitenanfang Seitenende
19.06.2009, 20:12
Member

Themenstarter

Beiträge: 18
#11 Als ich meinen rechner grade neugestartet habe kam von avenger:

Zitat

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Windows\ksrsr6ikruhjstjash353haaaa2hd81.exe" not found!
Deletion of file "C:\Windows\ksrsr6ikruhjstjash353haaaa2hd81.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
20.06.2009, 09:02
Member

Themenstarter

Beiträge: 18
#12 ok danke!
habe ich gemacht hatte 9 infektionen!
alle gelöscht! (gibt kein log davon oder?)
Doch Problem ist immer noch da!
grüße Zmash
Seitenanfang Seitenende
20.06.2009, 09:16
Member

Themenstarter

Beiträge: 18
#13 habe das Programm ein zweites mal ausgeführt da er manche datein nicht uploaden konnte!
und es findet wieder eine menge Viren! (man wie schnell man Viren auf den Pc bekommt wenn mal das Antiviren systehm nict geht...!)

Edit: Manche Daten können nicht upgeloadet werden und manche viren werden nicht gelöscht! ist das normal oder muss ich was anders machen?
Zmash
Dieser Beitrag wurde am 20.06.2009 um 09:20 Uhr von Zmash editiert.
Seitenanfang Seitenende
20.06.2009, 10:21
Member

Beiträge: 3716
#14 gibt es logfiles? posten bitte
Seitenanfang Seitenende
21.06.2009, 07:15
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#15 Download und Installiere Kaspersky AVP tool
http://www.virus-protect.org/artikel/tools/kaspersky.html

Diese Fehlermeldung "An Windows wurde eine nicht autorisierte Änderung vorgenommen"kommt vermutlich daher das auf dein Rechner sich ein Program befindet die NICHT fuer Vista geeignet ist

Im Artikel von Microsoft steht z.b "PC Tools Firewall Plus" ;)
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: