Virus auf PC " Secutity warning"

#1 Hey, auf meinem PC kommt andauernd "Security warning", wie kann ich mein PC von dem Virus befreien? Da gab es doch so ein Merkblatt???

#2 Ich sollte erst hiernach vorgehen:
http://board.protecus.de/t23188.htm
aber sobald ich irgendewas in diese Richtung machen will, kommt sofort eine Virus meldung! Selbst den Task Manager kann ich nicht verwenden, immer schaltet sich eine " Security meldung" dazwischen.......

#3 Fange hier mal an http://board.protecus.de/t38624.htm
__________
MfG Argus

#4 Danke für die Hildes, aber sobald ich dass ausführen will, verschwindet das fenster....
Ich kann eigentlich sogut wie kein Programm ausführen ( paint, fotoshop,....)

#5 Kommst du in den Abgesicherten Modus?

Gmer
Download GMER auf dem Desktop speichern
Platform : NT/W2K/XP/VISTA
Vista benutzer Rechtsklick und als Administrator starten
Alle andere Programme schliessen
Starte Gmer.exe (random Namen)
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Klicke "Scan". Mache nichts am Computer während der Scan läuft.
Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.
Mit "Ok" wird Gmer beendet.

Wenn es nicht moeglich ist Gmer runter zu laden lade es von hier (Anhang)


__________
MfG Argus

#6 Abgesicherter Modus funktioniert, aber dann komm ich nicht ins Internet ....
Und wenn ich das Programm ausführern will, hängt es scih im abgesicherten Modus auf, und im normalen Modus kommt die "Security Warning".....

#7 Avenger
1.) Lade dir das Tool Avenger2 und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Zitat

Drivers to disable:
H8SRTd.sys

Drivers to delete:
H8SRTd.sys

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier im Thread
__________
MfG Argus

#8 Ich könnte das Programm aber nur im abgesicherten Modus starten, soll ich die Schritte dort machen?

#9 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open driver "H8SRTd.sys"
Disablement of driver "H8SRTd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\H8SRTd.sys" not found!
Deletion of driver "H8SRTd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

#10 Kannst du mir sagen um was fuer ein Fake Scanner es sich handelt?

Ist es moeglich um ein Log von Hijack This zu erstellen?


__________
MfG Argus

#11 HJT Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:53:08, on 05.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Kefel\Desktop\HijackThis.exe

R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [jowkwfck] C:\Dokumente und Einstellungen\Kefel\Lokale Einstellungen\Anwendungsdaten\sccpkn\fcdvsysguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [J8RPLTROBQ] C:\DOKUME~1\Kefel\LOKALE~1\Temp\c.exe
O4 - HKCU\..\Run: [jowkwfck] C:\Dokumente und Einstellungen\Kefel\Lokale Einstellungen\Anwendungsdaten\sccpkn\fcdvsysguard.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\ACCESS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {402EE96E-2CE8-482D-ADA5-CECEEA07E16D} - http://www.turntool.com/ViewerInstall.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{110F8A13-8243-4323-ADB1-22BCFA9484A4}: NameServer = 192.168.0.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{E52982A7-8A60-4D76-98B6-561305F9A386}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{110F8A13-8243-4323-ADB1-22BCFA9484A4}: NameServer = 192.168.0.100
O17 - HKLM\System\CS3\Services\Tcpip\..\{110F8A13-8243-4323-ADB1-22BCFA9484A4}: NameServer = 192.168.0.100
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FireDaemon Service: binconf (binconf) - Unknown owner - C:\WINNT\system32\directx\asp\mech\FireDaemon.EXE (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: FireDaemon Service: windll64 (windll64) - Unknown owner - C:\WINNT\system32\directx\asp\mech\FireDaemon.EXE (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6983 bytes


Der fake scanner: Antivirus live

Habe das wieder alles im abgesicherten Modus gemacht

#12 Download ComboFix und speichert es auf den Desktop!
Download es von hier (Anhang) umbenannt nach Brutal

Starte in Abgesicherten Modus

HijackThis
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [jowkwfck] C:\Dokumente und Einstellungen\Kefel\Lokale Einstellungen\Anwendungsdaten\sccpkn\fcdvsysguard.exe
O4 - HKCU\..\Run: [J8RPLTROBQ] C:\DOKUME~1\Kefel\LOKALE~1\Temp\c.exe
O4 - HKCU\..\Run: [jowkwfck] C:\Dokumente und Einstellungen\Kefel\Lokale Einstellungen\Anwendungsdaten\sccpkn\fcdvsysguard.exe

Klicke Fixed checked

Rechner NICHT neu starten

Starte combofix.exe (umbenannt nach Brutal)
Folge den Instruktionen in das Fenster
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
Der Editor oeffnet sich und speichere das Log (combofix.txt) auf den Desktop

Klicke im Start-Menü unter "Einstellungen" auf "Systemsteuerung". In der Systemsteuerung befindet sich das Icon "Internetoptionen", dass auswählen.
Wähle die Karteikarte "Verbindungen->Lan-Einstellungen“ und schau ob bei Proxyserver ein Häkchen steht, wenn ja -> Entfernen, dann ->OK (außer Du weist sicher das der Proxyservereintrag stimmt!).




__________
MfG Argus

#13 Ich kann den combofix log nicht finden, es kommen aber keine Virenmeldung mehr, wenn ich noch einen erstellen will, stürzt combofix ab, gibts noch eine andere Möglcihkeit?

#14 nutze mal die windows suche und suche nach
combofix.txt

versuch als nächstes malwarebytes, full scan bitte nach einem update, funde löschen, log posten.

#15 Malware:

Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3507
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

07.01.2010 14:53:51
mbam-log-2010-01-07 (14-53-51).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 132004
Laufzeit: 6 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\LEO0WTUNO7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Uninstall.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\plugins\npsaidetect.dll (Adware.Seekmo) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\plugins\npsaix.dll (Adware.Seekmo) -> Quarantined and deleted successfully.