fake "windows security allert" - kann avenger nicht finden

#1 Hallo,
ich hab hier ein schon in diesem Forum öfter beschriebenes problem. windows security allerts weißt auf zahlreiche bedrohungen hin - pornolinks - malware hinweise. hab den CCleaner runtergeladen und die temps gelöscht; dann mbam unter anderem namen runtergeladen (ließ sich nicht öffnen) auf dem von euch geposteten avenger-link hin kommt nur "die seite kann nicht angezeigt werden". hab ein anderes avenger runtergeladen ( Malware-Avenger-1.0-Build-08320) da passiert nicht viel. Leider ist mein System z.Z. nicht so stabil, dass ich meine dateien sichern könnte um die Festplatte neu zu formatieren. Es hängt sich dann immer wieder auf. Abgesicherter modus geht aus irgendeinem Grund auch nicht. Bin langsam am Ende mit meinem latein.

Schonmal Vorschußdank und Liebe Grüße
baluba

#2 http://board.protecus.de/t23188.htm
versuch combofix, vor dem speichern, also noch wenn du auf speichern unter gehst, endere den dateinamen in 123.exe
um starte das programm, poste das log.
danach sollte auch malwarebytes laufen.

#3 Hallo und danke für die schnelle Antwort virenfinder,

"versuch combofix"
hat leider nicht geklappt. auch hier heißt es wie bei avenger "Der Server unter download.bleepingcomputer.com konnte nicht gefunden werden.".
Welche Möglichkeiten gibt es denn noch?

#4 Hi,

das ist eine neue Version die den Download von ihm gefährlich werdenden Tools blockt u. U. auch nicht mehr beim Rookitscann von Avenger gefunden werden kann...

Versuche Avenger hier urnterzuladen:
http://www.file-upload.net/download-2170195/av_en_ger_le.exe.html

chris&out

#5 Hallo,
also: Avanger runterladen hat jetzt geklappt (Danke für den Tipp). Nachdem avenger-boot fährt mein rechner nun aber nicht mehr hoch sondern resetet nach dem windowslogo. Ich glaube das wars nun. Oder hat jemand noch rat?

#6 eig solltest du auch nicht den avenger nehmen...
kommst du noch in den abgesicherten modus?
funktioniert letzte bekannte funktionierende konfiguration laden

#7 nein - ich kann die Menupunkte nicht ansteuern - als würde die Tastatur nicht funktionieren. Nachdem ich f8 gedrückt habe, öffnet sich zwar der Bildschirm aber ich krieg den curser nicht zum abgesicherten modus.

"eig solltest du auch nicht den avenger nehmen..."
was sollte ich denn nehmen? mbam reagiert nicht, combofix wird nicht gefunden.

kann nochnichtmal die festplatte formatieren weil das system, auch beim boot über die CD, sich entweder rebootet (bei Windows) oder aufhängt (bei ubuntu). kann ich irgendwie über einen zweiten rechner die festplatte anschließen und neu formatieren?

#8 ja, kannst du.
du hättest zb combofix umbenennen können etc. aber ist ja nu zu spät :-) also platte wo anders anklämmen und formatieren.
bzw hätte cih dir die dateien anhängen können.

#9 "du hättest zb combofix umbenennen können etc."dafür hätte ich es erstmal zum download angeboten bekommen müssen stattdessen kam "Der Server unter *** konnte nicht gefunden werden"


"also platte wo anders anklämmen und formatieren."
und wie mache ich das? hab sowas bislang nicht gemacht. Wie kann ich verhindern den anderen rechner dabei zu infizieren? ist bei security allert etwas über bootsektorviren bekannt?

Fragen über Fragen

#10 bootsektor viren, denke nein.
http://grundlagen-computer.de/hardware/festplatte-einbauen-anleitung-hdd-einbauen
das sollte dir helfen.

#11 Hallo,
ich hab die festplatte in einen anderen Rechner eingebaut und combofix drüberlaufenlassen.
Kann ich jetzt die Festplatte wieder in den alten Rechner einbauen? Ist der Virus weg?

Hier das Log:

ComboFix 10-01-19.08 - Rosi.Fischer 20.01.2010 20:02:06.1.1 - x86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.49.1031.18.255.104 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Rosi.Fischer\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Internet Explorer\SET296.tmp
c:\winnt\Downloaded Program Files\Cache
c:\winnt\Downloaded Program Files\RdxIE.dll
c:\winnt\Downloaded Program Files\tbu72
c:\winnt\Downloaded Program Files\tbu72\basis.xml
c:\winnt\Downloaded Program Files\tbu72\brasilian.xml
c:\winnt\Downloaded Program Files\tbu72\checkmytrip_80x16.bmp
c:\winnt\Downloaded Program Files\tbu72\CheckMyTrip_US.crc
c:\winnt\Downloaded Program Files\tbu72\CheckMyTrip_US.dll
c:\winnt\Downloaded Program Files\tbu72\CheckMyTrip_US.inf
c:\winnt\Downloaded Program Files\tbu72\english_UK.xml
c:\winnt\Downloaded Program Files\tbu72\english_US.xml
c:\winnt\Downloaded Program Files\tbu72\enviar_BR.bmp
c:\winnt\Downloaded Program Files\tbu72\enviar_ES.bmp
c:\winnt\Downloaded Program Files\tbu72\finnish.xml
c:\winnt\Downloaded Program Files\tbu72\french.xml
c:\winnt\Downloaded Program Files\tbu72\german.xml
c:\winnt\Downloaded Program Files\tbu72\icons.bmp
c:\winnt\Downloaded Program Files\tbu72\invia_IT.bmp
c:\winnt\Downloaded Program Files\tbu72\italian.xml
c:\winnt\Downloaded Program Files\tbu72\newversion.txt
c:\winnt\Downloaded Program Files\tbu72\soumettre_FR.bmp
c:\winnt\Downloaded Program Files\tbu72\spanish.xml
c:\winnt\Downloaded Program Files\tbu72\submit_blue.bmp
c:\winnt\Downloaded Program Files\tbu72\tallenna_FI.bmp
c:\winnt\Downloaded Program Files\tbu72\tbupdate.cab
c:\winnt\Downloaded Program Files\tbu72\version.txt
c:\winnt\Downloaded Program Files\tbu72\weiter_DE.bmp
c:\winnt\setup.exe
c:\winnt\Web\default.htt

c:\winnt\system32\comres.dll . . . ist infiziert!!

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-20 bis 2010-01-20 ))))))))))))))))))))))))))))))
.

2010-01-20 00:54 . 2010-01-20 00:54 -------- d-----w- c:\programme\CCleaner
2010-01-18 19:44 . 2010-01-18 19:44 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2010-01-18 19:42 . 2010-01-18 20:28 -------- d-----w- c:\programme\DivX
2010-01-18 19:35 . 2009-03-30 08:32 97512 ----a-w- c:\winnt\system32\drivers\avipbb.sys
2010-01-18 19:35 . 2009-03-24 14:07 65240 ----a-w- c:\winnt\system32\drivers\avgntflt.sys
2010-01-18 19:35 . 2009-02-13 10:28 18520 ----a-w- c:\winnt\system32\drivers\avgntmgr.sys
2010-01-18 19:35 . 2009-02-13 10:16 64488 ----a-w- c:\winnt\system32\drivers\avgntdd.sys
2010-01-18 19:35 . 2010-01-18 19:35 -------- d-----w- c:\programme\Avira
2010-01-18 19:35 . 2010-01-18 19:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-01-18 19:32 . 2010-01-18 20:27 -------- d-----w- c:\winnt\winsxs
2010-01-18 14:17 . 2010-01-18 14:17 -------- d-----w- c:\dokumente und einstellungen\Rosi.Fischer\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-01-18 13:46 . 2007-02-07 21:05 17264 ----a-w- c:\winnt\suecmdial.dll
2010-01-18 12:05 . 2005-05-05 20:39 42982 ----a-w- c:\winnt\system32\PDDSLADP.DLL
2010-01-18 12:05 . 2005-05-05 20:38 15187 ----a-w- c:\winnt\system32\drivers\PDDSLHND.SYS
2010-01-18 12:05 . 2005-05-05 20:35 15571 ----a-w- c:\winnt\system32\drivers\PDDSLADP.SYS
2010-01-18 12:05 . 2010-01-18 12:05 -------- d-----w- c:\programme\Gemeinsame Dateien\Alice
2010-01-18 12:05 . 2010-01-18 12:05 -------- d-----w- c:\programme\Alice

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-20 19:00 . 2010-01-20 19:00 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_334.dat
2002-01-18 09:11 . 2002-01-18 09:11 22080 ---h--w- c:\programme\folder.htt
.

------- Sigcheck -------

[-] 2002-11-26 18:03 . 36678803A8030EE9A771935CFC1848BD . 52224 . . [9.0.1.56] . . c:\winnt\system32\mspmsnsv.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 20752]
"OM_Monitor"="c:\programme\OLYMPUS Master\Monitor.exe" [2004-09-29 61440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2003-06-19 112400]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2003-03-20 151597]
"OpwareSE2"="d:\scansoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-01-08 77824]
"OM_Monitor"="c:\programme\OLYMPUS Master\FirstStart.exe" [2004-09-29 40960]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 189712]

c:\dokumente und einstellungen\Rosi.Fischer\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-5-3 110592]
Outlook Express.lnk - c:\programme\Outlook Express\msimn.exe [2007-8-20 56832]
Webshots.lnk - c:\programme\Webshots\WebshotsTray.exe [2002-2-14 196608]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2004-3-15 49254]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-5-3 110592]
Microsoft Office.lnk - d:\microsoft office 2000\Office10\OSA.EXE [2001-2-13 83360]

R0 IntelATA;Intel Ultra ATA Controller;c:\winnt\system32\drivers\IntelAta.sys [18.01.2002 11:36 79106]
R0 PDDSLHND;PDDSLHND;c:\winnt\system32\drivers\PDDSLHND.SYS [18.01.2010 13:05 15187]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.01.2010 20:35 108289]
R3 EL90BC;3Com EtherLink-XL-B/C-Adaptertreiber;c:\winnt\system32\drivers\el90xbc5.sys [18.01.2002 10:02 61712]
R3 PDDSLADP;ProDyne DSL Adapter;c:\winnt\system32\drivers\PDDSLADP.SYS [18.01.2010 13:05 15571]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\winnt\system32\drivers\PDNMp50.sys [28.11.2006 22:46 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\winnt\system32\drivers\PDNSp50.sys [28.11.2006 22:46 27072]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://alice.aol.de
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
Trusted Zone: fh-darmstadt.de\intranet
TCP: {975F8853-15B4-45E1-863A-00877D42AC2D} = 213.191.74.11 213.191.92.82
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
DPF: {A9C28211-2A88-4E6E-A23F-746BE1F92CA5} - hxxp://www.amadeus.net/home/new/Toolbar/CheckMyTrip_US.cab
DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} - hxxp://www.crtvg.es/camweb/camera.cab
FF - ProfilePath - c:\dokumente und einstellungen\Rosi.Fischer\Anwendungsdaten\Mozilla\Firefox\Profiles\0wnbcoy6.default\
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: d:\real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: d:\real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: d:\real\RealPlayer\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-20 20:12
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(192)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\winnt\system32\msv1_0.dll

- - - - - - - > 'lsass.exe'(232)
c:\winnt\system32\mpr.dll
.
Zeit der Fertigstellung: 2010-01-20 20:17:04
ComboFix-quarantined-files.txt 2010-01-20 19:17

Vor Suchlauf: 9.161.060.352 Bytes frei
Nach Suchlauf: 9.280.434.176 Bytes frei

- - End Of File - - 8017E92436F0A9D1DEBA05B873DE46EF


Danke für die Hilfe

#12 Merke gerade, dass die Festplatte im Arbeitsplatz nicht auftaucht. Scheinbar hab ich sie nicht richtig angeklemmt. Oder sie ist völlig zerstört - kann das sein? Hab also nur den neuen Rechner auf Viren durchsucht.

#13 wollte auf bios schauen, ob da die festplatte erkannt wird beim hochfahren des betriebssystems hat er eine neue Hardware erkannt aber keinen Treiber dafür gefunden und solange finde ich die angehängte festplatte auch nicht im Arbeitsplatz. Wo krieg ich ´nen Treiber für die Festplatte her bzw. noch wichtiger: ist es nicht schädlich die festplatte in den stabilen Rechner zu integrieren? Befürchte immer das der Virus "überspringt"