ham

Hallo

Habe folgendes Problem mein Bruder hat einen Virus drauf das er keine Administrator rechte mehr hat?
Und weil er sein Antivirus nicht aktualisiert hatte ( 14 tage -_- typisch ) und dies nicht gefunden hat. Habe ich mal (Von meinen Rechner )seine Festplatte durchsucht mit meinen kaspersky Internet security durchsucht. Und ? Natürlich hat er was gefunden ein gefunden: trojanisches Programm Trojan.Win32.Qhost.aes Datei: \\----\Autostart\autorun.exe//UPX so habe diese Datei schon entfernt. Folgendes Problem ist nun das keine Administrator rechte mehr hat denke mal das was in den Registerdateien von Windows geändert würde darauf hin habe ich mal hiijack gestartet und gescannt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:45:32, on 31.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\Explorer.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\WINDOWS\avp.exe
C:\WINDOWS\mgrs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\PROGRA~1\jens\Zykon\Z1Driver.exe
C:\Programme\Outerinfo\Outerinfo.exe
C:\Programme\Outerinfo\OuterinfoUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Xfire\Xfire.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe
D:\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F} - C:\Programme\Outerinfo\Outerinfo.dll
O2 - BHO: XBTP04929 - {45D67691-711B-450f-A83C-ECDC75BD628B} - C:\PROGRA~1\IMMERW~1\toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7A690EA1-E928-47BF-8224-97EC3173ABCB} - C:\WINDOWS\system32\awtqo.dll
O2 - BHO: (no name) - {89A1E40D-0254-4F99-B9AE-B60A2D8754A9} - C:\WINDOWS\system32\ssqnnnm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615. 5858\swg.dll
O2 - BHO: XBTP01621 - {F6104497-54FD-4688-9162-5115CC8AB0FB} - C:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Immer wieder Jim - {C49DD894-C6DE-4910-8C41-BA20F852D8BC} - C:\Programme\Immer wieder Jim\toolbar.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language. exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe "
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\servsq.exe
O4 - HKLM\..\Run: [wmml1.101] C:\WINDOWS\wmml1.101.exe
O4 - HKLM\..\Run: [Sund32] C:\WINDOWS\system32\gpthread32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [wensdw] C:\WINDOWS\wensdw.exe s
O4 - HKLM\..\Run: [wmml1.107] C:\WINDOWS\System32\wmml1.107.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [wmml1.108] C:\WINDOWS\wmml1.108.exe
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [Zykon Z1 Mouse] C:\PROGRA~1\jens\Zykon\Z1Driver.exe
O4 - HKCU\..\Run: [Outerinfo] "C:\Programme\Outerinfo\Outerinfo.exe"
O4 - HKCU\..\Run: [OuterinfoUpdate] "C:\Programme\Outerinfo\OuterinfoUpdate.exe"
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: .protected
O4 - Startup: findfast.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: .protected
O4 - Global Startup: autorun.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/phot...che=20071219-1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.91 85.255.112.215
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.91 85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.91 85.255.112.215
O20 - AppInit_DLLs: olearasr.dll e1.dll ipxrir32.dll kbdgmqqm.dll,wbsys.dll ddragdi3.dll dtctwmpd.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adial hk.dll
O20 - Winlogon Notify: admewinr - C:\WINDOWS\system32\admewinr.dll
O20 - Winlogon Notify: ctl3pack - C:\WINDOWS\system32\ctl3pack.dll
O20 - Winlogon Notify: davcgpte - C:\WINDOWS\system32\davcgpte.dll
O20 - Winlogon Notify: mtxosmlo - C:\WINDOWS\system32\mtxosmlo.dll
O20 - Winlogon Notify: ssqnnnm - C:\WINDOWS\SYSTEM32\ssqnnnm.dll
O20 - Winlogon Notify: vdmdracp - C:\WINDOWS\system32\vdmdracp.dll
O20 - Winlogon Notify: winmfu32 - C:\WINDOWS\SYSTEM32\winmfu32.dll
O21 - SSODL: zip - {00a34796-afaa-47fe-8069-8a187cbd5a6b} - C:\WINDOWS\Installer\{00a34796-afaa-47fe-8069-8a187cbd5a6b}\zip.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 8975 bytes

Also ich finde wenn ich an meinen Rechner denke das sehr unnormal

ReinMan

C:\WINDOWS\mgrs.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe

O2 - BHO: (no name) - {2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F} - C:\Programme\Outerinfo\Outerinfo.dll

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

O2 - BHO: (no name) - {7A690EA1-E928-47BF-8224-97EC3173ABCB} - C:\WINDOWS\system32\awtqo.dll

O3 - Toolbar: Immer wieder Jim - {C49DD894-C6DE-4910-8C41-BA20F852D8BC} - C:\Programme\Immer wieder Jim\toolbar.dll

O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll

O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O4 - Global Startup: .protected

O4 - Startup: .protected

O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe

O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe

Die ganzen Dateien markierst du und gehst auf "Fix check." Danach startest du neu und postest ein neues Logfile und schaust ob das Problem weiterhin besteht. Er hat einen Adware befall und dann scannst du noch mit Adaware den Rechner komplett durch und sagst ihm er soll die ganzen "Toolbars" deinstallieren die sind sehr Viren anfällig vor allendingen die ICQ-Toolbar.

Bei der letzten handelt es sich nicht um die Anwendung "Kaspersky Inet Security". Nicht wundern weil ich die jetzt auch rausgesucht habe.

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

So heißt der echte Anwendungspfad.

Humdinger

Hallo

Nach dem Fix der Einträge, solltest du dein System gründlichst hier prüfen und bereinigen lassen. Oder halt formatieren (Wichtig wenn die Säuberung oder wenn du lieber formatieren willst durch ist, dann ändere unbedingt alle wichtigen Passwörter!)

Du hast eine Wareout Rootkit Infektion sowie jede Menge anderer Infektionen. Es besteht Fremdzugriff auf dein System!

Wenn du bereinigen willst:

WindowsScan laden,
ausführen, Report posten

#Lade dir Registry Search auf dem Desktop speichern & entpacken,doppelklick auf RegSearch.exe

Oben klicke auf search strings eingeben oder reinkopieren 85.255.116.91 dann klicke auf OK,am Ende Scan Report speichern & hier posten

und poste einen neuen HijackThis log