Hi,
Ich bin neu im Board. Vielleicht kann mir hier ja jemand bei meinem problem helfen. Folgendes:
In letzter Zeit wurde ich grundsätzlich beim anklciken auf google suchergebnisse auf irgendwelche werbeseiten umgelenkt.
Ausserdem bekomm ich ca. alle 30 minuten ne fehlermeldung, dass ein prozess namens "google installer.exe" nicht mehr reagiert und beendet werden muss, obwohl ich keine google software installiert hab.
Und seit heute schmiert auch noch der pc in unregelmäßigen abständen ab, so dass sich noch nicht mal mehr der cursor bewegen lässt.
Ab und zu bootet das system auch direkt mal im laufenden betrieb unangekündigt neu. nungut, ich hab dann mal avira antivir laufen lassen.
das programm hat auch einiges an malware gefunden und gelöscht - ist aber nicht im stande gewisse übriggebliebene rootkits zu entfernen.
Antivir bietet mir immer wieder an, die rootkits zu löschen und verbindet das ganze mit system neustarts. wenn ich dann allerdings antivir nach dem reboot nochmal durchlaufen lasse, sind die gleichen rootkits nach wie vor vorhanden.
Ich poste einfach mal den report von antivir, der mir 5 rootkits meldet und darunter den report von hijackthis.
Schonmal im vorraus vielen dank an jeden der sich die mühe macht, mir zu helfen!!
---------------------------------------------------------------------------------------
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 1. Dezember 2008 22:22
Es wird nach 1064570 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: MUGAWE
Versionsinformationen:
BUILD.DAT : 8.2.0.336 16933 Bytes 30.10.2008 11:40:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:29:49
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 21:54:21
ANTIVIR2.VDF : 7.1.0.160 571392 Bytes 30.11.2008 23:33:12
ANTIVIR3.VDF : 7.1.0.170 62464 Bytes 01.12.2008 20:08:01
Engineversion : 8.2.0.36
AEVDF.DLL : 8.1.0.6 102772 Bytes 06.11.2008 17:29:59
AESCRIPT.DLL : 8.1.1.15 332156 Bytes 11.11.2008 21:54:23
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 17:23:47
AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 17:29:57
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 21:54:23
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 07.11.2008 17:23:46
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 07.11.2008 17:23:46
AEHELP.DLL : 8.1.2.0 119159 Bytes 20.11.2008 16:08:59
AEGEN.DLL : 8.1.1.6 323955 Bytes 28.11.2008 23:32:59
AEEMU.DLL : 8.1.0.9 393588 Bytes 06.11.2008 17:29:53
AECORE.DLL : 8.1.5.2 172405 Bytes 28.11.2008 23:32:58
AEBB.DLL : 8.1.0.3 53618 Bytes 06.11.2008 17:29:51
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 21.08.2008 12:53:05
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: löschen
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: aus
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Montag, 1. Dezember 2008 22:22
Der Suchlauf nach versteckten Objekten wird begonnen.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20081201-222217-11D330AD\AVSCAN-00000007.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20081201-222217-11D330AD\AVSCAN-00000007.dll
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.JW
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20081201-222217-11D330AD\AVSCAN-00000009.sys
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20081201-222217-11D330AD\AVSCAN-00000009.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.G.22
Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\AVSCAN-20081201-222415-2B2585EF.avp' geschrieben.
c:\windows\system32\drivers\tdssmxfe.sys
[FUND]
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49a75663.qua' verschoben!
c:\windows\system32\tdssarxx.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.adb
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\tdssdxgp.dll
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\tdsskkao.log
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\tdssmtpe.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\tdssnpur.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.KD
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\tdssoitu.dll
[FUND]
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\tdssyoqu.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.acs
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
Ende des Suchlaufs: Montag, 1. Dezember 2008 22:24
Benötigte Zeit: 02:03 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
8 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
3 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
46567 Objekte wurden beim Rootkitscan durchsucht
18 Versteckte Objekte wurden gefunden
---------------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 23:09:22, on 01.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Dropbox\Dropbox.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\QIP\qip.exe
C:\WINDOWS\system32\notepad.exe
C:\DOKUME~1\brandl\LOKALE~1\Temp\csrssc.exe
D:\downloads\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://pennergame.de/change_please/8998138/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: C:\WINDOWS\system32\jhsrf832jbnefe.dll - {D5BF49A2-94F1-42BD-F434-3604812C807D} - C:\WINDOWS\system32\jhsrf832jbnefe.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\brandl\LOKALE~1\Temp\csrssc.exe
O4 - HKCU\..\Run: [xsjfn83jkemfofght] C:\DOKUME~1\brandl\LOKALE~1\Temp\winloggn.exe
O4 - Startup: Dropbox.lnk = C:\Programme\Dropbox\Dropbox.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) -
http://www.nvidia.com/content/Driver...sysreqlab3.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
http://www.update.microsoft.com/micr...?1224100179859
O17 - HKLM\System\CCS\Services\Tcpip\..\{05ABC7DF-B5B8-4CCB-88D3-7B6ED718FA04}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A37669CB-BBB5-4562-B6D7-66E0A928D3FD}: NameServer = 213.191.74.11 213.191.92.82
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
Rootkit (RKIT/TDss.G.22) macht Ärger! 
Linear-Darstellung
