Virenalarm

[vreni90]

Hallo!
ich habe einen windows 7 und bekomme seit neuestem immer wieder meldungen, dass ich einen virus habe und dass ich auf die alarmmeldung klicken soll, um ein hilfeprogramm runter zu laden ...das habe ich nicht angeklickt sondern immer das normale antivir programm durchlaufen lassen, trotzdem kommen die meldungen immer mal wieder, meistens wenn ich bei google bin.... bis jetzt gabs zwei unterschiedliche meldungen, von einer habe ich einen screen shot gemacht ... ich hoffe, mir kann jemand helfen ....

[kira]

Herzlich Willkommen hier bei uns am HijackThis Supportboard!

**Bevor du mit Teil 1. der Aufgabe beginnst: HIER KLICKEN UND SORGFÄLTIG DURCHLESEN!**
Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst

ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!

Bitte lese Dir zuerst in Ruhe die Anweisungen durch und Du sollst dabei die Reihenfolge einhalten! Ansonsten verlangsamt unsere Arbeit, wenn wir immer wieder noch an Kleinigkeiten nachschlagen müssen und dadurch eventuell die Übersicht verloren geht...

Grundsätzlich muss ein infiziertes System als kompromittiert gelten, und man kann nie ganz sicher sein, dass man alle Folgen der Infektion beseitigen konnte. - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest:
Können wir versuchen dein PC von Viren zu befreien, aber nur "bis zu einem gewissen Punkt", wo dein System technisch auch noch einwandfrei funktioniert

1.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• Also lade dir Gmer von *dieser Seite* oder von hier majorgeeks.com/gmer.zip - runter und entpacke es auf deinen Desktop.
• "Show all" soll nicht angehakt sein!
• Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• ►Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system?

• Unbedingt auf "No" klicken
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage [Strg+ V] (oder Umschalt+Einfg) in deine Antwort hier ein.

Wichtig: während des Scan-Vorgangs sollen:

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein - ►Klicken Sie auf der Taskleiste im Infobereich (Der Bereich in der Taskleiste rechts neben den Schaltflächen der Taskleiste. Im Infobereich wird die Uhrzeit angezeigt. Außerdem kann dieser Bereich Verknüpfungen für einen schnellen Zugriff auf Programme enthalten.) mit der rechten Maustaste auf das entsprechende Programmsymbol für das Firewall-, Antispyware- oder Antivirenprogramm, und klicken Sie dann auf Beenden oder Deaktivieren.
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden

Scanner wieder einschalten, bevor Du ins Netz gehst!
Das Tool "Gmer" bitte nur EINMAL ausführen! Bei Probleme keine weitere Versuch, sondern mit Punkt 2 fort fahren!
Anleitung:-> Rootkit-Scanner Anleitungen

► NUR DOWNLOADEN, WENN GMER NICHT AUSGEFÜHRT WERDEN KANN:
2.
Lade und installiere das Tool RootRepeal herunter

• setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
• "Stealth Objects" -> "Scan"-> Save Report"...
• "Hidden Services" -> "Scan"-> Save Report"...
• speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

3.
Zunächst bitte folgende Einstellungen vornehmen: System-Dateien und -Ordner unter XP, Vista und Win7 sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

4.
Lade dir von hier -> TrendMicro™ HijackThis™/Version 2.0.4 herunter

Keine offenen Fenster, solang bis HijackThis läuft!!-> HijackThis starten-> "Do a system scan and save a logfile" klicken (kurz warten) -> das erhaltene Logfile "markieren" -> "kopieren"-> hier in deinem Thread (rechte Maustaste) "einfügen" (musst du im Forum eingeloggt sein!)

• HijackThis - bebilderte Anleitung
• HijackThis/Anleitung

5.
Lade dir HJTscanlist.zip. -(Punkt 6.) herunter ( den angegebenen Link anklicken ► Punkt 6. aussuchen ► Anweisungen folgen) anschließend das erhaltene Logfile hier posten.

6.

• Download den CCleaner
• bei der Installation mitlesen - ("Füge CCleaner Yahoo! Toolbar hinzu" - abwählen!)-> starten -> Falls nötig, unter Options settings -> "german" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

Bitte alle Ergebnisse im Code-Tags posten!

vor dein log schreibst du:[code]
hier kommt dein logfile rein
dahinter:[/code]

-----------------------
Bitte den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Bis zu einer eventuellen Reinigung oder dem Formatieren deines Systems
kein Online-Banking, File-sharing, Mailing, Messaging betreiben.
Keine Up und Downloads, ausser auf Security Seiten.
****Ehemöglichst nicht ins internet gehen
Mehr Information hierzu unter System-Sicherheit

-----------------------

gruß
argos

[kira]

Fehlende Rückmeldung - Thread geschlossen! Handlungsempfehlungen und ggf. weitere Maßnahmen hier:-> Anleitung zum Neuaufsetzen - Windows XP und Vista (von unserer Moderatorin Petra)

[kira]

habe wieder eröffnet, ich kopiere mal die Logs hier rein:
- ausserdem bitte dann dringend alle Punkte von hier abarbeiten!:-> http://www.hijackthis-forum.de/hijac...tml#post321021

Code:

Hallo!

Ich habe vor längerer Zeit ein Forum eröffnet wegen einem Virenalarm an meinem Laptop Windows 7 ... Leider war ich längere Zeit nicht mehr online, weshalb das Thema geschlossen wurde. Ich habe aber das Programm heute durchlaufen lassen. Das Ergebnis:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-07-21 13:20:04
Windows 6.1.7600
Running: zu33b87y.exe; Driver: C:\Users\Test\AppData\Local\Temp\pxtyipoc.sys


---- System - GMER 1.0.15 ----

SSDT 807EB63C ZwCreateThread
SSDT 807EB628 ZwOpenProcess
SSDT 807EB62D ZwOpenThread
SSDT 807EB637 ZwTerminateProcess

INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83023AF8
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83023104
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 830233F4
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8300C2D8
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8300B898
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 830231DC
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83023958
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 830236F8
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83023F2C
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 830241A8

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!ZwSaveKeyEx + 13B1 830758E9 1 Byte [06]
.text ntoskrnl.exe!KiDispatchInterrupt + 5A2 830953D2 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntoskrnl.exe!KeRemoveQueueEx + 14C3 8309C790 4 Bytes [3C, B6, 7E, 80] {CMP AL, 0xb6; JLE 0xffffffffffffff84}
.text ntoskrnl.exe!KeRemoveQueueEx + 165F 8309C92C 4 Bytes [28, B6, 7E, 80]
.text ntoskrnl.exe!KeRemoveQueueEx + 167F 8309C94C 4 Bytes [2D, B6, 7E, 80]
.text ntoskrnl.exe!KeRemoveQueueEx + 192F 8309CBFC 4 Bytes [37, B6, 7E, 80]
? C:\windows\system32\facc.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. !
.text peauth.sys 8E5E9C9D 28 Bytes [DE, DA, C9, 9B, 76, EE, 79, ...]
.text peauth.sys 8E5E9CC1 28 Bytes [DE, DA, C9, 9B, 76, EE, 79, ...]
PAGE peauth.sys 8E5EFB9B 72 Bytes [0E, 96, CB, 3B, 2A, 60, 98, ...]
PAGE peauth.sys 8E5EFBEC 111 Bytes [67, 47, 7A, AD, AC, 7F, FB, ...]
PAGE peauth.sys 8E5EFE20 101 Bytes [E6, 73, 88, E6, C1, B0, 49, ...]
PAGE ...

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Mozilla Firefox\firefox.exe[1632] ntdll.dll!LdrLoadDll 77D6F625 5 Bytes JMP 00F213F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation) 


    ---- User IAT/EAT - GMER 1.0.15 ----

    IAT C:\windows\Explorer.EXE[2284] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [74932494] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144cc f1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\windows\Explorer.EXE[2284] @ C:\windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [74915624] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144cc f1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\windows\Explorer.EXE[2284] @ C:\windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [749156E2]
    C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144cc f1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\windows\Explorer.EXE[2284] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipFree] [7493250F] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144cc f1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\windows\Explorer.EXE[2284] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [74928573] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144cc f1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\windows\Explorer.EXE[2284] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [74924D27] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144cc f1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\windows\Explorer.EXE[2284] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [749250CE] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144cc f1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\windows\Explorer.EXE[2284] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [749251A3] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144cc f1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\windows\Explorer.EXE[2284] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP] [749266D0] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144cc f1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\windows\Explorer.EXE[2284] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [749282CA] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144cc f1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\windows\Explorer.EXE[2284] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74928819] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144cc f1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\windows\Explorer.EXE[2284] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [7492907A] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144cc f1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

    IAT C:\windows\Explorer.EXE[2284] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [7492E21D] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144cc f1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\windows\Explorer.EXE[2284] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [74924C59] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144cc f1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) 
---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp facc.sys
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device \Driver\ACPI_HAL \Device\0000004c halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Vielen Dank schonmal im Voraus für die Hilfe!

[vreni90]

Hallo!

Den ersten Punkt habe ich ja bereits abgearbeitet und ich dachte die anderen sollen nur bearbeitet werden, wenn das mit dem Ersten nicht funktioniert?

[kira]

NEIN! alles was da steht bitte IMMER und zwar in der REIHENFOLGE abarbeiten. Ich brauche über das System Info, sonst kann ich nicht "sehen" was bei Dir los ist