Hi zusammen,
erstmal danke ans Forum, hab mich zwar grade erst registriert, aber die anderen Topics haben mir schon sehr geholfen!

Also, ich habe die letzten paar Stunden damit verbracht die Ärsche einiger Trojaner (z.B. auch TR/FakeAV.AM) zu kicken. Nun ist es so, dass ich mehrere Sachen mehrmals laufen hab lassen um Viren, Trojaner und Rootkits loszuwerden, die mich gestern in einer Art Sturmangriff überfallen haben.
Ich habe neben Avira Antivirus den Trojan Remover, Malwarebytes und zu guter letzt, als es zwar besser wurde aber ein/zwei Rootkit Agents oder sowas einfach nicht gelöscht werden konnten, noch SDFix benutzt.

Nun ist es endlich so, dass kein einziges der genannten Programme noch irgendwas "Böses" auf meinem Rechner entdeckt.

Meine Frage ist nun, da (Bin leider kein PC-Crack) meineswissens Rootkits, von denen anscheinend mind. eins auf meinem Rechner drauf war (TDSSserv), ja eben genau so arbeiten, dass sie vom Benutzer nicht entdeckt zu werden versuchen und auch spätere Übergriffsversuche verschleiern, wie hoch denn ungefähr die Wahrscheinlichkeit ist, noch infiziert zu sein, obwohl oben genannte Programme alle nichts mehr entdecken!

Ich weiß hundertprozentige Sicherheit gibt es nicht, aber nachdem ich mir so viel Arbeit mit dem Crap gemacht hab, würd ich jetzt nur sehr ungern meinen PC neu aufsetzen bloß um sicher zu gehen....

Merci im Voraus!
Gruß,
Barney

Hallo barney

Also bei der TDSSserv tendiere ich dazu den Rechner platt zu machen aber das ist dein Entscheidung.

Folgendes kann man nochmal drübergucken lassen:

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

GMER - Rootkit Detection

• Lade GMER von hier
• entpacke es auf den Dektop
• Dopperlklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

http://www.trojaner-board.de/59299-a...-new-post.html

Also, Blacklight hat auch nix gefunden
Ist das der Log?

09/09/08 16:02:10 [Info]: BlackLight Engine 1.0.70 initialized
09/09/08 16:02:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/09/08 16:02:11 [Note]: 7019 4
09/09/08 16:02:11 [Note]: 7005 0
09/09/08 16:02:25 [Note]: 7006 0
09/09/08 16:02:25 [Note]: 7011 1276
09/09/08 16:02:25 [Note]: 7035 0
09/09/08 16:02:26 [Note]: 7026 0
09/09/08 16:02:26 [Note]: 7026 0
09/09/08 16:02:34 [Note]: FSRAW library version 1.7.1024
09/09/08 16:16:54 [Note]: 7007 0


naja, mach gleich mit GMER weiter!
kannst du mir evtl. sagen wieso du bei TDSSserv zu platt machen tendierst?
Und zu Combofix: Falls nun die anderen Programme recht haben und mein PC sauber is, ist Combofix da nicht riskant? Hab ich zumindest aus anderen Threads rausgelesen....

Gmer liefert folgendes...

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-09 16:41:59
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT FB1C41E4 ZwCreateThread
SSDT FB1C41D0 ZwOpenProcess
SSDT FB1C41D5 ZwOpenThread
SSDT FB1C41DF ZwTerminateProcess
SSDT FB1C41DA ZwWriteVirtualMemory

---- EOF - GMER 1.0.14 ----

Hallo?
Noch einer da, der sich auskennt und seinen Senf dazu geben will?
Kann auch mit dem Ergebnis von GMER ehrlich gesagt überhaupt nichts anfangen....

Hier der ComboFix-Log!

ComboFix 08-09-05.12 - tristan 2008-09-09 23:13:04.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.71 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\tristan\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-09 bis 2008-09-09 ))))))))))))))))))))))))))))))
.

2008-09-09 22:58 . 2008-09-09 22:58 <DIR> d-------- C:\Programme\CCleaner
2008-09-09 16:25 . 2008-09-09 16:33 250 --a------ C:\WINDOWS\gmer.ini
2008-09-09 14:21 . 2008-09-09 14:21 <DIR> d-------- C:\Programme\Avira
2008-09-09 04:18 . 2008-09-09 04:18 <DIR> d-------- C:\WINDOWS\ERUNT
2008-09-09 04:11 . 2008-09-09 14:18 <DIR> d-------- C:\SDFix
2008-09-09 03:33 . 2008-09-09 03:33 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-09 03:33 . 2008-09-09 03:33 <DIR> d-------- C:\Dokumente und Einstellungen\tristan\Anwendungsdaten\Malwarebytes
2008-09-09 03:33 . 2008-09-09 03:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-09 03:33 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 03:33 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-09 02:22 . 2008-09-09 02:24 <DIR> d-------- C:\Programme\Trojan Remover
2008-09-09 02:22 . 2008-09-09 02:22 <DIR> d-------- C:\Dokumente und Einstellungen\tristan\Anwendungsdaten\Simply Super Software
2008-09-09 02:22 . 2008-09-09 02:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simply Super Software
2008-09-09 02:22 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2008-09-09 02:22 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-09-09 02:22 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2008-09-09 02:22 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-09-09 02:22 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2008-09-08 19:21 . 2008-09-08 19:21 88,878 --a------ C:\WINDOWS\system32\casino3.ico
2008-09-08 19:21 . 2008-09-08 19:21 88,878 --a------ C:\WINDOWS\system32\casino2.ico
2008-09-08 19:21 . 2008-09-08 19:21 88,878 --a------ C:\WINDOWS\system32\casino1.ico
2008-09-08 19:21 . 2008-09-08 19:21 15,360 --a------ C:\WINDOWS\system32\tdsspopup.dll
2008-09-08 19:21 . 2008-09-08 19:21 120 --a------ C:\WINDOWS\system32\tdsspopup3.url
2008-09-08 19:21 . 2008-09-08 19:21 120 --a------ C:\WINDOWS\system32\tdsspopup2.url
2008-09-08 19:21 . 2008-09-08 19:21 120 --a------ C:\WINDOWS\system32\tdsspopup1.url
2008-08-18 03:15 . 2008-08-23 02:57 <DIR> d-------- C:\Programme\Full Tilt Poker

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-09 11:58 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-09 01:41 --------- d-----w C:\Programme\ICQToolbar
2008-09-08 15:49 --------- d-----w C:\Programme\PokerStars
2008-08-28 15:15 --------- d-----w C:\Programme\ICQ6
2008-08-18 01:15 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-17 12:58 --------- d-----w C:\Programme\SanDisk
2008-07-13 20:16 --------- d-----w C:\Dokumente und Einstellungen\tristan\Anwendungsdaten\phonostar-Player
2008-07-13 20:14 --------- d-----w C:\Programme\phonostar
2008-07-13 00:38 --------- d-----w C:\Programme\PartyGaming
2008-07-10 13:27 --------- d-----w C:\Programme\Java
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:38 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-18 68856]
"PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [2007-12-05 126976]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 282624]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-25 185896]
"SansaDispatch"="C:\Programme\SanDisk\Sansa Updater\SansaDispatch.exe" [2007-05-02 55368]
"TrojanScanner"="C:\Programme\Trojan Remover\Trjscan.exe" [2008-09-09 917072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-18 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=


*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\tristan\Anwendungsdaten\Mozilla\Firefox\Profiles\5zwasa3q.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www0.pafnet.de/index.html
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-09 23:15:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> ?:\WINDOWS\System32\CSCDLL.dll
.
Zeit der Fertigstellung: 2008-09-09 23:17:58
ComboFix-quarantined-files.txt 2008-09-09 21:17:51

Pre-Run: 13 Verzeichnis(se), 25,966,944,256 Bytes frei
Post-Run: 16 Verzeichnis(se), 25,960,095,744 Bytes frei

122 --- E O F --- 2008-08-14 18:47:31

Is da jetzt alles in Ordnung, ich bin auf jeden Fall schön langsam ganz schön im Arsch, hoffe die Action war wenigstens erfolgreich!

Habe jetzt also noch Blacklight, Germ, Ccleaner und Combofix laufen lassen, also zurück zu meiner ursprünglichen Frage!
Ich weiß es ist viel los bei euch, aber ich hoffe, dass sich noch mal einer meiner erbarmt!