Hallo Nochmal

Ein Freund von mir hat jetzt ebenfalls das Problem,
dass sich beim surfen auf der seite FPSbanana.com der PC runtergefahren hat.
Bei Ihm Erschien dann auch das warnzeichen unten...
ich glaube aber, ihn hat es schlimmer erwischt wie mich!
Bei ihm funktioniert zwar noch der taskmanager, dafür wird man bei ihm, wenn man im Internet surft(bei google) immer irgendwoanders Hingeleitet, wie dahin, wo man draufklickt... (man kann zum beispiel aa eintippen... dann kommt ein link zu wikipedia von einem mann namens Dirk Van der Aa, darauf klickt man und man landet dann bei ebay, unter dem suchpunkt Aal)
ausserdem, gibt es auch so einige verbindungsprobleme mit manchen servern...
zum Beispiel bei dem Updateserver von Adaware oder Spybot(Sogar Windows)
[Ich muss hier für ihn schreiben, da er probleme hat auf die seite zu kommen]

Hier ist sein HJT Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:40:50, on 18.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\AdAware\aawservice.exe
C:\WINDOWS\Explorer.EXE
F:\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
F:\games\valve\steam.exe
F:\QIP\qip.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] F:\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "f:\games\valve\steam.exe" -silent
O4 - HKCU\..\Run: [QIP2005] F:\QIP\qip.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Startup: Xfire.lnk = F:\Games\Xfire\Xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: karna.dat
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\AdAware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: WEP key recovery service (WZCOOK) - Unknown owner - F:\Schule\Mathe\aircrack-2.1\win32\wzcook.exe

--
End of file - 5279 bytes

Hi,

er soll bitte folgendes abarbeiten:
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Wenn das Programm ins Internet will, dies bitte zulassen.

lg myrtille

Ok, Danke, sag ich ihm morgen früh direkt!
weil der Ist Jetzt schon am schlafen...
Neues folgt dann

so, hier ist sein Combofix log!
(die probleme sind seit dem durchlauf von combofix aber alle weg!)

ComboFix 08-10-18.02 - Irgendeiner 2008-10-19 10:49:47.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1597 [GMT 2:00]
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1677 [GMT 2:00]

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\brastk.exe
C:\WINDOWS\system32\_000005_.tmp.dll
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\DelSelf.bat
C:\WINDOWS\system32\drivers\svchost.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-19 bis 2008-10-19 ))))))))))))))))))))))))))))))
.

2008-10-18 22:40 . 2008-10-18 22:40 <DIR> d-------- C:\Programme\Trend Micro
2008-10-18 21:45 . 2008-10-18 21:45 <DIR> d-------- C:\$WIN_NT$.~BT
2008-10-18 21:45 . 2004-08-04 14:00 452,647 -ra------ C:\txtsetup.sif
2008-10-18 21:45 . 2004-08-04 14:00 262,448 -ra------ C:\$LDR$
2008-10-18 21:42 . 2004-08-04 14:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys
2008-10-18 21:42 . 2004-08-04 14:00 4,224 --a--c--- C:\WINDOWS\system32\dllcache\beep.sys
2008-10-18 21:26 . 2008-10-18 21:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2008-10-18 21:08 . 2008-10-18 21:08 77,824 --a------ C:\WINDOWS\system32\TDSSncur.dll
2008-10-18 21:08 . 2008-10-18 21:08 31,232 --a------ C:\WINDOWS\system32\TDSSyavu.dll
2008-10-18 21:08 . 2008-10-19 09:55 3,896 --a------ C:\WINDOWS\system32\TDSSqxnr.dll
2008-10-18 21:07 . 2008-10-18 21:07 61,952 --a------ C:\WINDOWS\system32\drivers\TDSSmhoe.sys
2008-10-18 21:07 . 2008-10-18 21:07 36,864 --a------ C:\WINDOWS\system32\TDSSoipa.dll
2008-10-18 21:07 . 2008-10-18 21:07 29,696 --a------ C:\WINDOWS\system32\TDSSirxy.dll
2008-10-18 21:07 . 2008-10-18 21:07 164 --a------ C:\WINDOWS\system32\TDSSmupe.dat
2008-10-10 03:23 . 2008-10-10 03:23 <DIR> d-------- C:\Programme\Norton Security Scan
2008-10-10 03:22 . 2008-10-10 03:23 <DIR> d-------- C:\WINDOWS\system32\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-19 08:45 --------- d-----w C:\Dokumente und Einstellungen\Irgendeiner.FABIAN\Anwendungsdaten\Skype
2008-10-19 07:55 --------- d-----w C:\Dokumente und Einstellungen\Irgendeiner.FABIAN\Anwendungsdaten\skypePM
2008-10-19 07:52 --------- d-----w C:\Dokumente und Einstellungen\Irgendeiner.FABIAN\Anwendungsdaten\OpenOffice.org2
2008-10-18 19:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-10 02:53 --------- d-----w C:\Dokumente und Einstellungen\Irgendeiner.FABIAN\Anwendungsdaten\dvdcss
2008-10-09 20:54 12,528 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-09-29 16:08 --------- d-----w C:\Dokumente und Einstellungen\Irgendeiner.FABIAN\Anwendungsdaten\Hamachi
2008-09-09 17:38 --------- d-----w C:\Dokumente und Einstellungen\Irgendeiner.FABIAN\Anwendungsdaten\ICQ
2008-09-06 15:48 --------- d-----w C:\Dokumente und Einstellungen\Irgendeiner.FABIAN\Anwendungsdaten\teamspeak2
2008-09-05 18:54 --------- d-----w C:\Programme\ICQToolbar
2008-08-30 16:51 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-30 16:51 --------- d-----w C:\Programme\Philips
2008-08-30 16:50 --------- d-----w C:\Dokumente und Einstellungen\Irgendeiner.FABIAN\Anwendungsdaten\InstallShield
2008-08-28 16:07 --------- d-----w C:\Programme\Avira
2008-08-28 16:07 --------- d-----w C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
2008-08-28 13:58 --------- d-----w C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Premium
2008-08-28 13:44 102,352 ----a-w C:\DOKUME~1\ALLUSE~1\ANWEND~1\firstlsp.reg.dat
2008-08-20 11:57 --------- d-----w C:\DOKUME~1\ALLUSE~1\ANWEND~1\avg8
2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-01-05 14:47 32 ----a-w C:\DOKUME~1\ALLUSE~1\ANWEND~1\ezsid.dat
2007-11-17 17:48 262,144 ----a-w C:\Dokumente und Einstellungen\Irgendeiner\WoW-2.0.6.6337-to-2.0.7.6383-deDE-patch.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QIP2005"="F:\QIP\qip.exe" [2008-07-01 3256320]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 8466432]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSmhoe.sys]
@="driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\EA GAMES\\Need for Speed Underground 2\\speed2.exe"=
"F:\\Games\\World of Warcraft\\Repair.exe"=
"F:\\Games\\Call of Duty\\CoDMP.exe"=
"F:\\Games\\Bit an Paddy\\quake3.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"F:\\Programme wofür auch immer\\System\\UT2004.exe"=
"F:\\Games\\Call of Duty\\CoDUOMP.exe"=
"F:\\Games\\Warcraft 3\\war3.exe"=
"F:\\Games\\Warcraft 3\\Warcraft III.exe"=
"F:\\Games\\LittleFighter2\\LF2_v1.9\\lf2.exe"=
"F:\\QIP\\qip.exe"=
"F:\\Games\\Quake 3\\quake3.exe"=
"\\\\Freestyler\\F\\CS_Source\\Crack.exe"=
"F:\\Games\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"F:\\ICQ6\\ICQ.exe"=
"F:\\Games\\Valve\\steamapps\\fatchild\\counter-strike\\hl.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"F:\\Games\\Counter-Strike Source\\hl2.exe"=
"F:\\Games\\Call of Duty 2\\CoD2MP_s.exe"=
"F:\\Games\\Microsoft Games\\Age of Empires II\\EMPIRES2.ICD"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"F:\\Games\\CS1.6\\hl.exe"=
"F:\\Games\\Battlefield 2\\BF2.exe"=
"F:\\Games\\Valve\\steamapps\\fatchild\\condition zero\\hl.exe"=
"F:\\Games\\Valve\\steamapps\\fatchild\\counter-strike source\\hl2.exe"=
"F:\\Games\\Valve\\steamapps\\fatchild\\age of chivalry\\hl2.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 11264]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2006-08-22 35712]

*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\DOKUME~1\IRGEND~1.FAB\ANWEND~1\Mozilla\Firefox\Profiles\8c6bjivh.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.web.de
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 10:50:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\TDSSserv]
"imagepath"="\systemroot\system32\drivers\TDSSmhoe.sys"
.
Zeit der Fertigstellung: 2008-10-19 10:51:14
ComboFix-quarantined-files.txt 2008-10-19 08:51:12

Vor Suchlauf: 8,003,551,232 Bytes frei
Nach Suchlauf: 8,022,687,744 Bytes frei

143 --- E O F --- 2008-08-15 16:59:28

DANKE

Hi,

Dann lass uns mal noch den Rest der Infektion entfernen:
Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

driver::
TDSSserv
file::
C:\WINDOWS\system32\TDSSncur.dll
C:\WINDOWS\system32\TDSSyavu.dll
C:\WINDOWS\system32\TDSSqxnr.dll
C:\WINDOWS\system32\drivers\TDSSmhoe.sys
C:\WINDOWS\system32\TDSSoipa.dll
C:\WINDOWS\system32\TDSSirxy.dll
C:\WINDOWS\system32\TDSSmupe.dat
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

lg myrtille