Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.10.2008, 18:29   #1
Gali
 
TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Standard

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung



Hallo zusammen!

Ich habe schon viel im Forum hier und auch sonst nach Antworten auf meine Fragen gesucht, nur hab ich computertechnisch wirklich gar keine Ahnung und kann nur wenigs mit den bisher gelesenen Tipps anfangen.
Wäre so dankbar, wenn man mir hier helfen könnte.

Also:
Ich habe, wie einige andere hier, vor ein paar Tagen plötzlich diese Windows Meldung "your computer is infected" bekommen. Ich habe dann Antivir (war leider noch die Free version) mal prüfen lassen und ich habe mehrere Trojaner gefunden, z.B. die im Thread-Titel genannten. Ich habe sie zunächst in Quarantäne geschickt und später gelöscht.
Seitdem hab ich jedoch Probleme beim Hochfahren des Laptops. Anfangs fuhr er etwa erst nach dem 4-5 Versuch hoch und heute will er gar nicht mehr.
Es funktioniert nur noch im abgesicherten Modus.
Hab jetzt Antivir Premium...der hat jedoch nix mehr gefunden...

Als er gestern nochmal anging, hatte ich bei google das Gefühl, dass er versucht, mich nicht auf die richtigen Links, sondern auf irgendwelche anderen Seiten zu verleiten...

Was kann ich jetzt machen? Wie kann ich Euch nähere Informationen bringen? (Könntet Ihr mir da vielleicht eine Anleitung für "PC-Doofe" geben?...)

Danke schonmal im voraus für Eure Mühe!!!

Alt 30.10.2008, 18:50   #2
Aggro Berlin
 
TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Standard

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung



Hallo Gali,

Bitte versuche ob du einen Post von HijackThis hinbekommst, du kannst es auch mit Hilfe eines USB Sticks versuchen.

Kannst du bitte noch mehr Auskunft über dein System geben?

Malwarebytes' Anti-Malware:

 Downloade dir Malwarebytes herunter
 Installiere es
 Befolge die Anleitung (führe einen kompletten Scan aus!)



 Poste den entstandenen Log
__________________

__________________

Alt 30.10.2008, 20:28   #3
Gali
 
TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Standard

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung



Hallo, danke schonmal für Deine Antwort!

Ich benutzte Windows XP, Service Pack 2

Hier meine Logfile:

#Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:48:19, on 30.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: karna.dat
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 6414 bytes#
__________________

Alt 30.10.2008, 20:32   #4
Aggro Berlin
 
TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Standard

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung



was ist mit MalwareBytes?
__________________
Warum stürzt Windows 95 so oft ab? Na klar - weil das Verfallsdatum abgelaufen ist!

Alt 30.10.2008, 20:58   #5
Gali
 
TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Standard

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung



läuft noch...


Alt 30.10.2008, 22:47   #6
Gali
 
TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Standard

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung



So, hier das Ergebnis. Hab alles gefundene gelöscht...Ganz schön viel...*schwitz* Jetzt ist mein PC auch wieder richtig angegangen, ohne den abgesichterten Modus...Was sollte ich jetzt noch machen?

#Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2

30.10.2008 17:14:19
mbam-log-2008-10-30 (17-14-19).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 99246
Laufzeit: 1 hour(s), 25 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\TDSSlxwp.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini10801.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Temp\TDSS6b01.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Temp\TDSS6b3f.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSbubv.log (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSShrxr.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSnmxh.log (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSnrsr.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSofxh.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSoiqh.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSoiqt.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSosvd.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSrhyp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSriqp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSrtqp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSxfum.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\TDSSpqlt.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\TDSSpqxt.sys (Rootkit.Agent) -> Quarantined and deleted successfully.#

Alt 31.10.2008, 09:01   #7
Gali
 
TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Standard

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung



Ach ja...konnte vor dem Malwarebytes Check kein Update machen, weil ich keine Internet-Verbindung aufbauen konnte. Jetzt würde es wieder gehen...Soll ich das Programm nochmal drüber laufen lassen?

Alt 31.10.2008, 10:46   #8
Aggro Berlin
 
TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Standard

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung



Zuerst einmal da Malwarebytes Rootkits gefunden hat, sollten wir erstmal nach Rootkits schauen.

Also:
Downloade dir mbr.exe auf den Desktop und führe es aus.

Sollte ein MBR Rootkit gefunden worde sein, kommt eine Meldung im Log:

MBR rootkit code detected !

Poste den Log bitte.


Dann:
- Downloade dir Blacklight und führe es aus und poste ebenfalls das Ergebnis.

GMER - Rootkit Detection
• Lade GMER von hier
• entpacke es auf den Dektop
• Dopperlklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.


Du solltest mal dein System ein bisschen auf den neusten Stand bringen, du hast Service Pack 2 von Windows, aber Service Pack 3 ist das neuste.

Daher:

• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI).
.
• Update der Viren-Signaturen deines Anti-Viren Programmes.
.
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
• Windows Update ->Der Frischmacher.
.
• Installation des aktuellen ServicePacks:
o ServicePack3
__________________
Warum stürzt Windows 95 so oft ab? Na klar - weil das Verfallsdatum abgelaufen ist!

Geändert von Aggro Berlin (31.10.2008 um 11:03 Uhr)

Alt 31.10.2008, 15:00   #9
Gali
 
TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Standard

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung



Erstmal ganz vielen Dank für Deine weiteren Tipps!!!

Also, hab jetzt erst mal das mit dem mbr.exe gemacht. Ist das normal, dass das Suchen nur 1 Sekunde dauert? Im Editor öffnete sich folgendes:

Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Ist das so schon fertig, oder fehlt noch was? Mache dann jetzt das mit dem Blacklight...

P.S. : Wo kann ich hier meine Beiträge editieren?

Alt 31.10.2008, 15:39   #10
Gali
 
TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Standard

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung



Bei Blacklight wurde nichts gefunden.

Hab jetzt das mit GMER gemacht und auch am Ende COPY gedrückt. Dort stand dann, das Ergebnis sei jetzt auf dem clipboard. Wie finde ich denn dieses Clipboard? Also wie kann ich das Ergebnis hier posten?

Alt 31.10.2008, 16:21   #11
Gali
 
TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Standard

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung



Jetzt ist gerad auch wieder mein Antivir angesprungen:

In der Datei 'C:\System Volume Information\_restore{E3B8A8D4-A7E3-4B09-A8E2-6F0FC2C2DF10}\RP97\A0026847.dll'
wurde ein Virus oder unerwünschtes Programm 'BDS/TDSS.adb' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

...so langsam krieg ich echt die Krise.... Kann mir bitte bitte jemand helfen?

Alt 31.10.2008, 16:26   #12
Leonidas88
 
TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Standard

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung



Du hättest schon von Anfang an die Systemwiederherstellung deaktivieren sollen. Deaktiviere und der Ordner wird gelöscht.

Alt 31.10.2008, 16:28   #13
Gali
 
TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Standard

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung



Das wusste ich ja nicht...Allerdings funktioniert die Systemwiederherstellung bei mir sowieso nicht, weil Uhr- und Datumsanzeige an meinem Laptop nicht funktionieren...

Hier nun Ergebnis von GMER:

GMER 1.0.14.14536 - h**p://www.gmer.net
Rootkit scan 2008-10-30 23:49:15
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT F7CC659C ZwCreateThread
SSDT F7CC6588 ZwOpenProcess
SSDT F7CC658D ZwOpenThread
SSDT F7CC6597 ZwTerminateProcess
SSDT F7CC6592 ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Services - GMER 1.0.14 ----

Service system32\drivers\TDSSpqxt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys <-- ROOTKIT !!!
Service system32\drivers\TDSSpqlt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys) <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSpqxt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSpqxt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoiqh.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSpaxt.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSSofxh.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSosvd.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSSnrsr.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSriqp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSScfum.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSlxwp.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)@imagepath \systemroot\system32\drivers\TDSSpqlt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@TDSSserv \systemroot\system32\drivers\TDSSpqlt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@TDSSl \systemroot\system32\TDSSoiqt.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdssservers \systemroot\system32\TDSSlrvd.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdssmain \systemroot\system32\TDSShrxr.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdsslog \systemroot\system32\TDSSrtqp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdssadw \systemroot\system32\TDSSxfum.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdssinit \systemroot\system32\TDSSlxwp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdsspanels \systemroot\system32\TDSSsahc.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdssserf \systemroot\system32\TDSSrhyp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdsserrors \systemroot\system32\TDSSkkbi.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@TDSSproc \systemroot\system32\TDSSbubv.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSpqxt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSpqxt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoiqh.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSpaxt.dat
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSSofxh.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSosvd.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSSnrsr.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSriqp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSScfum.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSlxwp.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)@imagepath \systemroot\system32\drivers\TDSSpqlt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@TDSSserv \systemroot\system32\drivers\TDSSpqlt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@TDSSl \systemroot\system32\TDSSoiqt.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdssservers \systemroot\system32\TDSSlrvd.dat
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdssmain \systemroot\system32\TDSShrxr.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdsslog \systemroot\system32\TDSSrtqp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdssadw \systemroot\system32\TDSSxfum.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdssinit \systemroot\system32\TDSSlxwp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdsspanels \systemroot\system32\TDSSsahc.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdssserf \systemroot\system32\TDSSrhyp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdsserrors \systemroot\system32\TDSSkkbi.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@TDSSproc \systemroot\system32\TDSSbubv.log

---- EOF - GMER 1.0.14 ----

Was mach ich am besten als nächstes? Das mit dem Servicepack 3?

Alt 31.10.2008, 18:25   #14
Gali
 
TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Standard

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung



HAbe jetzt auf Service Pack 3 geupdated.

Was kann ich noch machen? Bin dankbar für jeden Tipp!!!

Alt 31.10.2008, 18:32   #15
Silent sharK
 

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Standard

TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung



Hi,

da sind noch TDSS-Rootkits aktiv,
führe bitte folgendes Tool aus:

ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung
anleitung, antivir, antworten, computer, forum, frage, free, funktioniert, google, hallo zusammen, helfen, infected, keine ahnung, links, mehrere, mehrere trojaner, meldung, plötzlich, probleme, probleme beim hochfahren, prüfen, quarantäne, seite, seiten, tipps, tr/dropper.gen, trojaner, trojaner gefunden, windows, windows meldung, your computer is infected




Ähnliche Themen: TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung


  1. Sytem-Care Antivirus und Trojan.FakeAler
    Log-Analyse und Auswertung - 24.05.2013 (11)
  2. TR/Dropper.Gen und Fehlermeldung beim Öffnen d. Webcamprogramms
    Plagegeister aller Art und deren Bekämpfung - 08.03.2013 (18)
  3. tr dropper.gen und JAVA/Dldr.Agent.D
    Log-Analyse und Auswertung - 13.07.2010 (9)
  4. Verschiedene Trojaner: Dldr.A.hlx, Ertfor.A.45, Dropper.Gen
    Log-Analyse und Auswertung - 27.04.2010 (4)
  5. TR/Dldr.FakeAV.nxh & TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2009 (2)
  6. Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen
    Log-Analyse und Auswertung - 26.09.2009 (8)
  7. Dropper.Gen / Fehlermeldung nach Entfernung
    Plagegeister aller Art und deren Bekämpfung - 24.02.2009 (1)
  8. Trojaner TR/Dldr. FakeAler.BB
    Mülltonne - 05.01.2009 (0)
  9. karna.dat macht mir das leben schwer...
    Log-Analyse und Auswertung - 29.12.2008 (3)
  10. Wie entferne ich karna.dat ?
    Mülltonne - 08.12.2008 (0)
  11. nimda & karna.dat
    Log-Analyse und Auswertung - 07.12.2008 (1)
  12. brastk.exe, karna.dat und weitere
    Plagegeister aller Art und deren Bekämpfung - 08.11.2008 (9)
  13. Karna und brastk Problem
    Plagegeister aller Art und deren Bekämpfung - 08.11.2008 (2)
  14. Karna und brastk Prpblem!
    Log-Analyse und Auswertung - 30.10.2008 (4)
  15. Trojaner TR/Dldr.fakeAler.BB
    Plagegeister aller Art und deren Bekämpfung - 26.10.2008 (2)
  16. 'TR/Dldr.Agent.acaa' und 'TR/Dropper.Gen'
    Log-Analyse und Auswertung - 28.08.2008 (2)
  17. Dropper Solutions und TR/Dldr.Dyfuca.ds
    Log-Analyse und Auswertung - 11.05.2005 (24)

Zum Thema TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung - Hallo zusammen! Ich habe schon viel im Forum hier und auch sonst nach Antworten auf meine Fragen gesucht, nur hab ich computertechnisch wirklich gar keine Ahnung und kann nur wenigs - TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung...
Archiv
Du betrachtest: TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.