|
Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-FehlermeldungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.10.2008, 18:29 | #1 |
| TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung Hallo zusammen! Ich habe schon viel im Forum hier und auch sonst nach Antworten auf meine Fragen gesucht, nur hab ich computertechnisch wirklich gar keine Ahnung und kann nur wenigs mit den bisher gelesenen Tipps anfangen. Wäre so dankbar, wenn man mir hier helfen könnte. Also: Ich habe, wie einige andere hier, vor ein paar Tagen plötzlich diese Windows Meldung "your computer is infected" bekommen. Ich habe dann Antivir (war leider noch die Free version) mal prüfen lassen und ich habe mehrere Trojaner gefunden, z.B. die im Thread-Titel genannten. Ich habe sie zunächst in Quarantäne geschickt und später gelöscht. Seitdem hab ich jedoch Probleme beim Hochfahren des Laptops. Anfangs fuhr er etwa erst nach dem 4-5 Versuch hoch und heute will er gar nicht mehr. Es funktioniert nur noch im abgesicherten Modus. Hab jetzt Antivir Premium...der hat jedoch nix mehr gefunden... Als er gestern nochmal anging, hatte ich bei google das Gefühl, dass er versucht, mich nicht auf die richtigen Links, sondern auf irgendwelche anderen Seiten zu verleiten... Was kann ich jetzt machen? Wie kann ich Euch nähere Informationen bringen? (Könntet Ihr mir da vielleicht eine Anleitung für "PC-Doofe" geben?...) Danke schonmal im voraus für Eure Mühe!!! |
30.10.2008, 18:50 | #2 |
| TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung Hallo Gali,
__________________Bitte versuche ob du einen Post von HijackThis hinbekommst, du kannst es auch mit Hilfe eines USB Sticks versuchen. Kannst du bitte noch mehr Auskunft über dein System geben? Malwarebytes' Anti-Malware: Downloade dir Malwarebytes herunter Installiere es Befolge die Anleitung (führe einen kompletten Scan aus!) Poste den entstandenen Log
__________________ |
30.10.2008, 20:28 | #3 |
| TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung Hallo, danke schonmal für Deine Antwort!
__________________Ich benutzte Windows XP, Service Pack 2 Hier meine Logfile: #Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:48:19, on 30.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - AppInit_DLLs: karna.dat O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe -- End of file - 6414 bytes# |
30.10.2008, 20:32 | #4 |
| TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung was ist mit MalwareBytes?
__________________ Warum stürzt Windows 95 so oft ab? Na klar - weil das Verfallsdatum abgelaufen ist! |
30.10.2008, 20:58 | #5 |
| TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung läuft noch... |
30.10.2008, 22:47 | #6 |
| TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung So, hier das Ergebnis. Hab alles gefundene gelöscht...Ganz schön viel...*schwitz* Jetzt ist mein PC auch wieder richtig angegangen, ohne den abgesichterten Modus...Was sollte ich jetzt noch machen? #Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1306 Windows 5.1.2600 Service Pack 2 30.10.2008 17:14:19 mbam-log-2008-10-30 (17-14-19).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 99246 Laufzeit: 1 hour(s), 25 minute(s), 12 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 19 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\TDSSlxwp.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wini10801.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Temp\TDSS6b01.tmp (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Temp\TDSS6b3f.tmp (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\TDSSbubv.log (Trojan.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\TDSShrxr.dll (Rootkit.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\TDSSnmxh.log (Trojan.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\TDSSnrsr.dll (Rootkit.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\TDSSofxh.dll (Rootkit.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\TDSSoiqh.dll (Rootkit.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\TDSSoiqt.dll (Rootkit.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\TDSSosvd.dll (Rootkit.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\TDSSrhyp.dll (Rootkit.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\TDSSriqp.dll (Rootkit.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\TDSSrtqp.dll (Rootkit.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\TDSSxfum.dll (Rootkit.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\TDSSpqlt.sys (Rootkit.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\TDSSpqxt.sys (Rootkit.Agent) -> Quarantined and deleted successfully.# |
31.10.2008, 09:01 | #7 |
| TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung Ach ja...konnte vor dem Malwarebytes Check kein Update machen, weil ich keine Internet-Verbindung aufbauen konnte. Jetzt würde es wieder gehen...Soll ich das Programm nochmal drüber laufen lassen? |
31.10.2008, 10:46 | #8 |
| TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung Zuerst einmal da Malwarebytes Rootkits gefunden hat, sollten wir erstmal nach Rootkits schauen. Also: Downloade dir mbr.exe auf den Desktop und führe es aus. Sollte ein MBR Rootkit gefunden worde sein, kommt eine Meldung im Log: MBR rootkit code detected ! Poste den Log bitte. Dann: - Downloade dir Blacklight und führe es aus und poste ebenfalls das Ergebnis. GMER - Rootkit Detection • Lade GMER von hier • entpacke es auf den Dektop • Dopperlklicke die gmer.exe • Der Reiter Rootkit oben ist schon angewählt • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern • nach Beendigung des Scan, drücke "Copy" • nun kannst Du das Ergebnis hier posten • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden. Du solltest mal dein System ein bisschen auf den neusten Stand bringen, du hast Service Pack 2 von Windows, aber Service Pack 3 ist das neuste. Daher: • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI). . • Update der Viren-Signaturen deines Anti-Viren Programmes. . • Treiberupdate der Hardware (Grafikkarte, Soundkarte). . • Windows Update ->Der Frischmacher. . • Installation des aktuellen ServicePacks: o ServicePack3
__________________ Warum stürzt Windows 95 so oft ab? Na klar - weil das Verfallsdatum abgelaufen ist! Geändert von Aggro Berlin (31.10.2008 um 11:03 Uhr) |
31.10.2008, 15:00 | #9 |
| TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung Erstmal ganz vielen Dank für Deine weiteren Tipps!!! Also, hab jetzt erst mal das mit dem mbr.exe gemacht. Ist das normal, dass das Suchen nur 1 Sekunde dauert? Im Editor öffnete sich folgendes: Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Ist das so schon fertig, oder fehlt noch was? Mache dann jetzt das mit dem Blacklight... P.S. : Wo kann ich hier meine Beiträge editieren? |
31.10.2008, 15:39 | #10 |
| TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung Bei Blacklight wurde nichts gefunden. Hab jetzt das mit GMER gemacht und auch am Ende COPY gedrückt. Dort stand dann, das Ergebnis sei jetzt auf dem clipboard. Wie finde ich denn dieses Clipboard? Also wie kann ich das Ergebnis hier posten? |
31.10.2008, 16:21 | #11 |
| TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung Jetzt ist gerad auch wieder mein Antivir angesprungen: In der Datei 'C:\System Volume Information\_restore{E3B8A8D4-A7E3-4B09-A8E2-6F0FC2C2DF10}\RP97\A0026847.dll' wurde ein Virus oder unerwünschtes Programm 'BDS/TDSS.adb' [backdoor] gefunden. Ausgeführte Aktion: Zugriff verweigern ...so langsam krieg ich echt die Krise.... Kann mir bitte bitte jemand helfen? |
31.10.2008, 16:26 | #12 |
| TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung Du hättest schon von Anfang an die Systemwiederherstellung deaktivieren sollen. Deaktiviere und der Ordner wird gelöscht. |
31.10.2008, 16:28 | #13 |
| TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung Das wusste ich ja nicht...Allerdings funktioniert die Systemwiederherstellung bei mir sowieso nicht, weil Uhr- und Datumsanzeige an meinem Laptop nicht funktionieren... Hier nun Ergebnis von GMER: GMER 1.0.14.14536 - h**p://www.gmer.net Rootkit scan 2008-10-30 23:49:15 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT F7CC659C ZwCreateThread SSDT F7CC6588 ZwOpenProcess SSDT F7CC658D ZwOpenThread SSDT F7CC6597 ZwTerminateProcess SSDT F7CC6592 ZwWriteVirtualMemory ---- Devices - GMER 1.0.14 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) ---- Services - GMER 1.0.14 ---- Service system32\drivers\TDSSpqxt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys <-- ROOTKIT !!! Service system32\drivers\TDSSpqlt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys) <-- ROOTKIT !!! ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSpqxt.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSpqxt.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoiqh.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSpaxt.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSSofxh.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSosvd.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSSnrsr.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSriqp.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSScfum.log Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSlxwp.log Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSSnmxh.log Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)@imagepath \systemroot\system32\drivers\TDSSpqlt.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@TDSSserv \systemroot\system32\drivers\TDSSpqlt.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@TDSSl \systemroot\system32\TDSSoiqt.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdssservers \systemroot\system32\TDSSlrvd.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdssmain \systemroot\system32\TDSShrxr.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdsslog \systemroot\system32\TDSSrtqp.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdssadw \systemroot\system32\TDSSxfum.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdssinit \systemroot\system32\TDSSlxwp.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdssurls \systemroot\system32\TDSSnmxh.log Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdsspanels \systemroot\system32\TDSSsahc.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdssserf \systemroot\system32\TDSSrhyp.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@tdsserrors \systemroot\system32\TDSSkkbi.log Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@TDSSproc \systemroot\system32\TDSSbubv.log Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@start 1 Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@type 1 Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSpqxt.sys Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSpqxt.sys Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoiqh.dll Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSpaxt.dat Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSSofxh.dll Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSosvd.dll Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSSnrsr.dll Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSriqp.dll Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSScfum.log Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSlxwp.log Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSSnmxh.log Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)@start 1 Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)@type 1 Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)@imagepath \systemroot\system32\drivers\TDSSpqlt.sys Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@TDSSserv \systemroot\system32\drivers\TDSSpqlt.sys Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@TDSSl \systemroot\system32\TDSSoiqt.dll Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdssservers \systemroot\system32\TDSSlrvd.dat Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdssmain \systemroot\system32\TDSShrxr.dll Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdsslog \systemroot\system32\TDSSrtqp.dll Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdssadw \systemroot\system32\TDSSxfum.dll Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdssinit \systemroot\system32\TDSSlxwp.dll Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdssurls \systemroot\system32\TDSSnmxh.log Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdsspanels \systemroot\system32\TDSSsahc.dll Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdssserf \systemroot\system32\TDSSrhyp.dll Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@tdsserrors \systemroot\system32\TDSSkkbi.log Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys)\modules@TDSSproc \systemroot\system32\TDSSbubv.log ---- EOF - GMER 1.0.14 ---- Was mach ich am besten als nächstes? Das mit dem Servicepack 3? |
31.10.2008, 18:25 | #14 |
| TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung HAbe jetzt auf Service Pack 3 geupdated. Was kann ich noch machen? Bin dankbar für jeden Tipp!!! |
31.10.2008, 18:32 | #15 |
TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung Hi, da sind noch TDSS-Rootkits aktiv, führe bitte folgendes Tool aus: ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
Themen zu TR/Dropper.Gen, TR/Dldr.fakeAler.BB, karna.dat etc. und Windows-Fehlermeldung |
anleitung, antivir, antworten, computer, forum, frage, free, funktioniert, google, hallo zusammen, helfen, infected, keine ahnung, links, mehrere, mehrere trojaner, meldung, plötzlich, probleme, probleme beim hochfahren, prüfen, quarantäne, rojaner gefunden, seite, seiten, tipps, tr/dropper.gen, trojaner, trojaner gefunden, windows, windows meldung, your computer is infected |