|
Log-Analyse und Auswertung: TDSServWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.11.2008, 15:22 | #1 |
| TDSServ Hi, ich hab mir letztens anscheinend das Rootkit TDSServ. Ich hab schon versucht das über Antivir zu löschen aber das Teil ist sofort wieder da. Ich weiß nichtmehr weiter und hab jetzt dieses Forum gefunden. Ihr seid meine letzte hoffnung. Hier mal der HijackThis log: Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 15:17:58, on 27.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\programme\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\alg.exe D:\Programme\Proxifier\Proxifier.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Programme\HijackThis\1_99_1.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [] C:\Dokumente und Einstellungen\User\Anwendungsdaten\Adobe\Player.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Alice.lnk = ? O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209823719453 O16 - DPF: {BF985246-09BF-11D2-BE62-006097DF57F6} (SimCityX Control) - http://simcity.ea.com/play/classic/SimCityX.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6EDE52E1-CB60-4297-9123-49F11A063F52}: NameServer = 213.191.74.11 213.191.92.82 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: WBSrv - D:\Programme\Stardock\Object Desktop\WindowBlinds\wbsrv.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\programme\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe Vielen Dank im Vorraus |
27.11.2008, 15:29 | #2 |
| TDSServ Hi,
__________________das kann (je nachdem welche Variante) haarig werden; Versuchen wir es erstmal mit Combofix: Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird ACHTUNG: Benenne bereits im Download-Dialog die Combofix.exe um, z. B. auf Mopps.exe... Falls das nicht funktioniert gehen wir zu Methode B über: http://www.intelliadmin.com/blog/2006/12/show-hidden-devices-in-windows-xp.html Alternativ: Gebe unter Start/Ausfuehren devmgmt.msc ein und druecke enter, dann ueber "Ansicht", "Ausgeblendete Geraete anzeigen" waehlen, "nicht-PNP-Treiber" anzeigen lassen und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten. Dann nochmal Combofix starten... chris
__________________ |
27.11.2008, 15:33 | #3 | |
| TDSServZitat: |
27.11.2008, 15:35 | #4 |
| TDSServ @dborys I know, aber ist erst mal nebensächlich. Die neue Variante blockiert eigentlich alles und ist nur mit Tricks vom Rechner zu bekommen... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
27.11.2008, 15:38 | #5 |
| TDSServ Ich weiß, wollte dich trotzdem darauf hinweisen, damit der User in Zukunft nicht den selben Fehler macht. |
27.11.2008, 15:38 | #6 |
| TDSServ Hack ihr seid die besten. Nachdem ich den Treiber deaktiviert und den PC neugestartet habe, hab ich erstmal direkt ne Viruswarnung gekriegt. Natürlich erstmal gelöscht. Dann hab ich nach den auf ner anderen Seite gefundenen Regitry einträgen geguckt und siehe da. Jetzt kann ich sie sehen. Und wegen der HijackThis Version. Ich hab ja gesagt dass einige Seiten geblockt werden. Die HijackThis Seite gehört dazu. Ich werd mal gucken ob ich jetzt Combofix runterladen kann da das vorher auch geblockt wurde. Auf jeden Fall schonmal ein fettes DANKE. EDIT: Geblockte Seiten sind wieder freigeschaltet^^ Geändert von Damarus (27.11.2008 um 15:40 Uhr) Grund: Geht wieder |
27.11.2008, 15:47 | #7 |
| TDSServ Hi, der Tipp kommt von Raman (mit den "Hidden devices"), alternativ der "englishe" Link... Jetzt solltest Du der Lag eigentlich "Herr" werden, muss jetzt eh auf eine Geburtstagsfeier ... Lass auf jeden Fall nach Combofix noch MAM und PrevX drüber rauschen... Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Prevx: http://www.prevx.com/freescan.asp (Ist zwar nur ein Scanner (kann nicht löschen, dafür müsst Lizenz gelöhnt werden), aber er findet viel.... Wenn es dann noch "Ungereihmtheiten" gibt, gehen wir in die Tiefe (Silentrunner, RSIT)... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
27.11.2008, 15:57 | #8 |
| TDSServ Ok Danke! Hier ist schonmal der Combofix Log: Code:
ATTFilter ComboFix 08-11-27.01 - User 2008-11-27 15:47:05.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1671 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\mops.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\setup.exe c:\windows\system32\Drivers\TDSSmaxt.sys c:\windows\system32\TDSSnrsr.dll c:\windows\system32\TDSSofxh.dll c:\windows\system32\TDSSosvd.dat c:\windows\system32\TDSSriqp.dll c:\windows\system32\TDSStkdv.log c:\windows\system32\tmp20.tmp . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ISODRIVE -------\Legacy_OREANS32 -------\Legacy_TDSSSERV.SYS -------\Service_ISODrive -------\Service_oreans32 -------\Service_TDSSserv.sys ((((((((((((((((((((((( Dateien erstellt von 2008-10-27 bis 2008-11-27 )))))))))))))))))))))))))))))) . 2008-11-27 15:49 . 2008-11-27 15:49 16,384 --a----t- c:\temp\Perflib_Perfdata_7fc.dat 2008-11-27 15:40 . 2008-11-27 15:45 <DIR> d-------- C:\ComboFix 2008-11-27 14:38 . 2008-11-27 15:35 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-11-26 20:45 . 2008-11-27 14:45 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan 2008-11-26 20:32 . 2008-11-26 20:33 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-11-26 19:55 . 2007-09-12 18:29 782,336 -ra------ c:\windows\system32\tmp1F.tmp 2008-11-26 16:05 . 2008-11-26 16:05 410,976 --a------ c:\windows\system32\deploytk.dll 2008-11-23 18:57 . 2008-11-23 18:57 <DIR> d-------- c:\programme\Microsoft Visual Studio 8 2008-11-23 17:40 . 2006-05-31 08:22 62,232 -r------- c:\windows\system32\GameuxInstallHelper.dll 2008-11-22 09:50 . 2008-11-27 14:28 2,351 --a------ c:\windows\system32\TDSSfxmp.dll 2008-11-18 20:42 . 2008-11-18 20:42 <DIR> d-------- c:\dokumente und einstellungen\User\Anwendungsdaten\Leadertech 2008-11-15 22:30 . 2005-01-12 13:01 118,784 --a------ c:\windows\system32\WLANUTL.dll 2008-11-15 22:30 . 2005-01-12 15:47 61,440 --a------ c:\windows\system32\W32N50.dll 2008-11-15 22:30 . 2005-01-12 15:47 16,292 --a------ c:\windows\system32\PCANDIS5.SYS 2008-11-15 16:46 . 2008-11-15 16:46 603,904 --a------ c:\windows\system32\TUProgSt.exe 2008-11-15 16:45 . 2008-11-15 16:45 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2008-11-14 20:44 . 2008-11-14 20:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fallout3 2008-11-06 21:51 . 2008-11-06 21:51 0 --a------ c:\windows\mngui.INI 2008-11-06 18:57 . 2008-11-06 18:57 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{0691F710-1ECA-4B5A-9727-25554F1BFDC6} 2008-11-06 14:17 . 2008-11-06 14:17 1,061,188 --a------ c:\windows\system32\ah.mx1 2008-11-06 14:17 . 2008-11-06 14:17 564,736 --a------ c:\windows\system32\ah.scr 2008-11-06 14:17 . 2008-11-06 14:17 45,056 --a------ c:\windows\system32\sstunst3.exe 2008-11-06 14:17 . 2008-11-06 14:17 20,610 --a------ c:\windows\system32\ah.ibx 2008-11-04 18:49 . 2008-11-04 18:49 <DIR> d-------- c:\windows\nview 2008-11-04 18:49 . 2008-11-27 15:49 200,819 --a------ c:\windows\system32\nvapps.xml 2008-11-04 18:49 . 2008-10-07 13:33 18,477 --a------ c:\windows\system32\nvdisp.nvu 2008-11-02 10:22 . 2008-11-27 15:49 100,883 --a------ c:\windows\system32\oodbs.lor 2008-11-01 09:39 . 2008-11-01 09:39 <DIR> d-------- c:\dokumente und einstellungen\User\Desktops2crck 2008-11-01 08:44 . 2008-11-01 08:44 <DIR> d-------- c:\windows\95FC26FB19FD4A96BBB1B1062E8648F5.TMP 2008-10-28 23:36 . 2008-10-28 23:36 823,296 --a------ c:\windows\system32\divx_xx0c.dll 2008-10-28 23:36 . 2008-10-28 23:36 823,296 --a------ c:\windows\system32\divx_xx07.dll 2008-10-28 23:35 . 2008-10-28 23:35 815,104 --a------ c:\windows\system32\divx_xx0a.dll 2008-10-28 23:35 . 2008-10-28 23:35 802,816 --a------ c:\windows\system32\divx_xx11.dll 2008-10-28 23:35 . 2008-10-28 23:35 729,088 --a------ c:\windows\system32\divxdec.ax 2008-10-28 23:35 . 2008-10-28 23:35 684,032 --a------ c:\windows\system32\DivX.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-26 19:32 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2008-11-26 18:55 413,696 ----a-w c:\windows\system32\wrap_oal.dll 2008-11-26 18:55 110,592 ----a-w c:\windows\system32\OpenAL32.dll 2008-11-26 18:30 --------- d--h--w c:\programme\InstallShield Installation Information 2008-11-26 18:18 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2008-11-26 15:05 --------- d-----w c:\programme\Java 2008-11-25 20:09 183,112 ----a-w c:\windows\system32\PnkBstrB.exe 2008-11-25 20:09 138,184 ----a-w c:\windows\system32\drivers\PnkBstrK.sys 2008-11-25 18:03 --------- d-----w c:\dokumente und einstellungen\User\Anwendungsdaten\Winamp 2008-11-23 17:58 --------- d-----w c:\programme\Microsoft.NET 2008-11-23 17:58 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-11-20 17:01 682,280 ----a-w c:\windows\system32\pbsvc.exe 2008-11-20 17:01 22,328 ----a-w c:\dokumente und einstellungen\User\Anwendungsdaten\PnkBstrK.sys 2008-11-20 16:52 --------- d-----w c:\dokumente und einstellungen\User\Anwendungsdaten\Skype 2008-11-20 15:52 --------- d-----w c:\dokumente und einstellungen\User\Anwendungsdaten\skypePM 2008-11-18 20:06 66,872 ----a-w c:\windows\system32\PnkBstrA.exe 2008-11-15 15:46 362,240 ----a-w c:\windows\system32\TuneUpDefragService.exe 2008-11-12 15:44 27,904 ----a-w c:\windows\system32\uxtuneup.dll 2008-11-06 20:17 --------- d-----w c:\programme\SystemRequirementsLab 2008-11-05 16:32 --------- d-----w c:\programme\DivX 2008-11-02 17:45 --------- d-----w c:\programme\Microsoft Silverlight 2008-10-26 20:23 --------- d-----w c:\programme\Gemeinsame Dateien\Apple 2008-10-26 20:23 --------- d-----w c:\programme\Apple Software Update 2008-10-26 20:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-10-26 20:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple 2008-10-26 20:19 --------- d-----w c:\dokumente und einstellungen\User\Anwendungsdaten\River Past G5 2008-10-26 20:18 162,474 ----a-w c:\windows\MPEG-4 Converter and Booster Pack Uninstaller.exe 2008-10-26 20:18 --------- d-----w c:\programme\Gemeinsame Dateien\River Past 2008-10-26 20:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\River Past G5 2008-10-26 20:16 163,459 ----a-w c:\windows\Audio Converter Uninstaller.exe 2008-10-26 18:01 --------- d-----w c:\dokumente und einstellungen\User\Anwendungsdaten\Teleca 2008-10-25 09:21 --------- d-----w c:\programme\Sony Ericsson 2008-10-25 09:21 --------- d-----w c:\programme\Gemeinsame Dateien\Teleca Shared 2008-10-25 09:21 --------- d-----w c:\programme\Gemeinsame Dateien\Sony Ericsson Shared 2008-10-25 09:21 --------- d-----w c:\dokumente und einstellungen\User\Anwendungsdaten\Sony Ericsson 2008-10-25 09:21 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Teleca 2008-10-25 09:21 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson 2008-10-24 14:37 --------- d-----w c:\dokumente und einstellungen\User\Anwendungsdaten\NewsLeecher 2008-10-21 13:43 --------- d-----w c:\programme\Google 2008-10-21 13:43 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2008-10-21 10:41 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\2DBoy 2008-10-18 20:44 --------- d-----w c:\programme\NVIDIA Corporation 2008-10-17 18:11 --------- d-----w c:\dokumente und einstellungen\User\Anwendungsdaten\Download Manager 2008-10-17 15:03 107,888 ----a-w c:\windows\system32\CmdLineExt.dll 2008-10-17 15:03 --------- d--h--r c:\dokumente und einstellungen\User\Anwendungsdaten\SecuROM 2008-10-16 12:18 --------- d-----w c:\programme\Gemeinsame Dateien\TechSmith Shared 2008-10-14 19:31 --------- d-----w c:\programme\AGEIA Technologies 2008-10-13 15:29 105,984 ----a-w c:\windows\system32\c_dll.dll 2008-10-13 12:36 279,712 ----a-w c:\windows\system32\drivers\atksgt.sys 2008-10-13 12:36 25,888 ----a-w c:\windows\system32\drivers\lirsgt.sys 2008-10-13 06:39 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\America's Army Deploy Client 2008-10-08 15:50 --------- d-----w c:\programme\Bonjour 2008-10-08 15:35 --------- d-----w c:\programme\Gemeinsame Dateien\EZB Systems 2008-10-05 15:59 --------- d-----w c:\dokumente und einstellungen\User\Anwendungsdaten\Disney Interactive Studios 2008-10-05 10:06 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania 2008-10-04 09:57 24,944 ----a-w c:\windows\system32\drivers\GVTDrv.sys 2008-10-03 18:28 --------- d-----w c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer 2008-10-02 23:46 81,920 ----a-w c:\windows\system32\frapsvid.dll 2008-10-01 16:06 --------- d-----w c:\programme\MSBuild 2008-09-30 16:40 --------- d-----w c:\programme\OpenOffice.org 2.4 2008-09-30 13:19 33,952 ----a-w c:\windows\system32\drivers\oreans32.sys 2008-09-28 16:43 65,536 ----a-w c:\windows\IFinst27.exe 2008-09-26 11:23 720,896 ----a-w c:\windows\iun6002.exe 2008-09-26 05:12 730,368 ----a-w c:\windows\system32\oodsvct.exe 2008-09-26 05:12 1,287,424 ----a-w c:\windows\system32\oodag.exe 2008-09-26 05:11 2,524,416 ----a-w c:\windows\system32\oodtray.exe 2008-09-26 05:11 194,816 ----a-w c:\windows\system32\oodbs.exe 2008-09-26 05:10 902,400 ----a-w c:\windows\system32\oodtrrs.dll 2008-09-26 05:09 9,984 ----a-w c:\windows\system32\oodbsrs.dll 2008-09-26 05:09 8,448 ----a-w c:\windows\system32\oodagrs.dll 2008-09-26 05:09 16,640 ----a-w c:\windows\system32\oodagmg.dll 2008-09-25 08:03 81,920 ----a-w c:\windows\system32\dpl100.dll 2008-09-25 08:03 593,920 ----a-w c:\windows\system32\dpuGUI11.dll 2008-09-25 08:03 57,344 ----a-w c:\windows\system32\dpv11.dll 2008-09-25 08:03 53,248 ----a-w c:\windows\system32\dpuGUI10.dll 2008-09-25 08:03 524,288 ----a-w c:\windows\system32\DivXsm.exe 2008-09-25 08:03 344,064 ----a-w c:\windows\system32\dpus11.dll 2008-09-25 08:03 294,912 ----a-w c:\windows\system32\dpu11.dll 2008-09-25 08:03 294,912 ----a-w c:\windows\system32\dpu10.dll 2008-09-25 08:03 196,608 ----a-w c:\windows\system32\dtu100.dll 2008-09-25 08:03 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe 2008-09-19 21:57 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll 2008-09-19 21:55 200,704 ----a-w c:\windows\system32\ssldivx.dll 2008-09-19 21:55 1,044,480 ----a-w c:\windows\system32\libdivx.dll 2008-09-19 21:54 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll 2008-09-18 04:17 15,104 ----a-w c:\windows\system32\ootmapi.dll 2008-09-17 07:55 453,152 ----a-w c:\windows\system32\nvudisp.exe 2008-09-16 19:27 453,152 ----a-w c:\windows\system32\NVUNINST.EXE 2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys 2008-09-04 07:31 288,024 ----a-w c:\windows\system32\PhysXCplUI.exe 2008-09-03 16:07 24 ----a-w c:\dokumente und einstellungen\User\jagex_runescape_preferences.dat 2008-08-29 06:57 70,936 ----a-w c:\windows\system32\PhysXLoader.dll 2008-06-05 13:44 1,890 --sha-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys 2008-06-05 13:40 88 --sh--r c:\dokumente und einstellungen\All Users\Anwendungsdaten\9A25DD75C7.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "SpybotSD TeaTimer"="d:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-26 136600] "NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "WinampAgent"="d:\programme\Winamp\winampa.exe" [2008-08-04 36352] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016] "nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="c:\\WINDOWS\\system32\\logonui.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv] 2008-09-28 17:39 229376 d:\programme\Stardock\Object Desktop\WindowBlinds\WbSrv.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=wbsys.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSVideo"= CSvidcap.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=3 (0x3) "MDM"=2 (0x2) "Bonjour Service"=2 (0x2) "O&O Defrag"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "ISUSPM"= [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "AntiSpyWareDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\Game\\Soldat\\Soldat.exe"= "d:\\Programme\\ICQ6\\ICQ.exe"= "d:\\Game\\TmNationsForever\\TmForever.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"= "d:\\Game\\TmNationsForever\\TmForeverLauncher.exe"= "c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe"= "c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"= "d:\\Game\\Prey\\prey.exe"= "c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"= "c:\\WINDOWS\\system32\\java.exe"= "d:\\Game\\Metin2\\metin2.bin"= "d:\\Game\\S.T.A.L.K.E.R. Clear Sky\\bin\\xrEngine.exe"= "d:\\Game\\S.T.A.L.K.E.R. Clear Sky\\bin\\dedicated\\xrEngine.exe"= "d:\\Game\\Battlefield 2\\BF2.exe"= "d:\\Game\\Brothers in Arms - Hell's Highway\\Binaries\\biahh.exe"= "d:\\Game\\Crysis\\Bin32\\Crysis.exe"= "d:\\Game\\Crysis\\Bin32\\CrysisDedicatedServer.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "d:\\Programme\\MAXON\\CINEMA 4D R10\\NET Render Client.exe"= "d:\\Game\\Far Cry 2\\bin\\FarCry2.exe"= "d:\\Game\\Far Cry 2\\bin\\FC2Launcher.exe"= "d:\\Game\\Far Cry 2\\bin\\FC2Editor.exe"= "d:\\Game\\Far Cry 2\\bin\\FC2ServerLauncher.exe"= "d:\\Programme\\River Past\\Audio Converter\\AudioConverter.exe"= "d:\\Programme\\River Past\\MPEG-4 Converter and Booster Pack\\VideoCleaner.exe"= "d:\\Programme\\River Past\\MPEG-4 Converter and Booster Pack\\AudioConverter.exe"= "d:\\Game\\Sacred 2 - Fallen Angel\\system\\s2gs.exe"= "d:\\Game\\Sacred 2 - Fallen Angel\\system\\sacred2.exe"= "d:\\Programme\\Steam\\steamapps\\common\\left 4 dead demo\\left4dead.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "d:\\Game\\SEGA Rally\\SEGA Rally.exe"= "d:\\Game\\SEGA Rally\\SEGA Rally_SSE1.exe"= "d:\\Game\\Call of Duty - World at War\\CoDWaWmp.exe"= "d:\\Game\\Call of Duty - World at War\\CoDWaW.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "2350:TCP"= 2350:TCP:Trackmania1 "3450:TCP"= 3450:TCP:Trackmania2 R0 nvgts;nvgts;c:\windows\system32\DRIVERS\nvgts.sys [2008-08-18 145952] R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};\??\c:\programme\CyberLink\PowerDVD\000.fcl [2007-11-02 19:42:32 41456] R3 NBXG7031;NB 802.11g XG703 SP3 Driver;c:\windows\system32\DRIVERS\WlanUIG.sys [2008-05-04 352224] S3 cpuz130;cpuz130;\??\c:\dokume~1\User~1\LOKALE~1\Temp\cpuz130\cpuz_x32.sys [] S3 s716bus;Sony Ericsson Device 716 driver (WDM);c:\windows\system32\DRIVERS\s716bus.sys [2008-10-25 83208] S3 s716mdfl;Sony Ericsson Device 716 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s716mdfl.sys [2008-10-25 15112] S3 s716mdm;Sony Ericsson Device 716 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s716mdm.sys [2008-10-25 108552] S3 s716mgmt;Sony Ericsson Device 716 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s716mgmt.sys [2008-10-25 100360] S3 s716nd5;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (NDIS);c:\windows\system32\DRIVERS\s716nd5.sys [2008-10-25 23176] S3 s716obex;Sony Ericsson Device 716 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s716obex.sys [2008-10-25 98568] S3 s716unic;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (WDM);c:\windows\system32\DRIVERS\s716unic.sys [2008-10-25 98952] S3 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2008-11-15 603904] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67DF2FC4-C224-0903-022C-821A98C0BEC6}] c:\windows\system32\svchostreg.exe . Inhalt des "geplante Tasks" Ordners 2008-11-24 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-SVCHOST - c:\windows\system32\drivers\svchost.exe . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\zr2hoj9h.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank FF -: plugin - c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonUS\NGM\npNxGameUS.dll FF -: plugin - c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npjp2.dll FF -: plugin - c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.1.0.20926.0.dll FF -: plugin - c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.dll FF -: plugin - c:\programme\Mozilla Firefox\plugins\npdeploytk.dll FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin.dll FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin2.dll FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin3.dll FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin4.dll FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin5.dll FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin6.dll FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin7.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-27 15:49:34 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}] "ImagePath"="\??\c:\programme\CyberLink\PowerDVD\000.fcl" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(736) d:\programme\Stardock\Object Desktop\WindowBlinds\wbsrv.dll . ------------------------ Weitere laufende Prozesse ------------------------ . d:\programme\Ad-Aware\aawservice.exe c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\PnkBstrA.exe c:\windows\system32\rundll32.exe c:\programme\Avira\AntiVir PersonalEdition Classic\avwsc.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-11-27 15:51:46 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-11-27 14:51:44 Vor Suchlauf: 20 Verzeichnis(se), 37.009.723.392 Bytes frei Nach Suchlauf: 20 Verzeichnis(se), 36,929,576,960 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 329 Code:
ATTFilter Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1428 Windows 5.1.2600 Service Pack 3 27.11.2008 16:25:35 mbam-log-2008-11-27 (16-25-35).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 232089 Laufzeit: 24 minute(s), 51 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\TDSSfxmp.dll (Rootkit.Agent) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\TDSSmaxt.sys.vir (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSnrsr.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSofxh.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSriqp.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{4EFF4FA4-EB5D-4D46-BD49-550B51DC5523}\RP2\A0000041.dll (Trojan.TDSS) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{4EFF4FA4-EB5D-4D46-BD49-550B51DC5523}\RP2\A0000038.sys (Trojan.TDSS) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{4EFF4FA4-EB5D-4D46-BD49-550B51DC5523}\RP2\A0000039.dll (Trojan.TDSS) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{4EFF4FA4-EB5D-4D46-BD49-550B51DC5523}\RP2\A0000040.dll (Trojan.TDSS) -> Quarantined and deleted successfully. Geändert von Damarus (27.11.2008 um 16:34 Uhr) Grund: Prevx |
27.11.2008, 17:17 | #9 |
| TDSServ Ok also jetzt scheint alles wieder zu gehen. Bin grad dabei mit jedem Prog das ich habe nochmal Tests zu machen aber bis jetzt ist alles im grünen Bereich. Geändert von Damarus (27.11.2008 um 17:52 Uhr) Grund: Scheint doch alles zu gehen. |
Themen zu TDSServ |
ad-aware, adobe, antivir, antivirus, avira, bho, bonjour, desktop, einstellungen, firefox, google, hijack, hijackthis, hijackthis log, internet, internet explorer, launch, mozilla, object, plug-in, problem, rootkit, rundll, senden, software, system, tuneup.defrag, windows, windows xp, windows xp sp3, xp sp3 |