Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Log-Analyse und Auswertung: Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 2 von 2 1 2
Alt 18.12.2008, 20:18   #16
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Programme\WordToPDF" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 18.12.2008, 23:00   #17
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Abend!
Also, hier das Log von Panda:
(Habe einige identische Cookies gelöscht, da der Beitrag zu lange war..

Ciao mit ao


;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2008-12-18 22:55:24
PROTECTIONS: 1
MALWARE: 29
SUSPECTS: 2
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Windows Defender 1.1.4205.0 No No
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.atdmt.com/]
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.atdmt.com/]
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.tribalfusion.com/]
00145732 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.as-eu.falkag.net/]

00147036 Cookie/Adverserve TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.adverserve.net/]
00149064 Cookie/Maxserving TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.maxserving.com/]
00149064 Cookie/Maxserving TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.maxserving.com/]
00167430 Cookie/myaffiliateprogram TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.www.myaffiliateprogram.com/]
00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.com.com/]
00167647 Cookie/Yadro TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.yadro.ru/]
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.xiti.com/]
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.xiti.com/]
00167749 Cookie/Toplist TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.toplist.cz/]
00168048 Cookie/Overture TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.perf.overture.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[ad.yieldmanager.com/]

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[ad.yieldmanager.com/]

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.serving-sys.com/]

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.serving-sys.com/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[as1.falkag.de/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.weborama.fr/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X Y\Cookies\X_Y@weborama[2].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.adtech.de/]
00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[server.iad.liveperson.net/hc/43733127]
00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[server.iad.liveperson.net/]
00168113 Cookie/fe.lea.lycos TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[fe.lea.lycos.de/]
00168113 Cookie/fe.lea.lycos TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[fe.lea.lycos.de/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\system@advertising[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.advertising.com/]
00170495 Cookie/PointRoll TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.ads.pointroll.com/]
00170495 Cookie/PointRoll TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.ads.pointroll.com/]
00170495 Cookie/PointRoll TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.ads.pointroll.com/]
00170495 Cookie/PointRoll TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.ads.pointroll.com/]
00170549 Cookie/FortuneCity TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.fortunecity.com/]
00170549 Cookie/FortuneCity TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.fortunecity.com/]
00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\rox9jpwg.Standard-Benutzer\cookies.txt[.overture.com/]
00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.overture.com/]
00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.overture.com/]
00170556 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.realmedia.com/]
00170556 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.realmedia.com/]
00170556 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.realmedia.com/]
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.questionmarket.com/]
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.questionmarket.com/]
00248517 Cookie/Advnt TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[www.advnt01.com/]
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X Y\Cookies\X_Y@atwola[2].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X Y\Cookies\X_Y@atwola[1].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\tija8vbb.default\cookies.txt[.atwola.com/]
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\X\Cookies\X@atwola[1].txt
01073529 Generic Malware Virus/Trojan No 0 Yes No C:\WINDOWS\system32\catalogix.dll
03738688 Generic Malware Virus/Trojan No 0 Yes No C:\Programme\NO23\vorbis.dll
04401430 Generic Trojan Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\X Y\Desktop\ComFix.com
04401430 Generic Trojan Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\X Y\Eigene Dateien\Setup-Programme\ComboFix.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location 
;===================================================================================================================================================== ==============================
No C:\Programme\Sicherheit\XP-Cleaner\setup.exe 
No C:\qip8020.exe[qip.exe] 
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description 
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
__________________
Alt 19.12.2008, 08:19   #18
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Guten Morgen!

Ich kann von DrWeb nicht wie angegeben den Bericht hier einfügen bzw. erstellen, da ich "Berichtliste löschen" und "Berichtliste speichern" nicht anklicken kann. Liegt das daran, dass das Programm keine Viren gefunden hat? Über "Einstellungen ändern", "Logdatei" habe ich ein Log gefunden, das aber eeeewig lange ist und auch anzeigt, dass es keine Schädlinge gefunden hat

Lg
weicki
__________________
Alt 19.12.2008, 12:11   #19
undoreal
/// AVZ-Toolkit Guru
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY



Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:
C:\WINDOWS\system32\catalogix.dll
C:\Programme\NO23\vorbis.dll
C:\Programme\Sicherheit\XP-Cleaner\setup.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 19.12.2008, 17:51   #20
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Hallo.
lg

Datei catalogix.dll empfangen 2008.12.19 17:46:03 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 20/38 (52.64%)
Laden der Serverinformationen...

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.3 2008.12.19 -
AntiVir 7.9.0.45 2008.12.19 ADSPY/Stud.C.4
Authentium 5.1.0.4 2008.12.19 -
Avast 4.8.1281.0 2008.12.18 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.12.19 Generic2.OLS
BitDefender 7.2 2008.12.19 Application.Catalogix.A
CAT-QuickHeal 10.00 2008.12.19 -
ClamAV 0.94.1 2008.12.19 -
Comodo 781 2008.12.19 -
DrWeb 4.44.0.09170 2008.12.19 -
eSafe 7.0.17.0 2008.12.18 Suspicious File
eTrust-Vet 31.6.6268 2008.12.18 -
Ewido 4.0 2008.12.19 Not-A-Virus.Adware.Stud
F-Prot 4.4.4.56 2008.12.19 -
F-Secure 8.0.14332.0 2008.12.19 AdWare.Win32.Stud.c
Fortinet 3.117.0.0 2008.12.19 Adware/Stud
GData 19 2008.12.19 Application.Catalogix.A
Ikarus T3.1.1.45.0 2008.12.19 not-a-virus:AdWare.Win32.Stud.c
K7AntiVirus 7.10.559 2008.12.19 -
Kaspersky 7.0.0.125 2008.12.19 not-a-virus:AdWare.Win32.Stud.c
McAfee 5468 2008.12.18 -
McAfee+Artemis 5468 2008.12.18 Generic!Artemis
Microsoft 1.4205 2008.12.19 -
NOD32 3706 2008.12.19 -
Norman 5.80.02 2008.12.19 W32/Stud.BD
Panda 9.0.0.4 2008.12.19 Generic Malware
PCTools 4.4.2.0 2008.12.19 -
Prevx1 V2 2008.12.19 Malicious Software
Rising 21.08.42.00 2008.12.19 -
SecureWeb-Gateway 6.7.6 2008.12.19 Ad-Spyware.Stud.C.4
Sophos 4.37.0 2008.12.19 Catalogix
Sunbelt 3.2.1801.2 2008.12.11 AdWare.Win32.Stud
Symantec 10 2008.12.19 -
TheHacker 6.3.1.4.193 2008.12.19 -
TrendMicro 8.700.0.1004 2008.12.19 PAK_Generic.001
VBA32 3.12.8.10 2008.12.18 AdWare.Win32.Stud.c
ViRobot 2008.12.19.1527 2008.12.19 -
VirusBuster 4.5.11.0 2008.12.19 -
weitere Informationen
File size: 48640 bytes
MD5...: 4a3f77e19f0faba57446986c66e07ae2
SHA1..: 3f02a8b182d2c81d6589498c7acfcd6b68d2fd8f
SHA256: fa594c6591364cb8c3f8d78ceadc46a9a9c70c7658ff566ebeccfdf987c0db52
SHA512: 70fa2e83f5a957490022d51f9a102d82063f7f3829c2567259266a005b5339d9
68049584bae15fa0523b0f0a24a867d4a6ebf7e1cae546cfe8b953bb011303da
ssdeep: 768:FMcUQrxhYaHOoc5Q7AO+th3yJj+abtmqSbPGYxYiaJIFuYiDV9P2595AAlu/
Zc1R:FThtuoBH+th3KhboqSRxYJOXim/fSc1R
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1001ef80
timedatestamp.....: 0x4460b590 (Tue May 09 15:30:24 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x14000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x15000 0xb000 0xa200 7.91 a825250d81253fdc898419924627fc06
.rsrc 0x20000 0x2000 0x1800 4.45 bb90b7165e105b0ab36aa2792496cee9

( 10 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress
> ADVAPI32.dll: RegCloseKey
> ATL.DLL: -
> COMCTL32.dll: ImageList_Create
> GDI32.dll: DeleteDC
> ole32.dll: CoCreateGuid
> OLEAUT32.dll: -
> urlmon.dll: ObtainUserAgentString
> USER32.dll: GetDC
> WININET.dll: InternetOpenA


( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=4a3f77e19f0faba57446986c66e07ae2' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=4a3f77e19f0faba57446986c66e07ae2</a>
packers (F-Prot): UPX
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=DF9C646E00A65F73BE1E00586A631A00FB164A37' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=DF9C646E00A65F73BE1E00586A631A00FB164A37</a>
packers (Kaspersky): UPX







Datei vorbis.dll empfangen 2008.12.19 17:52:30 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 4/38 (10.53%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.3 2008.12.19 -
AntiVir 7.9.0.45 2008.12.19 -
Authentium 5.1.0.4 2008.12.19 -
Avast 4.8.1281.0 2008.12.18 -
AVG 8.0.0.199 2008.12.19 -
BitDefender 7.2 2008.12.19 -
CAT-QuickHeal 10.00 2008.12.19 -
ClamAV 0.94.1 2008.12.19 -
Comodo 781 2008.12.19 -
DrWeb 4.44.0.09170 2008.12.19 -
eSafe 7.0.17.0 2008.12.18 Suspicious File
eTrust-Vet 31.6.6268 2008.12.18 -
Ewido 4.0 2008.12.19 -
F-Prot 4.4.4.56 2008.12.18 -
F-Secure 8.0.14332.0 2008.12.19 -
Fortinet 3.117.0.0 2008.12.19 -
GData 19 2008.12.19 -
Ikarus T3.1.1.45.0 2008.12.19 -
K7AntiVirus 7.10.557 2008.12.18 -
Kaspersky 7.0.0.125 2008.12.19 -
McAfee 5468 2008.12.18 -
McAfee+Artemis 5468 2008.12.18 -
Microsoft 1.4205 2008.12.19 -
NOD32 3705 2008.12.19 -
Norman 5.80.02 2008.12.19 -
Panda 9.0.0.4 2008.12.19 Generic Malware
PCTools 4.4.2.0 2008.12.19 -
Prevx1 V2 2008.12.19 Worm
Rising 21.08.42.00 2008.12.19 -
SecureWeb-Gateway 6.7.6 2008.12.19 -
Sophos 4.37.0 2008.12.19 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.19 -
TheHacker 6.3.1.4.193 2008.12.19 -
TrendMicro 8.700.0.1004 2008.12.19 PAK_Generic.001
VBA32 3.12.8.10 2008.12.18 -
ViRobot 2008.12.19.1527 2008.12.19 -
VirusBuster 4.5.11.0 2008.12.19 -
weitere Informationen
File size: 143872 bytes
MD5...: 37f3c5c50051c183c8891761f608a3b9
SHA1..: 6b5bf4882405ba30c82dd6f1be9f2d1be86d778e
SHA256: 3927bc2a5f4e017582774326a7b34c90f374474f8385b0b95f9f821088cfae03
SHA512: 72832eacc279c142943220b187c739a70c9703038024a84d3f3138fe804c3eba
728f01ab9d24e2ec9d91d36f4aedcc898b6318a34b9ac78c59571962d641de6c
ssdeep: 3072:fKqUGXaEuTpZ/at1zohyFjIZhnHrDnIQhXAlOTib:fHXajjatlztQxL8Qhw
/
PEiD..: ASPack v2.12
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
VXD Driver (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x63ae5001
timedatestamp.....: 0x453f7d86 (Wed Oct 25 15:06:46 2006)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1a000 0xcc00 7.99 a0d00a89849f217ee5d52bb6bc5ef77e
.data 0x1b000 0x101000 0x12c00 7.99 635f8b90413fae993e1ac51c0860c138
.rdata 0x11c000 0x1000 0x400 7.24 fceee5c9ab2b5c0cc62368c9f1eeded4
.bss 0x11d000 0x2820 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.edata 0x120000 0x1000 0x600 4.96 67b9c93490aa86588ba48135f86f54a6
.idata 0x121000 0x1000 0x400 5.14 32349a31637d609423e5a15b3059613a
.reloc 0x122000 0x3000 0x1600 7.83 9be83013b6203ef169a58080ff9620bb
.ivan 0x125000 0x2000 0x1200 5.67 a3971cf42bde7549d19cd0de07ba0762
.adata 0x127000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 3 imports )
> kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA
> msvcrt.dll: __dllonexit
> ogg.dll: oggpack_adv

( 45 exports )
_analysis_output_always, _floor_P, _mapping_P, _residue_P, vorbis_analysis, vorbis_analysis_blockout, vorbis_analysis_buffer, vorbis_analysis_headerout, vorbis_analysis_init, vorbis_analysis_wrote, vorbis_bitrate_addblock, vorbis_bitrate_flushpacket, vorbis_block_clear, vorbis_block_init, vorbis_comment_add, vorbis_comment_add_tag, vorbis_comment_clear, vorbis_comment_init, vorbis_comment_query, vorbis_comment_query_count, vorbis_commentheader_out, vorbis_dsp_clear, vorbis_encode_ctl, vorbis_encode_init, vorbis_encode_init_vbr, vorbis_encode_setup_init, vorbis_encode_setup_managed, vorbis_encode_setup_vbr, vorbis_granule_time, vorbis_info_blocksize, vorbis_info_clear, vorbis_info_init, vorbis_packet_blocksize, vorbis_synthesis, vorbis_synthesis_blockin, vorbis_synthesis_halfrate, vorbis_synthesis_halfrate_p, vorbis_synthesis_headerin, vorbis_synthesis_init, vorbis_synthesis_lapout, vorbis_synthesis_pcmout, vorbis_synthesis_read, vorbis_synthesis_restart, vorbis_synthesis_trackonly, vorbis_window
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=37f3c5c50051c183c8891761f608a3b9' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=37f3c5c50051c183c8891761f608a3b9</a>
packers (F-Prot): Aspack
packers (Kaspersky): ASPack
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=3F031A070016B23732DA023B8D17F7001346B3D8' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=3F031A070016B23732DA023B8D17F7001346B3D8</a>

Geändert von weicki (19.12.2008 um 18:05 Uhr)

Alt 19.12.2008, 20:11   #21
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


sorry für den doppelpost, man kann aber nicht zwei mal editieren und bin jetzt erst dazu gekommen, die 3. datei zu "bearbeiten":

danke und tschö

Datei setup.exe empfangen 2008.12.19 18:11:00 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 5/38 (13.16%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.3 2008.12.19 -
AntiVir 7.9.0.45 2008.12.19 -
Authentium 5.1.0.4 2008.12.19 -
Avast 4.8.1281.0 2008.12.18 -
AVG 8.0.0.199 2008.12.19 -
BitDefender 7.2 2008.12.19 -
CAT-QuickHeal 10.00 2008.12.19 -
ClamAV 0.94.1 2008.12.19 -
Comodo 781 2008.12.19 -
DrWeb 4.44.0.09170 2008.12.19 -
eSafe 7.0.17.0 2008.12.18 -
eTrust-Vet 31.6.6268 2008.12.18 -
Ewido 4.0 2008.12.19 -
F-Prot 4.4.4.56 2008.12.19 -
F-Secure 8.0.14332.0 2008.12.19 -
Fortinet 3.117.0.0 2008.12.19 W32/Joiner.FB!tr
GData 19 2008.12.19 -
Ikarus T3.1.1.45.0 2008.12.19 -
K7AntiVirus 7.10.559 2008.12.19 Trojan-Dropper.Win32.Joiner.fb
Kaspersky 7.0.0.125 2008.12.19 -
McAfee 5468 2008.12.18 -
McAfee+Artemis 5468 2008.12.18 -
Microsoft 1.4205 2008.12.19 -
NOD32 3706 2008.12.19 -
Norman 5.80.02 2008.12.19 W32/Joiner.BRS
Panda 9.0.0.4 2008.12.19 -
PCTools 4.4.2.0 2008.12.19 -
Prevx1 V2 2008.12.19 Worm
Rising 21.08.42.00 2008.12.19 -
SecureWeb-Gateway 6.7.6 2008.12.19 -
Sophos 4.37.0 2008.12.19 -
Sunbelt 3.2.1801.2 2008.12.11 Trojan-Dropper.Win32.Joiner.fb
Symantec 10 2008.12.19 -
TheHacker 6.3.1.4.193 2008.12.19 -
TrendMicro 8.700.0.1004 2008.12.19 -
VBA32 3.12.8.10 2008.12.18 -
ViRobot 2008.12.19.1527 2008.12.19 -
VirusBuster 4.5.11.0 2008.12.19 -
weitere Informationen
File size: 454144 bytes
MD5...: 2090b3f26df41a94fa31941c58cc6bb0
SHA1..: 094992b5d73f4313fc823ea21948a3adee7daaea
SHA256: 115e44bddef9f2a76d4308dae4b23fa522e7690cdff148832c3eac000277b994
SHA512: 0f8623b5f3952d1c4121e0fd97366e313915dfcb54fefbef212568e47814ab38
208ac10ec4283a2966bb5f9e04150b25503ba76882d7d4a7327349b0adf5513d
ssdeep: 6144BcSdtUgfIk6GCBes2xMdLRmkw5HJZ5EAhsqFbIojDuUlD4iJ6r92DDGg
fIkXCBepCdLsZ5EjeDuUlDmq
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x42aca8
timedatestamp.....: 0x4333dcc9 (Fri Sep 23 10:45:29 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x46bcc 0x46c00 6.55 b598e6517c31e367218df17c9bd76cca
.data 0x48000 0x35dc 0x1a00 3.03 6918ebb591c1574c01223239f598080e
.rsrc 0x4c000 0x262c0 0x26400 5.65 7a6592740f0774eeee8d86f55397bc46

( 5 imports )
> KERNEL32.dll: EndUpdateResourceA, MultiByteToWideChar, IsValidCodePage, GetDiskFreeSpaceExA, Sleep, SetFilePointer, FindResourceA, LoadResource, LockResource, SizeofResource, CreateEventA, SetEvent, FormatMessageA, LocalFree, CreateProcessA, GetModuleFileNameA, ExpandEnvironmentStringsA, GlobalAlloc, GlobalFree, GetSystemDirectoryA, GetVersionExA, CompareStringA, GetSystemInfo, GetCurrentProcess, GetFileAttributesA, GetTempPathA, GetTempFileNameA, DeleteFileA, CreateDirectoryA, CopyFileA, WideCharToMultiByte, GetEnvironmentVariableA, ReadFile, GetWindowsDirectoryA, GetDateFormatA, GetTimeFormatA, InterlockedIncrement, InterlockedDecrement, InterlockedExchange, GetCommandLineA, HeapFree, HeapAlloc, GetProcessHeap, GetStartupInfoA, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCurrentProcessId, RaiseException, RtlUnwind, CloseHandle, ExitProcess, LCMapStringA, LCMapStringW, GetCPInfo, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetSystemTimeAsFileTime, GetACP, GetOEMCP, VirtualAlloc, HeapReAlloc, GetConsoleCP, GetConsoleMode, FlushFileBuffers, HeapSize, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, GetStringTypeA, GetStringTypeW, GetLocaleInfoW, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetStdHandle, CreateFileA, CreateFileW, SetEndOfFile, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, CreateThread, InitializeCriticalSection, MulDiv, lstrlenW, GetExitCodeProcess, WaitForSingleObject, GetTickCount, FindNextFileA, FindClose, FindFirstFileA, WriteFile, FreeLibrary, GetLastError, GetProcAddress, LoadLibraryA, GetModuleHandleA, GetThreadLocale, UpdateResourceA, BeginUpdateResourceA, LocalAlloc, lstrlenA, UpdateResourceW, GetTempPathW, GetTempFileNameW, GetSystemDirectoryW, GetModuleFileNameW, GetFileAttributesW, FormatMessageW, FindResourceW, DeleteFileW, CreateProcessW, CreateDirectoryW, CopyFileW, BeginUpdateResourceW, GetVersion
> GDI32.dll: CreateFontIndirectA, EnumFontFamiliesExA, DeleteObject, GetObjectA, GetStockObject, DeleteDC, GetObjectW, GetDeviceCaps, CreateCompatibleDC, GetTextExtentPoint32A, GetTextMetricsA, SelectObject
> USER32.dll: ScreenToClient, SetClassLongA, LoadCursorA, SetCursor, LoadIconA, LoadImageA, SetFocus, GetFocus, EnableWindow, MsgWaitForMultipleObjects, SetDlgItemTextA, SetWindowTextA, GetDlgItem, DispatchMessageA, TranslateMessage, IsDialogMessageA, PeekMessageA, DestroyWindow, ShowWindow, SetForegroundWindow, MoveWindow, CreateDialogParamA, CreateDialogIndirectParamA, SendMessageA, GetClientRect, ShowScrollBar, SendDlgItemMessageA, SystemParametersInfoA, GetWindowRect, CharNextA, ExitWindowsEx, MessageBoxA, GetSystemMetrics, DrawTextW, ReleaseDC, GetDialogBaseUnits, LoadStringA, GetDC, MessageBoxW
> ole32.dll: CoUninitialize, CoInitialize
> SHELL32.dll: ShellExecuteA, ShellExecuteW, SHGetMalloc, SHGetPathFromIDListW, SHGetSpecialFolderLocation, ShellExecuteExW, ShellExecuteExA

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=2090b3f26df41a94fa31941c58cc6bb0' target='_blank'>http://www.threatexpert.com/report.aspx?md5=2090b3f26df41a94fa31941c58cc6bb0</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=2090b3f26df41a94fa31941c58cc6bb0' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=2090b3f26df41a94fa31941c58cc6bb0</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=A497B95B001AE212EE450610FFC75400E6B4181E' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=A497B95B001AE212EE450610FFC75400E6B4181E</a>

Alt 19.12.2008, 20:20   #22
undoreal
/// AVZ-Toolkit Guru
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\catalogix.dll


Folders to delete:
C:\Programme\NO23
C:\Programme\Sicherheit\XP-Cleaner
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 19.12.2008, 20:32   #23
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\catalogix.dll" deleted successfully.
Folder "C:\Programme\NO23" deleted successfully.
Folder "C:\Programme\Sicherheit\XP-Cleaner" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 20.12.2008, 00:47   #24
undoreal
/// AVZ-Toolkit Guru
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Also wirklich vertaruen würde ich dem Rechner nicht.

Beobachte ihn weiter und melde dich hier im Thread wenn es Auffäligkeiten gibt.

Poste bitte abschließend ein HJT log.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 20.12.2008, 13:33   #25
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


mh, ok

dann tausend dank für deine hilfe!!

grüße
weicki

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:29:55, on 20.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Wireless Network Utility\RtWLan.exe
C:\Programme\Secunia\PSI\psi.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Sicherheit\CWS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suchseite24.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\WINDOWS\TEMP\E_S11E.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Wireless Network Utility.lnk = C:\Programme\Wireless Network Utility\RtWLan.exe
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Web.de Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 9012 bytes

Alt 20.12.2008, 21:27   #26
undoreal
/// AVZ-Toolkit Guru
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Also das log ist soweit sauber aber mein Bauch gibt noch kein endgültiges in Ordnung...

Ist halt immer so 'ne Sache so schwere Infektionen zu bereinigen...

Neuaufsetzen ist defintiv sicherer als die Bereinigung.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 20.12.2008, 21:37   #27
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


mmmhh, ok, wenn ich mal fragen darf, was ist denn der grund für dein "schlechtes gefühl"?

Alt 21.12.2008, 10:14   #28
undoreal
/// AVZ-Toolkit Guru
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Wenn ich das wüsste hätte ich's dir geschrieben.

Ist nur so ein Gefühl. Wir haben da ganz gut was aus den letzten Enden des System gekrazt und deine Probleme und die Art der Infizierung gefallen mir nicht.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 21.12.2008, 15:01   #29
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Oki alles klar, dann tausend Dankeit, die du investiert hast!

Ich wünsch dir schöne Weihnachten!

lg
weicki

Antwort
Seite 2 von 2 1 2

Themen zu Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY
0 bytes, 100%, ad aware, ad-aware, antivir, avira, bho, bonjour, browser update, c:\windows\temp, canon, einstellungen, excel, firefox, gigabyte, google, hijack, hijackthis, hkus\s-1-5-18, internet explorer, keine programme, langsam, mozilla, outlook express, plug-in, rootkit, rundll, security, sicherheit, software, solution, spyware, super, system, trojaner, web.de, windows, windows defender, windows xp, windows xp sp3, windows\temp, xp sp3


« Firefox / IE öffnen neue Fenster mit Werbung | Trojaner TR/Crypt.XPACK.Gen »


Ähnliche Themen: Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


  1. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  2. SkyNetBDA_AMD64 (Rootkit.TDSS)
    Log-Analyse und Auswertung - 19.07.2012 (6)
  3. Problem mit Rootkit BOO/TDss.O
    Log-Analyse und Auswertung - 06.05.2012 (8)
  4. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  5. Backdoorprogramm BDS/TDSS.3020846 gefunden u.a.
    Log-Analyse und Auswertung - 23.11.2010 (10)
  6. Rootkit.Win32.TDSS und andere Trojaner desinfiziert, ist jetzt wieder alles sicher?
    Plagegeister aller Art und deren Bekämpfung - 14.06.2010 (1)
  7. rootkit.win32.tdss.d
    Plagegeister aller Art und deren Bekämpfung - 30.04.2010 (2)
  8. rootkit.win32.tdss.d
    Plagegeister aller Art und deren Bekämpfung - 21.04.2010 (1)
  9. Rootkit.Win32.TDSS.d
    Plagegeister aller Art und deren Bekämpfung - 15.04.2010 (28)
  10. TDSS-Rootkit entfernen - wie?
    Plagegeister aller Art und deren Bekämpfung - 07.03.2010 (9)
  11. Trojan.TDss!K - Packed.Win32.Tdss!IK - und wer weiß was noch alles!
    Plagegeister aller Art und deren Bekämpfung - 09.12.2009 (1)
  12. Rootkit TDSS entfernen
    Plagegeister aller Art und deren Bekämpfung - 29.09.2009 (54)
  13. Rootkit.TDSS kbiwkmbk...
    Plagegeister aller Art und deren Bekämpfung - 21.09.2009 (13)
  14. Rootkit.Win32.TDSS.a
    Plagegeister aller Art und deren Bekämpfung - 16.05.2009 (15)
  15. RKIT/TDss.G.22 - Riesenproblem
    Plagegeister aller Art und deren Bekämpfung - 01.02.2009 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning - Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY...
Archiv
Du betrachtest: Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55