Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Log-Analyse und Auswertung: Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 2 1 2
Alt 12.12.2008, 19:22   #1
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Hallo!

Bin auf der Suche nach Hilfe. Habe folgende Probleme:
PC/Internet ist super langsam geworden, wenn ich auf Ergebnisse bei Google klicke, öffnet sich ein Extra-Fenster mit unbekannten Seiten, CPU-Auslastung ist oft nahe 100%, die Auslagerungsdatei bis zu einem Gigabyte groß, obwohl ich keine Programme ausführe.


Habe mein Antivir drüberlaufen lassen, welches das Rootkit RKIT/TDss.G.22, Backdoorprogramm BDS/TDSS.adb und den Trojaner TR/Proxy.GHY gefunden hat... Bekomme ich die irgendwie vom PC runter??

Schonmal vielen Dank für eure Hilfe!
Lg
weicki



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:19:00, on 11.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Wireless Network Utility\RtWLan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Sicherheit\Ad Aware\aawservice.exe
C:\Programme\Sicherheit\CWS\HijackThis.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suchseite24.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926. 3450\swg.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe "
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp 5a.exe" /source=HKLM
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIC DE.EXE /FU "C:\WINDOWS\TEMP\E_S11E.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Wireless Network Utility.lnk = C:\Programme\Wireless Network Utility\RtWLan.exe
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: byXqOHaW - byXqOHaW.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Sicherheit\Ad Aware\aawservice.exe
O23 - Service: Web.de Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 10330 bytes

Alt 12.12.2008, 21:11   #2
dingo08
Gesperrt
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Daumen hoch

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Hmm du hast zu viele daten LÖSCHE Oder formatiere (empfohlen)
weil dann die daten total Gehen ALsO
also mir fällt nIX ein auser formatt oder
beschreib besser dein Pc sagen wir mal Intel... ... . ..Q9600 oder sooooo...
__________________
Alt 13.12.2008, 15:38   #3
undoreal
/// AVZ-Toolkit Guru
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Halli hallo weicki

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
  • Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
    Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter.
    .
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update der Viren-Signaturen deines Anti-Viren Programmes.
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Installation des aktuellen ServicePacks:.
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Abschalten unnötiger Dienste:.
  • Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
    • Sicherheit: -> höchste Stufe
      Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume mit cCleaner auf; Punkte 1&2.
    .
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista

Nachdem du das gemacht hast fangen wir mit der Analyse an:


1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

4) Run Combofix. Poste den erscheinenden Text.

5) Überprüfe dein System mit SASW.

6) Mache einen letzten Maleware-Check mit Malewarebytes.

7) Räume mit cCleaner auf. (Punkt 1 und 2)

8) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Sollten extrem viele 032 und 033 redirected Einträge im log auftauchen so kürze diese bitte damit das log nicht zu lang wird.

9) Systemanalyse:
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes.
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Unter File -> Database Update Start drücken.
  • Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  • Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.


__________________
__________________
Alt 16.12.2008, 19:23   #4
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Hallo,

danke schonmal für deine ausführliche Hilfestellung!

Habe jetzt folgendes Problem: Habe Java deinstalliert und will Schritt 3 und 4 (Blacklight und Combofix) durchführen. Allerdings lassen sich beide Websites von mir auch in verschiedenen Browsern nicht öffnen. Soll ich die Schritte einfach überspringeN?

lg
weicki

Alt 16.12.2008, 19:45   #5
undoreal
/// AVZ-Toolkit Guru
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Zitat:
Soll ich die Schritte einfach überspringeN?
Nein.
Das ist der Schädling der den Zugriff verhindert. Das können wir ihm nicht so durchgehen lassen..

Geht der Link so: Blacklight

und: CF

Wenn nicht dann machen wir's noch anders..

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 16.12.2008, 19:57   #6
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


super... es funktioniert..also, 1.:

12/16/08 19:55:54 [Info]: BlackLight Engine 2.2.1092 initialized
12/16/08 19:55:54 [Info]: OS: 5.1 build 2600 (Service Pack 3)
12/16/08 19:55:54 [Note]: 7019 4
12/16/08 19:55:54 [Note]: 7005 0
12/16/08 19:55:54 [Error]: 6027 1072
12/16/08 19:55:54 [Error]: 6002 0
12/16/08 19:55:55 [Note]: 7006 0
12/16/08 19:55:55 [Note]: 7011 504
12/16/08 19:55:55 [Note]: 7035 0
12/16/08 19:55:55 [Note]: 7037 1000
12/16/08 19:55:55 [Note]: 8001 2
12/16/08 19:55:56 [Note]: FSRAW library version 1.7.1024
12/16/08 19:56:09 [Note]: 7007 0



Habe jetzt versucht, ComboFix zu starten, was aber nicht funktioniert. Der Prozess erscheint zwar im Task-Manager, es öffnet sich jedoch kein Programm (
Geändert von weicki (16.12.2008 um 20:12 Uhr)

Alt 16.12.2008, 20:47   #7
Franz1968
/// Helfer-Team
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Versuch's mal mit Umbenennen: combofix.exe -> comf.com
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 16.12.2008, 21:35   #8
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


wie leicht man manchmal den pc austricksen kann


ComboFix 08-12-15.08 - XY 2008-12-16 21:03:30.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.511.182 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\XY\Desktop\ComFix.com
* Resident AV is active


Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\temp\tn3
c:\windows\system32\drivers\core.cache.dsk
c:\windows\system32\drivers\TDSSmqlt.sys
c:\windows\system32\dwwnw64r.exe
c:\windows\system32\eKQBdMoq.ini
c:\windows\system32\eKQBdMoq.ini2
c:\windows\system32\polynet.dll
c:\windows\system32\TDSShrxx.dll
c:\windows\system32\TDSSkkai.log
c:\windows\system32\TDSSlxcp.dll
c:\windows\system32\TDSSmtvd.dat
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSoiqt.dll
c:\windows\system32\TDSSsahc.dll
c:\windows\system32\TDSSvkql.dll
c:\windows\system32\TDSSxeyf.log
c:\windows\system32\TDSSxfmm.dll
c:\windows\system32\ujkudgpg.ini
c:\windows\Tasks\ouoljsdh.job

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSSERV.SYS
-------\Legacy_TDSSSERV.SYS
-------\Legacy_FCI
-------\Service_restore


((((((((((((((((((((((( Dateien erstellt von 2008-11-16 bis 2008-12-16 ))))))))))))))))))))))))))))))
.

2008-12-16 21:15 . 2008-12-16 21:15 <DIR> d--hs---- C:\found.001
2008-12-15 22:23 . 2008-12-15 22:23 <DIR> d-------- c:\programme\Lavalys
2008-12-15 21:44 . 2008-12-15 21:44 <DIR> d-------- c:\programme\Gemeinsame Dateien\Skype
2008-12-15 21:44 . 2008-12-15 21:44 <DIR> d-------- c:\dokumente und einstellungen\XY\Anwendungsdaten\skypePM
2008-12-15 21:44 . 2008-12-15 21:44 48 --ah----- c:\windows\system32\ezsidmv.dat
2008-12-15 21:39 . 2008-12-15 21:39 <DIR> d-------- c:\dokumente und einstellungen\XY\Anwendungsdaten\vlc
2008-12-15 20:56 . 2008-12-15 20:56 <DIR> d-------- c:\programme\Secunia
2008-12-10 22:55 . 2008-12-10 22:55 129 --a------ c:\windows\system32\MRT.INI
2008-12-10 15:17 . 2008-12-10 15:17 7,808 --a------ c:\windows\system32\drivers\psi_mf.sys
2008-12-09 22:12 . 2008-12-09 22:12 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-09 19:39 . 2008-12-11 23:04 <DIR> d-------- c:\programme\Norton Security Scan
2008-12-09 19:38 . 2008-12-14 22:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-12-04 19:59 . 2008-12-04 20:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-04 19:57 . 2008-12-04 19:57 <DIR> d-------- c:\programme\QuickTime
2008-12-03 19:33 . 2008-12-15 20:54 <DIR> d-------- c:\programme\SicherheitXP-Cleaner
2008-12-02 22:16 . 2008-12-02 22:16 64,859 --a------ c:\windows\system32\dotetatsgabkjaj.exe
2008-12-02 09:57 . 2008-12-02 09:57 282,649 --a------ c:\windows\system32\rswnw64s.exe
2008-12-02 09:50 . 2008-12-10 22:55 32,768 --a------ c:\windows\system32\drivers\ati4ekxx.sys
2008-12-02 09:48 . 2008-11-21 20:15 401,408 --a------ c:\windows\system32\winbc77.dll
2008-12-02 09:48 . 2008-12-02 09:50 2 --a------ C:\6990247

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-15 22:46 --------- d-----w c:\programme\Java
2008-12-15 21:43 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-15 20:52 --------- d-----w c:\programme\Safari
2008-12-15 20:45 --------- d-----w c:\dokumente und einstellungen\Xs\Anwendungsdaten\Skype
2008-12-15 20:31 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-12-15 20:05 --------- d-----w c:\programme\Opera
2008-12-15 19:53 --------- d-----w c:\programme\QIP
2008-12-15 08:10 --------- d-----w c:\programme\Spyware Doctor
2008-12-14 23:23 --------- d-----w c:\programme\Sicherheit
2008-12-14 23:22 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-12-14 23:21 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-09 21:42 --------- d-----w c:\programme\ICQ6
2008-12-09 21:00 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-09 20:57 --------- d-----w c:\programme\Disc2Phone
2008-12-09 19:46 --------- d-----w c:\programme\Picasa2
2008-12-09 18:38 --------- d-----w c:\programme\Google
2008-12-08 19:33 --------- d-----w c:\programme\Windows Live Safety Center
2008-12-04 19:00 --------- d-----w c:\programme\iTunes
2008-12-04 19:00 --------- d-----w c:\programme\iPod
2008-12-04 18:56 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-11-07 23:29 --------- d-----w c:\programme\NO23
2008-11-06 19:16 21,035 ----a-w c:\windows\system32\drivers\AegisP.sys
2008-11-06 19:16 --------- d-----w c:\programme\Wireless Network Utility
2008-10-27 08:41 206 ----a-w c:\dokumente und einstellungen\XY\Anwendungsdaten\wklnhst.dat
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-05-12 21:32 67,944 ----a-w c:\dokumente und einstellungen\XY\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-07-16 22:35 49,943,864 ----a-w c:\programme\iTunesSetup.exe
2006-03-15 20:32 952,496 ----a-w c:\programme\install_flash_player.exe
2006-03-11 20:50 6,007 ----a-w c:\programme\videodeLuxe.ini
2006-03-11 20:50 395 ----a-w c:\programme\dvdmaker.ini
2005-12-23 13:55 41 ----a-w c:\dokumente und einstellungen\XY\absender.dat
2006-05-06 16:42 7,260,160 ----a-w c:\programme\mozilla firefox\plugins\libvlc.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 1211176]
"EPSON Stylus DX7400 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE" [2007-04-12 182272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"ATIPTA"="c:\ati-cpanel\atiptaxx.exe" [2005-01-19 339968]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-30 266497]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe" [2006-06-26 497200]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"FinePrint Dispatcher v5"="c:\windows\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" [2006-01-12 491520]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SoundMan"="SOUNDMAN.EXE" [2005-03-24 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]
"PcSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]

c:\dokumente und einstellungen\XY\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2008-12-11 736464]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Wireless Network Utility.lnk - c:\programme\Wireless Network Utility\RtWLan.exe [2008-11-06 794624]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4ekxx.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^LevelOne Wireless Utility.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\LevelOne Wireless Utility.lnk
backup=c:\windows\pss\LevelOne Wireless Utility.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^XY^Startmenü^Programme^Autostart^SmartSurfer.lnk]
path=c:\dokumente und einstellungen\XY\Startmenü\Programme\Autostart\SmartSurfer.lnk
backup=c:\windows\pss\SmartSurfer.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
--a------ 2008-09-03 19:12 111936 c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-11-20 13:20 290088 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
--a------ 2006-06-26 10:34 614960 c:\programme\Logitech\QuickCam10\QuickCam10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
--a------ 2006-06-26 10:33 243248 c:\programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 09:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-11-28 13:12 222720 c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarAgent]
--a------ 2007-12-05 15:10 98304 c:\programme\phonostar\ps_agent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]
--a------ 2007-12-05 15:14 126976 c:\programme\phonostar\ps_timer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-11-04 10:30 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-04-21 15:32 185896 c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WEB.DE Club E-Mail Alarm]
--a------ 2008-03-13 10:45 2098688 c:\programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Games\\Mohpa\\mohpa.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Games\\Stronghold\\entpackt\\Stronghold 2\\Stronghold2.exe"=
"c:\\Games\\CIV 4\\Sid Meier's Civilization 4\\Civilization4.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\phonostar\\ps_olect.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Web.de\\web_de_Update.exe"=
"c:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-11 22336]
R0 nvcchflt;NVIDIA Disk Cache Filter Driver;c:\windows\system32\DRIVERS\nvcchflt.sys [2005-05-20 16640]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2006-02-11 45376]
R2 AdminSVC;Web.de Browser Update;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe [2006-10-12 180224]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\DRIVERS\EAPPkt.sys [2008-11-06 38144]
R2 WinDefend;Windows Defender;"c:\programme\Windows Defender\MsMpEng.exe" [2006-11-03 13592]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\DRIVERS\avmwan.sys [2005-06-09 37568]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\DRIVERS\fpcibase.sys [2005-06-09 444416]
R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2008-12-10 7808]
S0 ati4ekxx;ati4ekxx;c:\windows\system32\Drivers\ati4ekxx.sys [2008-12-02 32768]
S0 tffsport;M-Systems DiskOnChip-2000;c:\windows\system32\DRIVERS\tffsport.sys [2007-07-10 149376]
S3 DTV_Capture_2X0;DVB-T Receiver;c:\windows\system32\Drivers\DTV_Capture_2X0.sys [2006-10-08 18432]
S3 DTV_Loader_2X1;DVB-T Loader;c:\windows\system32\Drivers\DTV_Loader_2X1.sys [2006-10-08 19328]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-18 7168]
S3 MemStPCI;Sony Memory Stick-Controller (PCI);c:\windows\system32\DRIVERS\MemStPCI.SYS [2007-05-05 26112]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2008-08-10 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2008-08-10 8320]
.
Inhalt des "geplante Tasks" Ordners

2008-12-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-12-16 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]

2008-12-09 c:\windows\Tasks\Norton Security Scan.job
- c:\programme\Norton Security Scan\Nss.exe [2007-09-18 23:42]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-byXqOHaW - byXqOHaW.dll
MSConfigStartUp-eDonkey2000 - c:\programme\eDonkey2000\eDonkey2000.exe
MSConfigStartUp-FreePDF Assistant - c:\programme\FreePDF_XP\fpassist.exe
MSConfigStartUp-ICQ Lite - c:\programme\ICQLite\ICQLite.exe
MSConfigStartUp-QIP2005 - c:\programme\QIP\qip.exe
MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.suchseite24.de/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
IE: Download with Xilisoft Download YouTube Video - c:\programme\Xilisoft\Download YouTube Video\upod_link.HTM
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\XY\Anwendungsdaten\Mozilla\Firefox\Profiles\78j1m7e8.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel-online.de
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1425.4532\npCIDetect13.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava11.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava12.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava13.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava14.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava32.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJPI150_11.dll
FF - plugin: c:\programme\Opera\program\plugins\NPOJI610.dll
FF - plugin: c:\programme\Picasa2\npPicasa2.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 21:18:36
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(900)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcSrv.exe
c:\windows\system32\ati2evxx.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\ehome\ehRecvr.exe
c:\windows\ehome\ehSched.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\dllhost.exe
c:\windows\ehome\ehmsas.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-16 21:24:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-16 20:24:11

Vor Suchlauf: 27 Verzeichnis(se), 54,799,511,552 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 55,564,795,904 Bytes frei

283 --- E O F --- 2008-12-12 08:39:23

Alt 16.12.2008, 22:38   #9
undoreal
/// AVZ-Toolkit Guru
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


nicht den PC sondern den Schädling trickst du aus..


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:
c:\windows\system32\dotetatsgabkjaj.exe
c:\windows\system32\rswnw64s.exe
c:\windows\system32\drivers\ati4ekxx.sys
c:\windows\system32\winbc77.dll
c:\programme\videodeLuxe.ini
c:\programme\install_flash_player.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


Was ist in dem Ordner C:\6990247 drinn?


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
c:\windows\system32\dotetatsgabkjaj.exe
c:\windows\system32\rswnw64s.exe
c:\windows\system32\drivers\ati4ekxx.sys
c:\windows\system32\winbc77.dll


Folders to delete:
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Und führe die restlichen Schritte wie beschrieben aus.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 17.12.2008, 00:17   #10
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Hallo!

hatte in der zwischenzeit bereits schritt 5 (scan mit sasw) durchgeführt, jetzt finde ich die ersten 4 Dateien nicht an besagtem Ort. Kann es sein, dass sie gelöscht wurden, der Scanner hatte Viren/Trojaner gefunden?

Die Datei C:\6990247 (ist eine 2 Byte große Datei, kein Ordner) wurde genau zu dem Zeitpunkt erstellt, als ich mir diese "Schädlinge" eingefangen habe, daher gehe ich davon aus, dass das auch was damit zu tub hat!?

Brauche ich jetzt den Schritt mit dem Avenger noch ausführen, wenn die 4 Dateien nicht mehr existieren? Mache ich jetzt bei Schritt 6 (Malewarebytes) weiter?

Aaah, bemerke übrigens gerade, dass das Problem bei google, dass sich ein neuer Tab mit fremder Seite öffnet, nicht mehr existiert :aplaus:

Nochmals schonmal vieeeeeelen Dank und gute Nacht

c:\programme\videodeLuxe.ini

Datei videodeLuxe.ini empfangen 2008.12.17 00:08:08 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/38 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.17.0 2008.12.16 -
AntiVir 7.9.0.45 2008.12.16 -
Authentium 5.1.0.4 2008.12.16 -
Avast 4.8.1281.0 2008.12.16 -
AVG 8.0.0.199 2008.12.16 -
BitDefender 7.2 2008.12.17 -
CAT-QuickHeal 10.00 2008.12.16 -
ClamAV 0.94.1 2008.12.16 -
Comodo 764 2008.12.16 -
DrWeb 4.44.0.09170 2008.12.16 -
eSafe 7.0.17.0 2008.12.16 -
eTrust-Vet 31.6.6263 2008.12.16 -
Ewido 4.0 2008.12.16 -
F-Prot 4.4.4.56 2008.12.16 -
F-Secure 8.0.14332.0 2008.12.16 -
Fortinet 3.117.0.0 2008.12.16 -
GData 19 2008.12.16 -
Ikarus T3.1.1.45.0 2008.12.16 -
K7AntiVirus 7.10.555 2008.12.16 -
Kaspersky 7.0.0.125 2008.12.16 -
McAfee 5466 2008.12.16 -
McAfee+Artemis 5466 2008.12.16 -
Microsoft 1.4205 2008.12.17 -
NOD32 3695 2008.12.16 -
Norman 5.80.02 2008.12.16 -
Panda 9.0.0.4 2008.12.15 -
PCTools 4.4.2.0 2008.12.16 -
Prevx1 V2 2008.12.17 -
Rising 21.08.12.00 2008.12.16 -
SecureWeb-Gateway 6.7.6 2008.12.16 -
Sophos 4.36.0 2008.12.16 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.16 -
TheHacker 6.3.1.4.189 2008.12.16 -
TrendMicro 8.700.0.1004 2008.12.16 -
VBA32 3.12.8.10 2008.12.16 -
ViRobot 2008.12.16.1521 2008.12.16 -
VirusBuster 4.5.11.0 2008.12.16 -
weitere Informationen
File size: 6007 bytes
MD5...: a114eb6902898fc3946ed97097067aa1
SHA1..: a9e621518c73e917097910318d8424a897fde455
SHA256: 8a5789db2433a4739666ddf444af952db3f2541ed827d54c1af4eef32dbbc363
SHA512: ac597600d50f592b7b69fd21be7b154355d5dfbf9303888cae3453cb26d65579
d6a358264d8539cce9469005b079c9cfafb3ec74e81e22c76055beaaba6243cc
ssdeep: 96:iqsFWmwAKKHO7LsLxLgNT0x6YBy5XQrNDBryRi5vUIEeR7NdG1kd7+ww2B4:G
jlKKu74VGTWLrN3vUIEF2B4
PEiD..: -
TrID..: File type identification
Generic INI configuration (100.0%)
PEInfo: -



c:\programme\install_flash_player.exe

atei install_flash_player.exe empfangen 2008.12.16 23:57:37 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/38 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.17.0 2008.12.16 -
AntiVir 7.9.0.45 2008.12.16 -
Authentium 5.1.0.4 2008.12.16 -
Avast 4.8.1281.0 2008.12.16 -
AVG 8.0.0.199 2008.12.16 -
BitDefender 7.2 2008.12.16 -
CAT-QuickHeal 10.00 2008.12.16 -
ClamAV 0.94.1 2008.12.16 -
Comodo 764 2008.12.16 -
DrWeb 4.44.0.09170 2008.12.16 -
eSafe 7.0.17.0 2008.12.16 -
eTrust-Vet 31.6.6263 2008.12.16 -
Ewido 4.0 2008.12.16 -
F-Prot 4.4.4.56 2008.12.16 -
F-Secure 8.0.14332.0 2008.12.16 -
Fortinet 3.117.0.0 2008.12.16 -
GData 19 2008.12.16 -
Ikarus T3.1.1.45.0 2008.12.16 -
K7AntiVirus 7.10.555 2008.12.16 -
Kaspersky 7.0.0.125 2008.12.16 -
McAfee 5466 2008.12.16 -
McAfee+Artemis 5466 2008.12.16 -
Microsoft 1.4205 2008.12.16 -
NOD32 3696 2008.12.16 -
Norman 5.80.02 2008.12.16 -
Panda 9.0.0.4 2008.12.15 -
PCTools 4.4.2.0 2008.12.16 -
Prevx1 V2 2008.12.16 -
Rising 21.08.12.00 2008.12.16 -
SecureWeb-Gateway 6.7.6 2008.12.16 -
Sophos 4.36.0 2008.12.16 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.16 -
TheHacker 6.3.1.4.189 2008.12.16 -
TrendMicro 8.700.0.1004 2008.12.16 -
VBA32 3.12.8.10 2008.12.16 -
ViRobot 2008.12.16.1521 2008.12.16 -
VirusBuster 4.5.11.0 2008.12.16 -
weitere Informationen
File size: 952496 bytes
MD5...: c0709f71e60ff8c7d5780f75147a51f1
SHA1..: 88dc6abf3a0f0be0b1d8e7b73632265fba65c5e6
SHA256: 2d754ca047e70e1a18cf0589513bb5dde48b3e126b3908e1f398e865e9ed84b6
SHA512: 6c14fc3e31101874e506eaa3bb17a7fc0d00145dffae65a95354164a2dc53e3a
b3e7377fa36804c2f8095b9b09fc3fd4637571938ec92debf8e1c5ac9f8f12dd
ssdeep: 24576:mskn/OXR1v6luFn8+K1kN3PvzkXsHCwUfukYlY:Fk2f6cFnhKOQiCwiuvY
PEiD..: Wise Installer Stub
TrID..: File type identification
Wise Installer executable (97.5%)
Win32 Executable Generic (1.0%)
Win32 Dynamic Link Library (generic) (0.9%)
Generic Win/DOS Executable (0.2%)
DOS Executable Generic (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x370d108f (Thu Apr 08 20:24:47 1999)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1fe 0x200 5.55 f155a70bb31aab4a8c58b0f9d57db03c
.rdata 0x2000 0x215 0x400 2.84 6f58ca49378072d460147a07b96a95fd
.data 0x3000 0x14 0x200 0.27 e146e7c47bdf7b7c953201f0721505e1
.rsrc 0x4000 0xe7000 0xe6600 7.99 9aa5cf7441bf58db16dbd5296afa3f7c

( 2 imports )
> KERNEL32.dll: CreateFileMappingA, WaitForSingleObject, CreateProcessA, GetCommandLineA, CloseHandle, UnmapViewOfFile, WriteFile, MapViewOfFile, DeleteFileA, GetTempFileNameA, GetTempPathA, CreateFileA, GetShortPathNameA, GetModuleFileNameA
> USER32.dll: wsprintfA

( 0 exports )
packers (F-Prot): embedded
packers (Kaspersky): WiseSFXDropper, PE_Patch

Alt 17.12.2008, 00:32   #11
undoreal
/// AVZ-Toolkit Guru
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Zitat:
bereits schritt 5 (scan mit sasw) durchgeführt
Wo ist dann das log? Wir brauchen alle logs die anfallen!

Zitat:
jetzt finde ich die ersten 4 Dateien nicht an besagtem Ort.
Hast du dir auch wirklich alle Dateien anzeigen lassen? Poste bitte das SUPERAntiSpyware log da wewrden wir ja sehen ob sie bereits gelöscht wurden..


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
c:\windows\system32\dotetatsgabkjaj.exe
c:\windows\system32\rswnw64s.exe
c:\windows\system32\drivers\ati4ekxx.sys
c:\windows\system32\winbc77.dll
C:\6990247


Folders to delete:
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Danach weiter mit den nächsten Punkten.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 17.12.2008, 00:47   #12
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Sooo, bitteschön, zwei weitere logs

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 12/16/2008 at 11:33 PM

Application Version : 4.23.1006

Core Rules Database Version : 3676
Trace Rules Database Version: 1655

Scan type : Complete Scan
Total Scan Time : 01:45:08

Memory items scanned : 432
Memory threats detected : 0
Registry items scanned : 6791
Registry threats detected : 31
File items scanned : 162857
File threats detected : 17

Adware.Vundo Variant
HKLM\Software\Classes\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\InprocServer32
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\InprocServer32#ThreadingModel
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#Version
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#BuildName
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#Affiliate
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#Show3X
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#ShowType
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#PopupCount
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#BlockEnable
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#Ticket
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\Properties#WalkThrough
HKCR\CLSID\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}\TypeLib
HKCR\TypeLib\{F0CC1C9B-BF56-47C8-86C4-BD78EC091E82}
C:\WINDOWS\SYSTEM32\WINBC77.DLL
HKU\S-1-5-21-3463404501-29070894-4144051427-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F16D639A-D25A-4A83-A519-07D5C7CD1A92}

Trojan.Unknown Origin
HKLM\System\ControlSet001\Services\ati4ekxx
C:\WINDOWS\SYSTEM32\DRIVERS\ATI4EKXX.SYS
HKLM\System\ControlSet001\Enum\Root\LEGACY_ati4ekxx
HKLM\System\ControlSet003\Services\ati4ekxx
HKLM\System\ControlSet003\Enum\Root\LEGACY_ati4ekxx
HKLM\System\CurrentControlSet\Services\ati4ekxx
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_ati4ekxx
HKLM\Software\xpre
HKLM\Software\xpre#execount
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\TDSSMTVD.DAT.VIR
C:\WINDOWS\SYSTEM32\DOTETATSGABKJAJ.EXE

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\XY\Cookies\XY@2o7[1].txt
C:\Dokumente und Einstellungen\XY\Cookies\XY@weborama[2].txt

Rogue.Component/Trace
HKLM\Software\Microsoft\006ABB86
HKLM\Software\Microsoft\006ABB86#006abb86
HKLM\Software\Microsoft\006ABB86#Version
HKU\S-1-5-21-3463404501-29070894-4144051427-1006\Software\Microsoft\CS41275
HKU\S-1-5-21-3463404501-29070894-4144051427-1006\Software\Microsoft\FIAS4018

Rootkit.TDSServ/Fake
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\DRIVERS\TDSSMQLT.SYS.VIR
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\TDSSHRXX.DLL.VIR
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\TDSSOIQT.DLL.VIR
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\TDSSVKQL.DLL.VIR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EA1D0BE-D227-4DD6-BF4D-B8F8ECA58F50}\RP0\A0000001.SYS
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EA1D0BE-D227-4DD6-BF4D-B8F8ECA58F50}\RP0\A0000002.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EA1D0BE-D227-4DD6-BF4D-B8F8ECA58F50}\RP0\A0000003.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EA1D0BE-D227-4DD6-BF4D-B8F8ECA58F50}\RP0\A0000004.DLL

Trojan.Unclassified/BrowserDriver
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\DWWNW64R.EXE.VIR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5EA1D0BE-D227-4DD6-BF4D-B8F8ECA58F50}\RP0\A0000018.EXE
C:\WINDOWS\SYSTEM32\RSWNW64S.EXE






Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "c:\windows\system32\dotetatsgabkjaj.exe" not found!
Deletion of file "c:\windows\system32\dotetatsgabkjaj.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\rswnw64s.exe" not found!
Deletion of file "c:\windows\system32\rswnw64s.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\drivers\ati4ekxx.sys" not found!
Deletion of file "c:\windows\system32\drivers\ati4ekxx.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\winbc77.dll" not found!
Deletion of file "c:\windows\system32\winbc77.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\6990247" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 17.12.2008, 00:50   #13
undoreal
/// AVZ-Toolkit Guru
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Jute. Die hatte SUPERAntiSpyware schon gekillt. Dann weiter im Text.
Ich gucke morgen drüber. Mache hier eigtnlich eh schon wieder völlig bekloppte Nachtstunden..
Gute n8.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 18.12.2008, 19:28   #14
weicki
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Abend!

Also, habe einen Scan mit Malewarebytes durchgeführt:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1514
Windows 5.1.2600 Service Pack 3

18.12.2008 19:26:12
mbam-log-2008-12-18 (19-26-12).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 215194
Laufzeit: 1 hour(s), 27 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{497dddb6-6eee-4561-9621-b77dc82c1f84} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4e980492-027b-47f1-a7ab-ab086dacbb9e} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5ead8321-fcbb-4c3f-888c-ac373d366c3f} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{31f3cf6e-a71a-4daa-852b-39ac230940b4} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\agadoo (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\SysRestore.dll (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Ascentive (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\Ascentive\Performance Center (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\WordToPDF\PrInst.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSxfmm.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysRestore.dll (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
C:\Programme\Ascentive\Performance Center\GUID (Rogue.Multiple) -> Quarantined and deleted successfully.

Alt 18.12.2008, 20:06   #15
undoreal
/// AVZ-Toolkit Guru
 
Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Standard

Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:



Folders to delete:
C:\Programme\WordToPDF
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.



Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.


CureIT Dr.Web
  • Downloade Dr.Web CureIt!
  • Speichere es auf deinem Desktop.
  • Entpacke es in einen eigenen Ordner.
  • Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.
  • Lass alle Malware in den Quarantaene Ordner verschieben.
  • Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
  • Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.
  • Speichere das Logfile - siehe Anleitung - und poste es.


Und scanne den Rechner mit dem AVP-Tool und dem vba32-Tool.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Antwort
Seite 1 von 2 1 2

Themen zu Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY
0 bytes, 100%, ad aware, ad-aware, antivir, avira, bho, bonjour, browser update, c:\windows\temp, canon, einstellungen, excel, firefox, gigabyte, google, hijack, hijackthis, hkus\s-1-5-18, internet explorer, keine programme, langsam, mozilla, outlook express, plug-in, rootkit, rundll, security, sicherheit, software, solution, spyware, super, system, trojaner, web.de, windows, windows defender, windows xp, windows xp sp3, windows\temp, xp sp3


« Firefox / IE öffnen neue Fenster mit Werbung | Trojaner TR/Crypt.XPACK.Gen »


Ähnliche Themen: Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY


  1. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  2. SkyNetBDA_AMD64 (Rootkit.TDSS)
    Log-Analyse und Auswertung - 19.07.2012 (6)
  3. Problem mit Rootkit BOO/TDss.O
    Log-Analyse und Auswertung - 06.05.2012 (8)
  4. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  5. Backdoorprogramm BDS/TDSS.3020846 gefunden u.a.
    Log-Analyse und Auswertung - 23.11.2010 (10)
  6. Rootkit.Win32.TDSS und andere Trojaner desinfiziert, ist jetzt wieder alles sicher?
    Plagegeister aller Art und deren Bekämpfung - 14.06.2010 (1)
  7. rootkit.win32.tdss.d
    Plagegeister aller Art und deren Bekämpfung - 30.04.2010 (2)
  8. rootkit.win32.tdss.d
    Plagegeister aller Art und deren Bekämpfung - 21.04.2010 (1)
  9. Rootkit.Win32.TDSS.d
    Plagegeister aller Art und deren Bekämpfung - 15.04.2010 (28)
  10. TDSS-Rootkit entfernen - wie?
    Plagegeister aller Art und deren Bekämpfung - 07.03.2010 (9)
  11. Trojan.TDss!K - Packed.Win32.Tdss!IK - und wer weiß was noch alles!
    Plagegeister aller Art und deren Bekämpfung - 09.12.2009 (1)
  12. Rootkit TDSS entfernen
    Plagegeister aller Art und deren Bekämpfung - 29.09.2009 (54)
  13. Rootkit.TDSS kbiwkmbk...
    Plagegeister aller Art und deren Bekämpfung - 21.09.2009 (13)
  14. Rootkit.Win32.TDSS.a
    Plagegeister aller Art und deren Bekämpfung - 16.05.2009 (15)
  15. RKIT/TDss.G.22 - Riesenproblem
    Plagegeister aller Art und deren Bekämpfung - 01.02.2009 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY - Hallo! Bin auf der Suche nach Hilfe. Habe folgende Probleme: PC/Internet ist super langsam geworden, wenn ich auf Ergebnisse bei Google klicke, öffnet sich ein Extra-Fenster mit unbekannten Seiten, CPU-Auslastung - Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY...
Archiv
Du betrachtest: Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131