Hallo an alle!
Seid einiger Zeit, bekomme ich immer wieder Meldungen von Antivir die wie folgt lauten: BDS/TDSS.adb
C:\System Volume Information\...\A0005065 und
BDS/TDSS.JW
C:\System Volume Information\...\A0005064.dll
und noch einige andere die ich leider nicht rauskopieren konnte.
Angefangen hat bei mir glaube ich alles mit diesem Google Virus, den ich zum Glück selbst wegbekommen habe mit dem Programm "Trojan Remover",dennoch habe ich noch Probleme das ich z.B. mit keinem Virus programm Updates ziehen kann, dazu kommt noch das mein PC ab und an erst nach dem 2. mal Starten wirklich hoch fährt.
Ich hoffe das reicht erstmal als beschreibung!
Als BEtriebssystem habe ich Win XP
Hier die Hijack:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:21:23, on 12.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk = ?
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe

--
End of file - 3794 bytes

ach das 2. virus Programm habe ich nur als test drauf da ich ja keine updates mehr machen kann.
ich bedank mich schonmal im vorraus und hoffe das ich alles richtig gemacht habe!

Hallo

1.) Start => Ausführen => devmgmt.msc eingeben und [Enter] drücken
Menüzeile: Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber

Dort alle Treiber, die mit ADS oder TDS beginnen (vermutlich ist es TDSSserv.sys) deaktivieren
=> Rechner neustarten

2.) Deinstalliere folgende Programme (Start => Systemsteuerung => Software):

Code: Alles auswählenAufklappen

ATTFilter

AskBar (Adware)
NOD oder Avira
Trojan Remover
ICQ-Toolbar (falls möglich)
         

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

3.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk = ?
         

=> Fix checked

3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) Ein Log von SUPERAntiSpyware posten: http://www.trojaner-board.de/51871-a...tispyware.html

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

sorry aber ich finde keinen treiber der so anfängt. was nun ?
danke schonmal für deine hilfe!

ich hab jetzt einfach schonmal die programme gelöscht (nur Icq Toolbar hat nicht funktioniert) ich weiß nicht ob es hilfrei ist aber ich poste mal die neue HiJack in der hoffnung das es hilft.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:54:47, on 13.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

--
End of file - 1371 bytes

Na endlich mal ein aufgeräumtes HJT-Log. Schritt 1 und 6 der Liste nicht ausführen. Schritt 3-5 noch ausführen um die Systemwiederherstellung zu säubern und die letzten Reste zu entfernen.

ciao, andreas

So nun müsste ich alles abgearbeitet haben. hier die Logs:

SUPERAntiSpyware Scan Log

Generated 01/14/2009 at 05:08 PM

Application Version : 4.24.1004

Core Rules Database Version : 3688
Trace Rules Database Version: 1664

Scan type : Complete Scan
Total Scan Time : 00:52:11

Memory items scanned : 384
Memory threats detected : 0
Registry items scanned : 3936
Registry threats detected : 2
File items scanned : 72227
File threats detected : 0

Adware.MyWebSearch/FunWebProducts
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

--------------------------------------------------------------------------
01/13/09 18:46:51 [Info]: BlackLight Engine 2.2.1092 initialized
01/13/09 18:46:51 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/13/09 18:46:51 [Note]: 7019 4
01/13/09 18:46:51 [Note]: 7005 0
01/13/09 18:47:03 [Note]: 7006 0
01/13/09 18:47:03 [Note]: 7011 1720
01/13/09 18:47:03 [Note]: 7035 0
01/13/09 18:47:03 [Note]: 7026 0
01/13/09 18:47:04 [Note]: 7026 0
01/13/09 18:47:04 [Note]: FSRAW library version 1.7.1024
01/13/09 18:47:30 [Note]: 2000 1012
01/13/09 18:48:09 [Note]: 7007 0

---------------------------------------------------------

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1648
Windows 5.1.2600 Service Pack 2

13.01.2009 19:23:00
mbam-log-2009-01-13 (19-23-00).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 109841
Laufzeit: 32 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{c9dfae03-e820-4af2-95ec-a970becfbcb7}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{c9dfae03-e820-4af2-95ec-a970becfbcb7}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{c9dfae03-e820-4af2-95ec-a970becfbcb7}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Microsoft Common (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Microsoft Common\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Microsoft Common\svchost.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS8255.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS8265.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.


Ich hoffe ich habe soweit alles richtig gemacht denn die Tage müsste ich mich nochmal wegen dem Pc meiner Freundin melden ! Danke nochmal für deine bisherige hilfe! ist nun alles weg und müsste mein antivir dann wieder Updaten?
liebe grüße

Du hattest eine Umleitung in der Ukraine drin. Fast mich verblüfft ist, dass sie im HJT-Log nicht angezeigt wurde. Lass ComboFix doch noch laufen.

Zitat:

und müsste mein antivir dann wieder Updaten?

Das musst du mir sagen, da ich meine Kristallkugel gerade verlegt habe.

ciao, andreas