morgen zusammen,

seit ein paar tagen werde ich bei google links auf falsche seiten weitergeleitet. eventuell ein browser hijacker? weitergeleit wird über zwischenstationen (zb.: h**p://safetyread.com/scan/index.php?affid=06300) auf diverse seiten (zb.: h**p://www.jokeroo.com/video/viral/spannerleague-teaser.html ODER h**p://www.goldvipclub.com/default.aspx)

links oder auch direkteingaben zu viren/adware seiten werden verhindert.
habe jetzt nachträglich spybot und ad-aware installiert. bei spybot hat zwar das aufspielen funktioniert aber updates konnten während des des install nicht gezogen werden und im anschluß läst sich das prog nicht starten, dennoch wird es im taskmanager angezeigt. ad-aware konnte ausgeführt werden jedoch gehen auch hier die updates nicht. an der funktionalität zweifle ich aber da nur ein ad-gen gefunden wurde und beim erneuten aufrufen des progs angezeigt wird es währe noch nie aufgerufen worden.
cwshredder hatnichts gefunden.

das problem besteht weiterhin.

ich hoffe ihr könnt mir helfen, vielen dank schonmal.
hier das HJT file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13:02, on 31.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Intel\Wireless\Bin\EvtEng.exe
D:\Programme\Intel\Wireless\Bin\S24EvMon.exe
D:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\[ Programme ]\Avast4\aswUpdSv.exe
D:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\[ Programme ]\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\ehome\ehtray.exe
D:\WINDOWS\system32\igfxtray.exe
D:\WINDOWS\system32\hkcmd.exe
D:\WINDOWS\system32\igfxpers.exe
C:\[ Programme ]\Launch Manager\LaunchAp.exe
C:\[ Programme ]\Launch Manager\HotkeyApp.exe
C:\[ Programme ]\Launch Manager\OSD.exe
C:\[ Programme ]\Launch Manager\Wbutton.exe
D:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
D:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
D:\Programme\Intel\Wireless\Bin\EOUWiz.exe
D:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\_PROGR~1\Avast4\ashDisp.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\WINDOWS\eHome\ehRecvr.exe
D:\WINDOWS\eHome\ehSched.exe
D:\Programme\Intel\Wireless\Bin\RegSrvc.exe
D:\WINDOWS\system32\svchost.exe
C:\[ Programme ]\Avast4\ashMaiSv.exe
C:\[ Programme ]\Avast4\ashWebSv.exe
D:\WINDOWS\system32\dllhost.exe
D:\WINDOWS\eHome\ehmsas.exe
D:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
D:\[ Programme ]\Mozilla Firefox\firefox.exe
C:\[ Downloads ]\Firefox\cwshredder_219.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\[ Programme ]\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\[ Programme ]\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\[ Programme ]\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\[ Programme ]\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - D:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [ehTray] D:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [igfxtray] D:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] D:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] D:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\[ Programme ]\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\[ Programme ]\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\[ Programme ]\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\[ Programme ]\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\[ Programme ]\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "D:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "D:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "D:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\_PROGR~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] D:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SpybotSnD] "C:\[ Programme ]\Spybot - Search & Destroy\SpybotSD.exe" /autoclose
O4 - HKLM\..\Run: [NBKeyScan] "C:\[ Programme ]\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Ad-Watch] D:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\[ Programme ]\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Append to existing PDF - res://C:\[ Programme ]\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\[ Programme ]\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\[ Programme ]\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\[ Programme ]\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\[ Programme ]\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\[ Programme ]\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\[ Programme ]\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\[ Programme ]\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O9 - Extra button: UltimateBet - {10F055B8-F443-4adf-948A-EC551E9DBCE4} - D:\Dokumente und Einstellungen\BRT\Startmenü\Programme\UltimateBet\UltimateBet.lnk
O9 - Extra 'Tools' menuitem: UltimateBet - {10F055B8-F443-4adf-948A-EC551E9DBCE4} - D:\Dokumente und Einstellungen\BRT\Startmenü\Programme\UltimateBet\UltimateBet.lnk
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O10 - Broken Internet access because of LSP provider 'd:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1205033958218
O17 - HKLM\System\CCS\Services\Tcpip\..\{C941C353-4D08-42BF-8F1E-D1AE0C9B2FA8}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\[ Programme ]\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\[ Programme ]\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\[ Programme ]\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\[ Programme ]\Avast4\ashWebSv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - D:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallShield Licensing Service - Macrovision - D:\Programme\Gemeinsame Dateien\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: iPod Service - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - D:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - D:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: StyleXPService - Unknown owner - D:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - D:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 10320 bytes

brauche dringend hilfe, ich bin mir bewust das es andere threadss zu dem thema gibt wie hier: http://www.trojaner-board.de/69118-google-verlinkt-auf-andere-seiten.html aber weder Anti-Malware noch superantispy läst sich starten bzw installieren (anti-malware). und bevor ich anfange meine hardware zu updaten (was mir nicht ganz einleutet) hätte ich gerne eine bestätigung das dieses bei mir sinn macht. greetz

52 hits und keiner ne idee? oder überseh ich das es banal ist? Bin für jede hilfe dankbar, das arbeiten mit dem internet is quasi unmöglich und ich steh mittem in den endprüfungen des semesters...

Hallo und

GMER - Rootkit Detection

• Lade GMER von hier
• entpacke es auf den Dektop
• Doppelklick auf gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

hi adreas und danke für das wilkommen,

ich habe GMER runtergeladen aber es läßt sich auf meinem laptop nicht ausführen. alles was ich bisher nach dem befall installiert habe scheint an der ausführung gehindert zu werden. nur avast (das schon installiert war) läßt sich ausführen hat aber nicht zum erfolg geführt.

hier ein auszug au dem avast logfile der jüngsten zeit:

01.02.2009 18:55:34 SYSTEM 1888 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
01.02.2009 07:24:38 BRT 248 Sign of "Win32:Fasec [Trj]" has been found in "D:\Dokumente und Einstellungen\BRT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D295D1OR\mito[1].gif" file.
01.02.2009 07:18:24 BRT 248 Sign of "JS:FakeAV-G [Trj]" has been found in "D:\Dokumente und Einstellungen\BRT\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\kca38utn.default\Cache\45D155D6d01" file.
01.02.2009 03:46:06 BRT 248 Function setifaceUpdatePackages() has failed. Return code is 0x000004C7, dwRes is 000004C7.
31.01.2009 17:51:34 SYSTEM 1804 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
31.01.2009 17:18:56 SYSTEM 1772 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
30.01.2009 20:23:16 SYSTEM 1692 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
30.01.2009 20:18:38 SYSTEM 1668 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
30.01.2009 10:30:51 SYSTEM 1668 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
30.01.2009 09:40:08 BRT 3408 Sign of "VBS:Malware-gen" has been found in "H:\autorun.inf" file.
30.01.2009 09:38:35 BRT 1008 Sign of "VBS:Malware-gen" has been found in "H:\autorun.inf" file.
30.01.2009 09:38:26 SYSTEM 1668 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
30.01.2009 04:11:33 SYSTEM 1780 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
29.01.2009 23:10:33 SYSTEM 1780 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
27.01.2009 10:07:06 SYSTEM 1784 Sign of "HTML:Iframe-inf" has been found in "http://j3.at.ua/gb\unp207717723" file.
27.01.2009 08:34:58 SYSTEM 1784 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
26.01.2009 15:06:23 SYSTEM 1780 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
26.01.2009 13:27:26 SYSTEM 1660 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
25.01.2009 17:56:45 SYSTEM 1844 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
25.01.2009 09:49:51 SYSTEM 1844 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
25.01.2009 05:38:33 SYSTEM 1844 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
25.01.2009 02:29:36 SYSTEM 1664 Sign of "JS:Agent-BA [Trj]" has been found in "http://architecture.oggix.org/2008/07/17/architecture-design-canada-national-gallery/\unp211566335" file.
24.01.2009 17:37:20 SYSTEM 1664 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
24.01.2009 08:55:19 SYSTEM 1768 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
24.01.2009 04:52:37 SYSTEM 1768 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
24.01.2009 00:50:33 SYSTEM 1768 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
23.01.2009 20:48:28 SYSTEM 1768 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
23.01.2009 16:45:45 SYSTEM 1768 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
23.01.2009 12:43:28 SYSTEM 1768 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
22.01.2009 21:36:48 SYSTEM 1660 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
22.01.2009 16:09:27 SYSTEM 1660 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
21.01.2009 22:08:40 SYSTEM 1772 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
21.01.2009 13:58:52 SYSTEM 1772 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
19.01.2009 00:18:16 SYSTEM 1708 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
18.01.2009 20:14:16 SYSTEM 1708 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
18.01.2009 14:33:45 SYSTEM 1660 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
17.01.2009 23:06:17 SYSTEM 1660 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
17.01.2009 20:51:45 SYSTEM 1660 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
17.01.2009 12:54:30 BRT 208 Sign of "VBS:Malware-gen" has been found in "H:\autorun.inf" file.
17.01.2009 12:52:59 SYSTEM 1660 Sign of "Win32:AutoRun-SD [Wrm]" has been found in "H:\desktop.dll" file.

------------------------

einzig zu dem wurm auf H:\ kann ich sagen das er mir nicht bedrohlich erscheint, geht schon lange in der uni rum und wird idr sofort auf dem stick erkannt und gelöscht. ansonsten bin ich ratlos wie ich weiter vorgehen soll.

Benenne gmer.exe um in qwer.com und versuche es noch einmal.

ciao, andreas

super, das umbenennen hat geholfen, hier das logfile:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-01 19:58:44
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xA91DD588]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xA91DD444]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xA91DD922]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xA91DD01C]
SSDT spjo.sys ZwEnumerateKey [0xBA6C6CA2]
SSDT spjo.sys ZwEnumerateValueKey [0xBA6C7030]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xA91DD51E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xA91DCF5C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xA91DCFC0]
SSDT spjo.sys ZwQueryKey [0xBA6C7108]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xA91DD63E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xA91DD5FE]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xA91DD77E]

INT 0x06 \??\D:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) A877516D
INT 0x0E \??\D:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) A8774FC2
INT 0x62 ? 89E45BF8
INT 0x82 ? 89E45BF8
INT 0x83 ? 89B71BF8
INT 0xB4 ? 89B71BF8

Code E1824860 ZwFlushInstructionCache
Code A9385EAB pIofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805AABBE 5 Bytes JMP E1824864
? spjo.sys Das System kann die angegebene Datei nicht finden. !
? Lbd.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B9FA762C 5 Bytes JMP 89B711D8

---- User code sections - GMER 1.0.14 ----

.text D:\WINDOWS\Explorer.EXE[1504] WS2_32.dll!connect 71A1406A 5 Bytes JMP 00F1000A
.text D:\WINDOWS\Explorer.EXE[1504] WS2_32.dll!send 71A1428A 5 Bytes JMP 00F4000A
.text D:\WINDOWS\Explorer.EXE[1504] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 00F3000A

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6A9040] spjo.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6A913C] spjo.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6A90BE] spjo.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6A97FC] spjo.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6A96D2] spjo.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6B9048] spjo.sys

---- User IAT/EAT - GMER 1.0.14 ----

IAT D:\WINDOWS\system32\services.exe[812] @ D:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003A0002
IAT D:\WINDOWS\system32\services.exe[812] @ D:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003A0000

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 89E441F8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fastfat \FatCdrom 88E67500

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\usbuhci \Device\USBPDO-0 89C241F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89DD91F8
Device \Driver\dmio \Device\DmControl\DmConfig 89DD91F8
Device \Driver\dmio \Device\DmControl\DmPnP 89DD91F8
Device \Driver\dmio \Device\DmControl\DmInfo 89DD91F8
Device \Driver\usbuhci \Device\USBPDO-1 89C241F8
Device \Driver\usbehci \Device\USBPDO-2 89B5A1F8
Device \Driver\usbuhci \Device\USBPDO-3 89C241F8
Device \Driver\usbuhci \Device\USBPDO-4 89C241F8

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\Ftdisk \Device\HarddiskVolume1 89E461F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89E461F8
Device \Driver\Cdrom \Device\CdRom0 89B9D1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{79E7B1A8-6BA5-4E51-AB82-092967CC82D1} 88F4D1F8
Device \Driver\Cdrom \Device\CdRom1 89B9D1F8
Device \Driver\atapi \Device\Ide\IdePort0 89E451F8
Device \Driver\atapi \Device\Ide\IdePort1 89E451F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 89E451F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 89E451F8
Device \Driver\Cdrom \Device\CdRom2 89B9D1F8
Device \Driver\sptd \Device\1131942964 spjo.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export 88F4D1F8
Device \Driver\PCI_PNP4214 \Device\0000004c spjo.sys
Device \Driver\NetBT \Device\NetbiosSmb 88F4D1F8

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbuhci \Device\USBFDO-0 89C241F8
Device \Driver\usbuhci \Device\USBFDO-1 89C241F8
Device \Driver\usbuhci \Device\USBFDO-2 89C241F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 88F771F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 88F771F8
Device \Driver\usbuhci \Device\USBFDO-3 89C241F8
Device \Driver\Ftdisk \Device\FtControl 89E461F8
Device \Driver\usbehci \Device\USBFDO-4 89B5A1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{8E3942FE-5002-4C1B-AB21-941B3C09A546} 88F4D1F8
Device \Driver\atizbtvk \Device\Scsi\atizbtvk1Port2Path0Target0Lun0 89AC0500
Device \Driver\atizbtvk \Device\Scsi\atizbtvk1 89AC0500
Device \Driver\atizbtvk \Device\Scsi\atizbtvk1Port2Path0Target1Lun0 89AC0500
Device \FileSystem\Fastfat \Fat 88E67500

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Cdfs \Cdfs 88EA6500

---- Modules - GMER 1.0.14 ----

Module \systemroot\system32\drivers\TDSSmplt.sys (*** hidden *** ) A9384000-A9396000 (73728 bytes)

---- Threads - GMER 1.0.14 ----

Thread 4:416 A9386D66
---- Processes - GMER 1.0.14 ----

Library D:\Programme\Lavasoft\Ad-Aware\ShellExt.dll (*** hidden *** ) @ D:\WINDOWS\Explorer.EXE [1504] 0x014A0000

---- Services - GMER 1.0.14 ----

Service D:\WINDOWS\system32\drivers\TDSSmplt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x41 0xAD 0x7E 0xA5 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xFB 0x64 0x2E 0x6A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x77 0x12 0x53 0xB9 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x77 0x12 0x53 0xB9 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSmplt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSmplt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoity.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSmtve.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSSarxx.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSvoql.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSScfbv.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSdxcp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsahc.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSxhyf.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSSkkai.log
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x41 0xAD 0x7E 0xA5 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xFB 0x64 0x2E 0x6A ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x77 0x12 0x53 0xB9 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x77 0x12 0x53 0xB9 ...
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSmplt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSmplt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoity.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSmtve.dat
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSSarxx.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSvoql.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSScfbv.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSdxcp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsahc.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSxhyf.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSSkkai.log
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@affid 62
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@subid v300
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@control 0x09 0x19 0x1F 0x16 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@prov 10010
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@googleadserver pagead2.googlesyndication.com
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@flagged 1

---- EOF - GMER 1.0.14 ----

Was hast du denn da für ein wildes Gewusel mit seltsamen Ordnernamen und Laufwerksbuchstaben? Da geht ja alles quer!

Anleitung Avenger (by swandog46)

Lade dir das Tool yxcv.com (ist Avenger drin) und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
TDSSserv.sys

Files to delete:
D:\WINDOWS\system32\drivers\TDSSmplt.sys
D:\WINDOWS\system32\TDSSoity.dll
D:\WINDOWS\system32\TDSSoity.dll
D:\WINDOWS\system32\TDSSarxx.dll
D:\WINDOWS\system32\TDSSvoql.dll
D:\WINDOWS\system32\TDSScfbv.dll
D:\WINDOWS\system32\TDSSdxcp.dll
D:\WINDOWS\system32\TDSSnmxh.log
D:\WINDOWS\system32\TDSSsahc.dll
D:\WINDOWS\system32\TDSSxhyf.log
D:\WINDOWS\system32\TDSSkkai.log
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

done

was meinst du mit "wildem gewusel" ich habe doch nur zwei laufwerke C und D(system), der buchstabe h für externe laufwerke rührt von den beiden virtuellen laufwerken die nach dem dvd laufwerk E kommen... oder worauf war das bezogen

hier jedenfalls das avengerlog und nochmal vielen dank für deine hilfe

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at D:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "TDSSserv.sys" found!
ImagePath: \systemroot\system32\drivers\TDSSmplt.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "TDSSserv.sys" deleted successfully.
File "D:\WINDOWS\system32\drivers\TDSSmplt.sys" deleted successfully.
File "D:\WINDOWS\system32\TDSSoity.dll" deleted successfully.

Error: file "D:\WINDOWS\system32\TDSSoity.dll" not found!
Deletion of file "D:\WINDOWS\system32\TDSSoity.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "D:\WINDOWS\system32\TDSSarxx.dll" deleted successfully.
File "D:\WINDOWS\system32\TDSSvoql.dll" deleted successfully.
File "D:\WINDOWS\system32\TDSScfbv.dll" deleted successfully.
File "D:\WINDOWS\system32\TDSSdxcp.dll" deleted successfully.

Error: file "D:\WINDOWS\system32\TDSSnmxh.log" not found!
Deletion of file "D:\WINDOWS\system32\TDSSnmxh.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "D:\WINDOWS\system32\TDSSsahc.dll" not found!
Deletion of file "D:\WINDOWS\system32\TDSSsahc.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "D:\WINDOWS\system32\TDSSxhyf.log" not found!
Deletion of file "D:\WINDOWS\system32\TDSSxhyf.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "D:\WINDOWS\system32\TDSSkkai.log" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

arbeite diese Liste ab:

1.) Deinstalliere folgende Programme (Start=>Systemsteuerung=>Programme):

Code: Alles auswählenAufklappen

ATTFilter

Spybot (Schrott)
AdAware (Schrott)
ICQ-Toolbar (Toolbars sind mehr als flüssig)
Acrobat Reader (veraltet, sollte das die Kaufversion sein, dann wende dich an den Support)
         

2.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\[ Programme ]\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] D:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\[ Programme ]\ICQToolbar\toolbaru.dll/SEARCH.HTML
         

=> Fix checked

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

4.) SuperAntiSpyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

5.) Installiere Service Pack 3

6.) Poste ein neues Hijackthis Logfile. Editiere die Links und privaten Infos!!

ciao, andreas

zu 1

reicht es den reader zu deinstallieren? ich habe noch die vollversion auf dem system installiert, sollte ich diese auch löschen? Alles in der version CS3


cheers, qbrt

Lass es drauf und besorge dir die aktuelle Version über den Support.

ciao, andreas

Zitat:

Zitat von john.doe

Was hast du denn da für ein wildes Gewusel mit seltsamen Ordnernamen und Laufwerksbuchstaben? Da geht ja alles quer!

Anleitung Avenger (by swandog46)

Lade dir das Tool yxcv.com (ist Avenger drin) und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
TDSSserv.sys

Files to delete:
D:\WINDOWS\system32\drivers\TDSSmplt.sys
D:\WINDOWS\system32\TDSSoity.dll
D:\WINDOWS\system32\TDSSoity.dll
D:\WINDOWS\system32\TDSSarxx.dll
D:\WINDOWS\system32\TDSSvoql.dll
D:\WINDOWS\system32\TDSScfbv.dll
D:\WINDOWS\system32\TDSSdxcp.dll
D:\WINDOWS\system32\TDSSnmxh.log
D:\WINDOWS\system32\TDSSsahc.dll
D:\WINDOWS\system32\TDSSxhyf.log
D:\WINDOWS\system32\TDSSkkai.log
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Danke für Diesen Beitrag, ich hoffe das klappt bei mir auch!

Kleine Frage, hast du eventuell einen Fehler eingebaut und wenn ja, weiß ich nicht ob der Große Auswirkungen hat?

Du hast zweimal

Zitat:

Code: Alles auswählenAufklappen

ATTFilter

D:\WINDOWS\system32\TDSSoity.dll
D:\WINDOWS\system32\TDSSoity.dll
         

eingegeben und dafür die TDSSmtve vergessen.

Greets Mindmover

Zitat:

Kleine Frage, hast du eventuell einen Fehler eingebaut

Nicht mit Absicht.

Zitat:

weiß ich nicht ob der Große Auswirkungen hat?

Nein. Malwarebytes sollte den finden und wenn nicht, dann machen wir das manuell. Danke für den Hinweis.

ciao, andreas

1. habe alle progs deinstalliert

2. die beiden zeilen icq betreffend waren nicht vorhanden. habe auch nie eine icq toolbar besessen, zumindet nicht in firefox oder opera, beim IE bin ich mir nicht sicher.

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\[ Programme ]\ICQToolbar\toolbaru.dll

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\[ Programme ]\ICQToolbar\toolbaru.dll/SEARCH.HTML

3. Blacklight hat keine rootkits gefunden (eine log-funktion habe ich nicht gesehn)

Logfiles:
-----------


Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1713
Windows 5.1.2600 Service Pack 2

01.02.2009 22:56:53
mbam-log-2009-02-01 (22-56-53).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 124211
Laufzeit: 32 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhcttpj0et0n (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Programme\Mozilla Firefox\components\MyComponent.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
D:\Programme\Mozilla Firefox\components\MyComponent.dll1 (Spyware.Passwords) -> Quarantined and deleted successfully.
D:\Programme\Veoh Networks\VeohWebPlayer\uninst.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\WINDOWS\Temp\TDSS593c.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
D:\WINDOWS\Temp\TDSS5c59.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
D:\WINDOWS\Temp\TDSS5fa5.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

-------------------------------------

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/02/2009 at 02:42 AM

Application Version : 4.25.1012

Core Rules Database Version : 3739
Trace Rules Database Version: 1707

Scan type : Complete Scan
Total Scan Time : 02:39:03

Memory items scanned : 465
Memory threats detected : 0
Registry items scanned : 4734
Registry threats detected : 0
File items scanned : 190614
File threats detected : 11

Adware.Tracking Cookie
D:\Dokumente und Einstellungen\BRT\Cookies\brt@www.spielerstats[1].txt
D:\Dokumente und Einstellungen\BRT\Cookies\brt@ads.4players[1].txt

Rogue.AntiVirus XP 2008
D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008.lnk

Adware.Casino Games (Golden Palace Casino)
D:\PROGRAMME\PACIFICPOKER\BIN\CASINOPOKER\BIN\CASINO.EXE

Rootkit.TDSServ-Trace
D:\WINDOWS\SYSTEM32\TDSSMTVE.DAT


habe verwsucht den safmode scan im anschluß durchzuführen wie in der anleitung beschrieben, windows startet jedoch im normal modus und braucht bei der anmeldung sehr lange.

werde jetzt sp3 installieren und anschließend das HJT file posten


so far: viel vielen dank und gute n8