Hi,

seit ein paar Tagen wird es mit meinem Rechner immer schlimmer.
Ich habe mehrfach Avira AntiVir drüber laufen lassen aber immer ohne Virenfund.
Ich habe ebenfalls mehrfach versucht Tools wie Spybot und Ad Aware zu installieren dies funktioniert aber auch nicht.

Wenn ich bei google einen Suchbegriff eingebe dann findet er sie aber wenn ich auf den Link klicke kommt entweder gar nichts oder eine Seite die ich nicht ausgewählt habe.

Ich bin in diesen Fällen absoluter Anfänger und bitte um Hilfe!

Danke!

Gruß

Thomas

Hallo Thomas und

GMER - Rootkit Detection

• Lade Tralala von File-Upload.net - Tralala.exe
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Tralala.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-15 22:47:09
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT F7ABEA3C ZwCreateThread
SSDT F7ABEA28 ZwOpenProcess
SSDT F7ABEA2D ZwOpenThread
SSDT F7ABEA37 ZwTerminateProcess
SSDT F7ABEA32 ZwWriteVirtualMemory

Code E16FAC00 ZwEnumerateKey
Code E16FACE0 ZwFlushInstructionCache
Code B2128EAB pIofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

PAGE ntoskrnl.exe!ZwEnumerateKey 80570D64 5 Bytes JMP E16FAC04
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80577693 5 Bytes JMP E16FACE4

---- User code sections - GMER 1.0.14 ----

.text C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE[224] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 5 Bytes JMP 3260531D C:\Programme\Gemeinsame Dateien\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)
.text C:\WINDOWS\Explorer.EXE[1500] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00C1000A
.text C:\WINDOWS\Explorer.EXE[1500] WS2_32.dll!connect 71A14A07 5 Bytes JMP 00C0000A
.text C:\WINDOWS\Explorer.EXE[1500] WS2_32.dll!send 71A14C27 5 Bytes JMP 00C2000A
.text C:\WINDOWS\system32\SearchIndexer.exe[1924] kernel32.dll!WriteFile 7C810E17 7 Bytes JMP 01121B19 C:\WINDOWS\system32\mssrch.dll (mssrch.lib/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4024] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4024] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467187F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4024] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671800 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4024] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671844 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4024] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4467178C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4024] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446717C6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4024] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446718BA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4024] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[4024] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00D3000A
.text C:\Programme\Internet Explorer\iexplore.exe[4024] WS2_32.dll!connect 71A14A07 5 Bytes JMP 00D2000A
.text C:\Programme\Internet Explorer\iexplore.exe[4024] WS2_32.dll!send 71A14C27 5 Bytes JMP 00D4000A

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- Modules - GMER 1.0.14 ----

Module \systemroot\system32\drivers\TDSSpqlt.sys (*** hidden *** ) B2127000-B2139000 (73728 bytes)

---- Threads - GMER 1.0.14 ----

Thread 4:316 B2129D66

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\drivers\TDSSpqlt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSpqlt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSpqlt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoiqh.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSosvd.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSSbrsr.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSriqp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSSxfum.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSlxwp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsihc.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSrhym.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSStkdv.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSpqlt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSpqlt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoiqh.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSosvd.dat
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSSbrsr.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSriqp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSSxfum.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSlxwp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsihc.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSrhym.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSStkdv.log
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@affid 62
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@subid v300
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@control 0x09 0x19 0x1F 0x16 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@prov 10010
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@googleadserver pagead2.googlesyndication.com
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@flagged 1

---- EOF - GMER 1.0.14 ----


Das ist dabei rum gekommen, ich hoffe du kannst mir helfen! Danke!

Gruß

Thomas

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
TDSSserv.sys 

Files to delete:
C:\WINDOWS\system32\drivers\TDSSpqlt.sys
C:\WINDOWS\system32\TDSSoiqh.dll
C:\WINDOWS\system32\TDSSosvd.dat
C:\WINDOWS\system32\TDSSbrsr.dll
C:\WINDOWS\system32\TDSSriqp.dll
C:\WINDOWS\system32\TDSSxfum.dll
C:\WINDOWS\system32\TDSSlxwp.dll
C:\WINDOWS\system32\TDSSnmxh.log
C:\WINDOWS\system32\TDSSsihc.dll
C:\WINDOWS\system32\TDSSrhym.log
C:\WINDOWS\system32\TDSStkdv.log
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "TDSSserv.sys" found!
ImagePath: \systemroot\system32\drivers\TDSSpqlt.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "TDSSserv.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\TDSSpqlt.sys" deleted successfully.
File "C:\WINDOWS\system32\TDSSoiqh.dll" deleted successfully.
File "C:\WINDOWS\system32\TDSSosvd.dat" deleted successfully.
File "C:\WINDOWS\system32\TDSSbrsr.dll" deleted successfully.
File "C:\WINDOWS\system32\TDSSriqp.dll" deleted successfully.
File "C:\WINDOWS\system32\TDSSxfum.dll" deleted successfully.
File "C:\WINDOWS\system32\TDSSlxwp.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\TDSSnmxh.log" not found!
Deletion of file "C:\WINDOWS\system32\TDSSnmxh.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\TDSSsihc.dll" not found!
Deletion of file "C:\WINDOWS\system32\TDSSsihc.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\TDSSrhym.log" not found!
Deletion of file "C:\WINDOWS\system32\TDSSrhym.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\TDSStkdv.log" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


So das ist das Ergebnis, wieder erstmal DANKE!

Gruß

Thomas

Da es jetzt dem Rechner deutlich besser geht, klicke auf den Link, lies alles aufmerksam und arbeite die Liste ab, die etwas weiter unten kommt:
Für alle Hilfesuchende, was muss ich vor der Eröffnung eines Themas beachten

ciao, andreas