|
Log-Analyse und Auswertung: verdacht auf eine art von TDss trojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.04.2009, 02:51 | #1 |
| verdacht auf eine art von TDss trojaner hallo, bin durch googeln meines problems auf euer forum gestossen, da anseinend hier schon mehrere ein aehniliches problem hatten. ich denke dass ich eine art TDss trojaner auf meinem notebook habe, da symtome auftreten wie das geblockt werden von foren und pc sicherheitsseiten, erstellen einer autorun datei auf dem laufwerk C und D, und diverser .com dateiem im RECYCLER ordner, nach deren loeschen ich nicht mehr normal auf C/D zugreifen kann. hab mich dazu entschlossen lieber einen neuem thread zu eroeffnen, da in den anderen beitraegen cobofix verwendet wurde. habe bereits CCleaner angewendet, antimalware leasst sich allerdings auch nach mehrmaligem de/installieren nicht starten. hijackthis hat folgenden bericht ausgegeben: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:51:03, on 05.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\hkcmd.exe C:\Program Files\EeePC\ACPI\AsTray.exe C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe C:\Program Files\EeePC\ACPI\AsEPCMon.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\Program Files\Elantech\ETDCtrl.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\iTunes\iTunesHelper.exe C:\WINDOWS\system32\igfxext.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe C:\Program Files\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://eeepc.asus.com/global R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [AsusTray] C:\Program Files\EeePC\ACPI\AsTray.exe O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Program Files\EeePC\ACPI\AsEPCMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [ETDWare] C:\Program Files\Elantech\ETDCtrl.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Bluetooth.lnk = ? O4 - Global Startup: SuperHybridEngine.lnk = ? O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Send To Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{C483877E-CA5B-4DC9-AEBC-4B6DF11ECBEC}: NameServer = 85.255.112.169,85.255.112.111 O17 - HKLM\System\CCS\Services\Tcpip\..\{D0EC1AAC-1D67-46A1-A9CA-79B3D6A7E3A5}: NameServer = 85.255.112.169,85.255.112.111 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.169,85.255.112.111 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.169,85.255.112.111 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe -- End of file - 8237 bytes |
06.04.2009, 06:25 | #2 |
| verdacht auf eine art von TDss trojaner Hi,
__________________Achtung Deine komplette Internetverbindung wird über die Ukraine geroutet, daher nichts mehr mit Passwörter, Homebanking etc. Alle Passwörter von einem sauberen Rechner aus sofort ändern, Konten ev. sperren lassen. Folgende Einträge mit HJ fixen: Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O17 - HKLM\System\CCS\Services\Tcpip\..\{C483877E-CA5B-4DC9-AEBC-4B6DF11ECBEC}: NameServer = 85.255.112.169,85.255.112.111 O17 - HKLM\System\CCS\Services\Tcpip\..\{D0EC1AAC-1D67-46A1-A9CA-79B3D6A7E3A5}: NameServer = 85.255.112.169,85.255.112.111 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.169,85.255.112.111 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.169,85.255.112.111 Achtung: Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden) Danach bitte Combofix: Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Jetzt sollte bereits Avira loslegen, bitte noch MAM hinterher... Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp chris
__________________ |
06.04.2009, 19:43 | #3 |
| verdacht auf eine art von TDss trojaner ok danke fuer die hilfe.
__________________hier der bericht aus combofix: Code:
ATTFilter ComboFix 09-04-04.01 - Admin 2009-04-06 15:27:21.1 - NTFSx86 Running from: c:\documents and settings\Admin\Desktop\Downs\ComboFix.exe Command switches used :: c:\documents and settings\Admin\Desktop\Downs\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf c:\windows\system32\drivers\gaopdxkbodpamtbosdjbitqsipapiqvmyciqjl.sys c:\windows\system32\drivers\gaopdxpyyqptkdibivaswewbpxoymxefabuyfq.sys c:\windows\system32\gaopdxcounter c:\windows\system32\gaopdxydubuwkxevmwonhhnxthsdnrajpixreg.dll D:\Autorun.inf . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_gaopdxserv.sys ((((((((((((((((((((((((( Files Created from 2009-03-06 to 2009-04-06 ))))))))))))))))))))))))))))))) . 2010-07-02 16:30 . 2008-06-13 07:05 272,128 --a------ c:\windows\system32\drivers\bthport.sys 2010-07-02 16:29 . 2009-03-11 01:23 <DIR> d--h----- c:\windows\$hf_mig$ 2010-07-02 16:28 . 2010-07-02 16:29 <DIR> d-------- c:\windows\I386 2009-04-04 13:36 . 2009-04-04 13:36 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware 2009-04-04 13:36 . 2009-04-04 13:36 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-04-04 13:36 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-04 13:36 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-04 11:38 . 2009-04-04 11:38 <DIR> d-------- c:\program files\CCleaner 2009-04-03 03:01 . 2009-04-03 03:02 <DIR> d-------- c:\program files\Common Files\DivX Shared 2009-04-03 02:07 . 2009-04-03 02:07 <DIR> d-------- c:\program files\Avira 2009-04-03 02:07 . 2009-04-03 02:07 <DIR> d-------- c:\documents and settings\All Users\Application Data\Avira 2009-04-03 02:07 . 2009-02-13 15:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys 2009-03-31 04:56 . 2009-03-31 04:57 <DIR> d-------- c:\program files\iTunes 2009-03-31 04:56 . 2009-03-31 04:56 <DIR> d-------- c:\program files\iPod 2009-03-31 04:56 . 2009-03-31 04:57 <DIR> d-------- c:\documents and settings\All Users\Application Data\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} 2009-03-31 04:52 . 2009-03-31 04:52 <DIR> d-------- c:\program files\QuickTime 2009-03-31 04:45 . 2009-03-06 03:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll 2009-03-31 04:05 . 2009-03-31 04:05 <DIR> d-------- c:\program files\LibUSB-Win32 2009-03-31 04:05 . 2007-03-20 15:33 43,520 --a------ c:\windows\system32\libusb0.dll 2009-03-31 04:05 . 2007-03-20 15:33 28,672 --a------ c:\windows\system32\drivers\libusb0.sys 2009-03-31 04:02 . 2009-03-01 21:44 1,081,616 --a------ c:\windows\system32\MSCOMCTL.OCX 2009-03-31 04:02 . 2009-02-16 01:54 933,888 --a------ c:\windows\system32\SENXPCTL.OCX 2009-03-31 04:02 . 2004-03-09 04:00 224,016 --a------ c:\windows\system32\tabctl32.OCX 2009-03-31 04:02 . 2004-03-09 05:00 212,240 --a------ c:\windows\system32\RICHTX32.OCX 2009-03-31 04:02 . 2009-02-21 07:18 140,096 --a------ c:\windows\system32\COMDLG32.OCX 2009-03-31 04:02 . 2009-02-26 03:43 65,536 --a------ c:\windows\system32\device.OCX 2009-03-31 04:02 . 2009-02-17 08:23 32,768 --a------ c:\windows\system32\Bar.OCX 2009-03-28 15:38 . 2009-04-05 10:37 3,532 --a------ C:\drmHeader.bin 2009-03-24 03:38 . 2009-03-24 03:38 <DIR> d-------- c:\program files\Bonjour 2009-03-21 19:51 . 2009-03-21 19:51 <DIR> d-------- c:\documents and settings\Admin\Application Data\InterVideo 2009-03-07 07:30 . 2009-03-07 13:18 <DIR> d-------- c:\program files\RAR Password Recovery 2009-03-07 07:23 . 2009-03-07 07:23 <DIR> d-------- c:\program files\ElcomSoft 2009-03-07 07:23 . 2009-03-16 01:23 <DIR> d-------- c:\program files\Advanced Archive Password Recovery 2009-03-07 07:21 . 2009-03-07 07:21 <DIR> d-------- c:\program files\PasswordTools . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-05 16:15 --------- d-----w c:\documents and settings\Admin\Application Data\Skype 2009-04-05 14:03 --------- d-----w c:\documents and settings\Admin\Application Data\skypePM 2009-04-03 19:47 --------- d-----w c:\program files\Mozilla Thunderbird 2009-04-03 07:02 --------- d-----w c:\program files\DivX 2009-04-02 13:50 --------- d-----w c:\documents and settings\Admin\Application Data\uTorrent 2009-04-02 10:19 --------- d-----w c:\documents and settings\Admin\Application Data\LimeWire 2009-03-31 08:56 --------- d-----w c:\program files\Common Files\Apple 2009-03-31 02:08 --------- d-----w c:\documents and settings\Admin\Application Data\StarOffice8 2009-03-24 16:13 --------- d-----w c:\program files\ICQ6 2009-03-06 07:59 36,864 ----a-w c:\windows\system32\drivers\usbaapl.sys 2009-03-04 11:42 --------- d-----w c:\program files\LimeWire 2009-03-01 12:26 --------- d-----w c:\documents and settings\Admin\Application Data\Apple Computer 2009-03-01 03:01 --------- d-----w c:\program files\Microsoft Silverlight 2009-02-24 19:34 90,112 ----a-w c:\windows\system32\dpl100.dll 2009-02-24 19:34 823,296 ----a-w c:\windows\system32\divx_xx0c.dll 2009-02-24 19:34 823,296 ----a-w c:\windows\system32\divx_xx07.dll 2009-02-24 19:34 815,104 ----a-w c:\windows\system32\divx_xx0a.dll 2009-02-24 19:34 802,816 ----a-w c:\windows\system32\divx_xx11.dll 2009-02-24 19:34 684,032 ----a-w c:\windows\system32\DivX.dll 2009-02-23 10:44 --------- d-----w c:\program files\Common Files\Adobe Systems Shared 2009-02-23 10:44 --------- d-----w c:\program files\Common Files\Adobe 2009-02-10 00:59 --------- d-----w c:\program files\DVDVideoSoft 2009-02-10 00:59 --------- d-----w c:\program files\Common Files\DVDVideoSoft 2009-02-09 11:13 1,846,784 ----a-w c:\windows\system32\win32k.sys 2008-12-13 14:02 360 ----a-w c:\documents and settings\Admin\Application Data\wklnhst.dat 2008-10-24 00:00 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat 2008-05-07 23:34 15,523,560 ----a-w c:\program files\U1 Setup.exe 2009-02-24 19:34 1,044,480 ----a-w c:\program files\mozilla firefox\plugins\libdivx.dll 2009-02-24 19:34 200,704 ----a-w c:\program files\mozilla firefox\plugins\ssldivx.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744] "Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072] "AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2008-06-03 98304] "AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2008-06-03 479232] "AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2008-05-21 94208] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 196608] "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-04-13 69632] "ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2008-04-24 335872] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-03-13 342312] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "RTHDCPL"="RTHDCPL.EXE" [2008-07-16 c:\windows\RTHDCPL.exe] c:\documents and settings\All Users\Start Menu\Programs\Startup\ Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-04-14 596584] SuperHybridEngine.lnk - c:\program files\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-07-22 303104] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-10-14 10:04 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-10-18 14:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Mozilla Thunderbird\\thunderbird.exe"= "c:\\Program Files\\ICQ6\\ICQ.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"= "c:\\Documents and Settings\\Admin\\Desktop\\Minigames\\Soldat\\Soldat.exe"= "c:\\Program Files\\uTorrent\\uTorrent.exe"= "c:\\Program Files\\LimeWire\\LimeWire.exe"= "c:\\Program Files\\Bonjour\\mDNSResponder.exe"= "c:\\Program Files\\iTunes\\iTunes.exe"= "c:\\Program Files\\Skype\\Phone\\Skype.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-04-03 108289] R3 AsusACPI;ASUS ACPI Driver;c:\windows\system32\drivers\ASUSACPI.SYS [2008-06-27 11264] R3 Ktp;Elantech Smart-Pad;c:\windows\system32\drivers\ETD.sys [2008-05-21 26112] R3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [2008-06-27 36864] R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [2009-03-31 28672] S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [2008-06-27 625024] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7942623e-d3bd-11dd-bd38-0015afef345e}] \Shell\AutoRun\command - E:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7942623f-d3bd-11dd-bd38-0015afef345e}] \Shell\AutoRun\command - E:\AutoRun.exe . Contents of the 'Scheduled Tasks' folder 2009-04-06 c:\windows\Tasks\Check Updates for Windows Live Toolbar.job - c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 14:20] . . ------- Supplementary Scan ------- . uStart Page = hxxp://eeepc.asus.com/global uInternet Connection Wizard,ShellNext = iexplore uInternet Settings,ProxyOverride = *.local IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm IE: Send to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm IE: Send To Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\pgpq3f5t.default\ . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-06 15:30:14 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2009-04-06 15:32:01 ComboFix-quarantined-files.txt 2009-04-06 19:31:58 Pre-Run: 25,717,370,880 bytes free Post-Run: 25,765,527,552 bytes free 172 --- E O F --- 2009-03-31 06:02:21 |
07.04.2009, 08:19 | #4 |
| verdacht auf eine art von TDss trojaner Hallo, bitte auch diese Log posten... Dann sehen wir weiter... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
07.04.2009, 17:32 | #5 |
| verdacht auf eine art von TDss trojaner oh sorry uebersehen. hier der bericht: Code:
ATTFilter Malwarebytes' Anti-Malware 1.36 Datenbank Version: 1945 Windows 5.1.2600 Service Pack 3 06.04.2009 23:28:43 mbam-log-2009-04-06 (23-28-43).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 134801 Laufzeit: 53 minute(s), 34 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Antivir hat beim ersten durchlauf noch einen trojaner gefunden: Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 6. April 2009 15:41 Es wird nach 1342193 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ABC Versionsinformationen: BUILD.DAT : 9.0.0.387 17962 Bytes 3/24/2009 11:03:00 AVSCAN.EXE : 9.0.3.3 464641 Bytes 2/24/2009 20:13:22 AVSCAN.DLL : 9.0.3.0 49409 Bytes 2/13/2009 20:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 2/20/2009 19:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 1/26/2009 18:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 10/27/2008 20:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 2/11/2009 04:33:26 ANTIVIR2.VDF : 7.1.3.0 1330176 Bytes 4/1/2009 06:13:15 ANTIVIR3.VDF : 7.1.3.21 99328 Bytes 4/6/2009 19:40:19 Engineversion : 8.2.0.138 AEVDF.DLL : 8.1.1.0 106868 Bytes 1/28/2009 01:36:42 AESCRIPT.DLL : 8.1.1.73 373114 Bytes 4/3/2009 19:41:55 AESCN.DLL : 8.1.1.10 127348 Bytes 4/3/2009 19:41:54 AERDL.DLL : 8.1.1.3 438645 Bytes 10/30/2008 02:24:41 AEPACK.DLL : 8.1.3.12 397687 Bytes 4/3/2009 19:41:53 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 2/27/2009 04:01:56 AEHEUR.DLL : 8.1.0.114 1700214 Bytes 4/3/2009 19:41:52 AEHELP.DLL : 8.1.2.2 119158 Bytes 2/27/2009 04:01:56 AEGEN.DLL : 8.1.1.33 340340 Bytes 4/3/2009 19:41:48 AEEMU.DLL : 8.1.0.9 393588 Bytes 10/9/2008 22:32:40 AECORE.DLL : 8.1.6.7 176502 Bytes 4/3/2009 19:41:48 AEBB.DLL : 8.1.0.3 53618 Bytes 10/9/2008 22:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 16:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 12/3/2008 19:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 1/20/2009 22:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 11/7/2008 23:25:04 AVARKT.DLL : 9.0.0.1 292609 Bytes 2/9/2009 15:52:20 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 1/30/2009 18:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 1/28/2009 23:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2/2/2009 16:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 11/7/2008 23:41:21 RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 2/9/2009 19:41:16 RCTEXT.DLL : 9.0.35.0 87809 Bytes 3/11/2009 23:50:50 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Montag, 6. April 2009 15:41 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '44270' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SuperHybridEngine.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ETDCTRL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AsEPCMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AsAcpiSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AsTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iviRegMgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '43' Prozesse mit '43' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Der Suchlauf über die Bootsektoren wird begonnen: Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '71' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Qoobox\Quarantine\C\WINDOWS\system32\gaopdxydubuwkxevmwonhhnxthsdnrajpixreg.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen C:\System Volume Information\_restore{47CE108E-5D7D-4625-9D5A-698840496DF7}\RP59\A0029853.dll [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen Beginne mit der Suche in 'D:\' Beginne mit der Desinfektion: C:\Qoobox\Quarantine\C\WINDOWS\system32\gaopdxydubuwkxevmwonhhnxthsdnrajpixreg.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library [HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert. C:\System Volume Information\_restore{47CE108E-5D7D-4625-9D5A-698840496DF7}\RP59\A0029853.dll [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0ab9be.qua' verschoben! Ende des Suchlaufs: Montag, 6. April 2009 22:25 Benötigte Zeit: 49:34 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6816 Verzeichnisse wurden überprüft 282177 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 282174 Dateien ohne Befall 10666 Archive wurden durchsucht 2 Warnungen 3 Hinweise 44270 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 7. April 2009 00:32 Es wird nach 1342193 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ABC Versionsinformationen: BUILD.DAT : 9.0.0.387 17962 Bytes 3/24/2009 11:03:00 AVSCAN.EXE : 9.0.3.3 464641 Bytes 2/24/2009 20:13:22 AVSCAN.DLL : 9.0.3.0 49409 Bytes 2/13/2009 20:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 2/20/2009 19:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 1/26/2009 18:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 10/27/2008 20:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 2/11/2009 04:33:26 ANTIVIR2.VDF : 7.1.3.0 1330176 Bytes 4/1/2009 06:13:15 ANTIVIR3.VDF : 7.1.3.21 99328 Bytes 4/6/2009 19:40:19 Engineversion : 8.2.0.138 AEVDF.DLL : 8.1.1.0 106868 Bytes 1/28/2009 01:36:42 AESCRIPT.DLL : 8.1.1.73 373114 Bytes 4/3/2009 19:41:55 AESCN.DLL : 8.1.1.10 127348 Bytes 4/3/2009 19:41:54 AERDL.DLL : 8.1.1.3 438645 Bytes 10/30/2008 02:24:41 AEPACK.DLL : 8.1.3.12 397687 Bytes 4/3/2009 19:41:53 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 2/27/2009 04:01:56 AEHEUR.DLL : 8.1.0.114 1700214 Bytes 4/3/2009 19:41:52 AEHELP.DLL : 8.1.2.2 119158 Bytes 2/27/2009 04:01:56 AEGEN.DLL : 8.1.1.33 340340 Bytes 4/3/2009 19:41:48 AEEMU.DLL : 8.1.0.9 393588 Bytes 10/9/2008 22:32:40 AECORE.DLL : 8.1.6.7 176502 Bytes 4/3/2009 19:41:48 AEBB.DLL : 8.1.0.3 53618 Bytes 10/9/2008 22:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 16:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 12/3/2008 19:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 1/20/2009 22:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 11/7/2008 23:25:04 AVARKT.DLL : 9.0.0.1 292609 Bytes 2/9/2009 15:52:20 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 1/30/2009 18:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 1/28/2009 23:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2/2/2009 16:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 11/7/2008 23:41:21 RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 2/9/2009 19:41:16 RCTEXT.DLL : 9.0.35.0 87809 Bytes 3/11/2009 23:50:50 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Dienstag, 7. April 2009 00:32 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '43785' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SuperHybridEngine.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ETDCTRL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AsEPCMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AsAcpiSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AsTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iviRegMgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '40' Prozesse mit '40' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Der Suchlauf über die Bootsektoren wird begonnen: Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '71' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. Beginne mit der Suche in 'D:\' Ende des Suchlaufs: Dienstag, 7. April 2009 01:23 Benötigte Zeit: 50:56 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6815 Verzeichnisse wurden überprüft 281756 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 281755 Dateien ohne Befall 10651 Archive wurden durchsucht 1 Warnungen 1 Hinweise 43785 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
07.04.2009, 19:25 | #6 |
| verdacht auf eine art von TDss trojaner Hi, nun ja, so richtig gefunden hat er Ihn nicht, der war in der Backupdatei von Combofix... und einmal in der Systemwiederherstellung (und die plätten wir jetzt)... Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Du hast Glück, es scheinen sonst keine kleinen Besucher angekommen zu sein (trotz laufenden Rootkit, das sonst zum "verstecken" von weitern "Besuch genutz wird), zur Sicherheit: Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris
__________________ --> verdacht auf eine art von TDss trojaner |
08.04.2009, 20:30 | #7 |
| verdacht auf eine art von TDss trojaner ok hab die wiederherstellungspunkte geloescht und einen neuen angelegt. Prevx CSI sagt Status:Clean vielen dank fuer die hilfe. kann ich passwoerter nun wieder ohne bedenken eingeben? gruesse |
09.04.2009, 06:35 | #8 |
| verdacht auf eine art von TDss trojaner Hi, bitte noch einen neuen HJ-Log und noch einen abschließenden Lauf mit Gmer: Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein. Sollte aber nicht dabei rauskommen... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
09.04.2009, 16:55 | #9 |
| verdacht auf eine art von TDss trojaner hier der HJT log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:18:44, on 09.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe C:\WINDOWS\system32\hkcmd.exe C:\Program Files\EeePC\ACPI\AsTray.exe C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe C:\Program Files\EeePC\ACPI\AsEPCMon.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\Program Files\Elantech\ETDCtrl.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\igfxext.exe C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Prevx\prevx.exe C:\Program Files\Prevx\prevx.exe C:\Program Files\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://eeepc.asus.com/global R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [AsusTray] C:\Program Files\EeePC\ACPI\AsTray.exe O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Program Files\EeePC\ACPI\AsEPCMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [ETDWare] C:\Program Files\Elantech\ETDCtrl.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Bluetooth.lnk = ? O4 - Global Startup: SuperHybridEngine.lnk = ? O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Send To Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: CSIScanner - Prevx - C:\Program Files\Prevx\prevx.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe -- End of file - 7763 bytes Code:
ATTFilter GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-04-09 11:54:16 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT F7BE017E ZwCreateKey SSDT F7BE0174 ZwCreateThread SSDT F7BE0183 ZwDeleteKey SSDT F7BE018D ZwDeleteValueKey SSDT F7BE0192 ZwLoadKey SSDT F7BE0160 ZwOpenProcess SSDT F7BE0165 ZwOpenThread SSDT F7BE019C ZwReplaceKey SSDT F7BE0197 ZwRestoreKey SSDT F7BE0188 ZwSetValueKey SSDT F7BE016F ZwTerminateProcess ---- User code sections - GMER 1.0.15 ---- .text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[1380] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 5 Bytes JMP 0056DBBD C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation) ---- Files - GMER 1.0.15 ---- File C:\WINDOWS\system32\config\system.LOG (size mismatch) 12288/1024 bytes File C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl (size mismatch) 8192/4096 bytes ---- EOF - GMER 1.0.15 ---- gruesse |
09.04.2009, 19:32 | #10 |
| verdacht auf eine art von TDss trojaner Hi, sieht OK aus... chris & schöne Ostern
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
Themen zu verdacht auf eine art von TDss trojaner |
.com, add-on, adobe, antivir, antivir guard, asus, autorun, avira, bho, bonjour, desktop, eeepc, explorer, firefox, internet, internet explorer, laufwerk c, logfile, mozilla, notebook, ordner, pdf, software, super, system, toolbars, trojane, trojaner, windows, windows xp |