Befall TDSS-X, TDSSPack-L, -K, -O

oederland · 13.06.2009, 19:09

Hier das Ergebnis:

Code:

ATTFilter

ComboFix 09-06-13.01 - Helmut 13.06.2009 19:59.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1014.625 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Helmut\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Sophos Anti-Virus *On-access scanning disabled* (Updated) {3F13C776-3CBE-4DE9-8BF6-09E5183CA2BD}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\uactmp.db
c:\windows\system32\UACvpibvlbtesakkdk.log
c:\windows\system32\UACwruwnswuirqnmup.dat
c:\windows\system32\UACyxkbhicsujtnjrx.db
C:\tj.vbs
c:\windows\system32\_000023_.tmp.dll
c:\windows\system32\_000024_.tmp.dll
c:\windows\system32\_000025_.tmp.dll
c:\windows\system32\_000026_.tmp.dll

----- BITS: Eventuell infizierte Webseiten -----

hxxp://rrznt2n.uni-regensburg.de
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys


(((((((((((((((((((((((   Dateien erstellt von 2009-05-13 bis 2009-06-13  ))))))))))))))))))))))))))))))
.

2009-06-13 16:13 . 2009-06-13 16:13	--------	d-----w-	c:\dokumente und einstellungen\Helmut\Anwendungsdaten\Malwarebytes
2009-06-13 16:13 . 2009-05-26 11:20	40160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-13 16:13 . 2009-06-13 16:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-13 16:13 . 2009-05-26 11:19	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-06-13 15:45 . 2009-06-13 15:45	--------	d-----w-	c:\programme\trend micro
2009-06-13 15:45 . 2009-06-13 15:45	--------	d-----w-	C:\rsit
2009-06-13 13:34 . 2009-06-13 16:13	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-06-13 13:16 . 2009-06-13 13:16	--------	d-----w-	c:\programme\CCleaner
2009-06-13 12:54 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-06-13 12:54 . 2009-03-24 14:08	55640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-06-13 12:54 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-06-13 12:54 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-06-13 12:54 . 2009-06-13 12:54	--------	d-----w-	c:\programme\Avira
2009-06-13 12:54 . 2009-06-13 12:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-05-26 09:32 . 2009-05-26 09:32	--------	d-----w-	c:\programme\GPower 3.0
2009-05-25 18:16 . 2009-05-25 18:16	--------	d-----w-	C:\bd85e4d863ccece3f42812163eb8
2009-05-24 18:45 . 2009-05-24 18:45	--------	d-----w-	C:\d64625eedc0da9ce622a7e182d8a48
2009-05-24 18:45 . 2009-05-24 18:45	--------	d-----w-	C:\aa848d948b894d620da925
2009-05-24 18:38 . 2009-05-25 18:26	--------	d--h--w-	c:\windows\$hf_mig$

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-13 14:28 . 2005-06-22 13:45	--------	d-----w-	c:\programme\Filzip
2009-06-13 14:27 . 2009-02-08 13:01	--------	d-----w-	c:\programme\Google
2009-06-13 14:00 . 2005-06-22 13:29	--------	d-----w-	c:\programme\Java
2009-06-13 11:19 . 2009-02-05 15:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-06-13 11:19 . 2009-02-05 15:17	--------	d-----w-	c:\programme\NOS
2009-06-13 11:11 . 2007-11-12 13:26	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-06-07 14:35 . 2008-10-06 08:28	--------	d-----w-	c:\programme\Paint Shop Pro 7
2009-06-02 17:02 . 2008-10-28 14:00	190	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\prsgrc.dll
2009-05-26 09:27 . 2008-10-07 10:22	29232	----a-w-	c:\dokumente und einstellungen\Helmut\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-25 18:21 . 2005-06-22 12:43	81842	----a-w-	c:\windows\system32\perfc007.dat
2009-05-25 18:21 . 2005-06-22 12:43	452038	----a-w-	c:\windows\system32\perfh007.dat
2009-05-12 16:19 . 2009-04-06 17:02	130104	----a-w-	c:\windows\system32\sdccoinstaller.dll
2009-05-12 16:19 . 2009-04-06 17:02	23552	----a-w-	c:\windows\system32\sophosboottasks.exe
2009-06-11 10:39 . 2006-02-02 12:25	67688	----a-w-	c:\programme\mozilla firefox\components\jar50.dll
2009-06-11 10:39 . 2006-02-02 12:25	54368	----a-w-	c:\programme\mozilla firefox\components\jsd3250.dll
2009-06-11 10:39 . 2007-11-12 11:42	34944	----a-w-	c:\programme\mozilla firefox\components\myspell.dll
2009-06-11 10:39 . 2007-11-12 11:42	46712	----a-w-	c:\programme\mozilla firefox\components\spellchk.dll
2009-06-11 10:39 . 2006-02-02 12:25	172136	----a-w-	c:\programme\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DVDLauncher"="c:\programme\CyberLink\PowerDVD\DVDLauncher.exe" [2004-07-07 53248]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-07-21 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-07-21 86016]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-07-21 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 49263]
"NWTRAY"="NWTRAY.EXE" - c:\windows\system32\nwtray.exe [2002-03-12 28672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"TSClientMSIUninstaller"="c:\windows\Installer\TSClientMsiTrans\tscuinst.vbs" [2006-11-07 12451]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
AutoUpdate Monitor.lnk - c:\programme\Sophos\AutoUpdate\ALMon.exe [2009-2-27 245760]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 nwv1_0 wvauth

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Novell\\GroupWise\\grpwise.exe"=
"c:\\Novell\\GroupWise\\notify.exe"=
"c:\\Programme\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE"=
"c:\\Programme\\SPSS-16.0\\spss.exe"=
"c:\\Programme\\SPSS-16.0\\SPSSWinWrapIDE.exe"=
"c:\\Programme\\SPSS-16.0\\spss.com"=
"c:\\Programme\\TYPO3_4.2.3\\Apache\\bin\\Apache.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"524:TCP"= 524:TCP:*:Disabled:ncp-tcp
"524:UDP"= 524:UDP:*:Disabled:ncp-udp

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 SAVOnAccessControl;SAVOnAccessControl;c:\windows\system32\drivers\savonaccesscontrol.sys [08.01.2007 09:47 110848]
R1 SAVOnAccessFilter;SAVOnAccessFilter;c:\windows\system32\drivers\savonaccessfilter.sys [08.01.2007 09:48 38528]
R2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [13.10.2008 11:52 99840]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [13.06.2009 14:54 108289]
R2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe [28.05.2009 13:31 80936]
R2 SAVService;Sophos Anti-Virus;c:\programme\Sophos\Sophos Anti-Virus\SavService.exe [02.10.2008 18:30 98304]
R3 PortDRv;PST Port I/O Driver;c:\windows\system32\drivers\PortDRv.sys [06.12.2008 17:00 7168]
R3 SRBoxDRv;PST Serial Response Box Driver;c:\windows\system32\drivers\SRBoxDRv.sys [06.12.2008 17:00 11776]
S3 Ndisprot;ArcNet NDIS Protocol Driver;c:\windows\system32\drivers\ndisprot.sys [02.12.2008 17:18 27904]
.
Inhalt des "geplante Tasks" Ordners

2009-06-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ncbi.nlm.nih.gov/pubmed/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
FF - ProfilePath - 
.
.
------- Dateityp-Verknüpfung -------
.
vbsfile\shell\edit\command=%SystemRoot%\System32\Notepad.exe %1
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-13 20:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(540)
c:\windows\system32\wvauth.dll
c:\windows\system32\biolsp.dll

- - - - - - - > 'Explorer.exe'(3884)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Wave Systems Corp\common\DataServer.exe
c:\programme\Wave Systems Corp\common\DataServer.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\HPZipm12.exe
c:\programme\Sophos\AutoUpdate\ALsvc.exe
c:\programme\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe
c:\windows\system32\CF9580.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-13 20:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-06-13 18:06

Vor Suchlauf: 18 Verzeichnis(se), 56.981.794.816 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 57.226.145.792 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

194	--- E O F ---	2009-06-13 11:53

Übrigens, falls das wichtig ist, das folgende von Dir vorgeschlagene hatte ich noch NICHT gemacht!

Zitat:

Zitat von john.doe

Ja. Steht - glaub ich - auch so in der Anleitung, sogar mit Bildern.

ciao, andreas

p.s.:
1.) Da ComboFix nicht will, nochmal mit Avenger:

Code:

ATTFilter

Drivers to delete:
ACEDRV06

Folders to delete:
C:\Config.Msi
C:\rsit

Files to delete:
C:\WINDOWS\system32\SETC3.tmp
C:\WINDOWS\system32\SETC2.tmp
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job

...

john.doe · 13.06.2009, 19:13

Zitat:

Übrigens, falls das wichtig ist, das folgende von Dir vorgeschlagene hatte ich noch NICHT gemacht!

Brauchst du nicht mehr. Den Job hat Malwarebytes erledigt, das vbs-Skript ComboFix, die Reste lösche ich dir mit ComboFix weg. Brauche jetzt etwas Zeit für das Script.

Für ein Antivirenprogramm musst du dich entscheiden, das andere deinstallieren. Mir wäre es lieber, wenn Avira bleibt, ist aber deine Entscheidung.

ciao, andreas

oederland · 13.06.2009, 19:15

OK, ich muss jetzt hier leider aber weg, nach Hause... ab morgen Mittag bin ich dann wieder da. Schon mal vielen vielen Dank!

john.doe · 13.06.2009, 21:38

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
ACEDRV06

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=-
"Persistence"=-
"NeroFilterCheck"=-
"QuickTime Task"=-
"SunJavaUpdateSched"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"TSClientMSIUninstaller"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=-

Folder::
C:\Config.Msi
C:\rsit
C:\bd85e4d863ccece3f42812163eb8
C:\d64625eedc0da9ce622a7e182d8a48
C:\aa848d948b894d620da925
c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
c:\programme\NOS

File::
c:\windows\system32\perfh007.dat
c:\windows\system32\perfc007.dat
C:\WINDOWS\system32\SETC3.tmp
C:\WINDOWS\system32\SETC2.tmp
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

oederland · 14.06.2009, 13:37

Hallo Andreas, bin leider erst etwas später zurückgekommen als gedacht, für den Fall, dass Du in der Zeit gewartet hast. Hier das Ergebnis:

Code:

ATTFilter

ComboFix 09-06-13.09 - Helmut 14.06.2009 14:26.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1014.595 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Helmut\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Helmut\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\perfc007.dat"
"c:\windows\system32\perfh007.dat"
"c:\windows\system32\SETC2.tmp"
"c:\windows\system32\SETC3.tmp"
"c:\windows\tasks\AppleSoftwareUpdate.job"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\aa848d948b894d620da925
C:\bd85e4d863ccece3f42812163eb8
C:\Config.Msi
C:\d64625eedc0da9ce622a7e182d8a48
c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
c:\programme\NOS
C:\rsit
c:\aa848d948b894d620da925\$shtdwn$.req
c:\aa848d948b894d620da925\dotnetfx20\aspnet.msp
c:\aa848d948b894d620da925\dotnetfx20\clr.msp
c:\aa848d948b894d620da925\dotnetfx20\crt.msp
c:\aa848d948b894d620da925\dotnetfx20\dw.msp
c:\aa848d948b894d620da925\dotnetfx20\netfx_ca.msp
c:\aa848d948b894d620da925\dotnetfx20\netfx_core.msp
c:\aa848d948b894d620da925\dotnetfx20\netfx_other.msp
c:\aa848d948b894d620da925\dotnetfx20\netfx20a_x86.msi
c:\aa848d948b894d620da925\dotnetfx20\prexp.msp
c:\aa848d948b894d620da925\dotnetfx20\winforms.msp
c:\aa848d948b894d620da925\dotnetfx30\netfx30a_x86.msi
c:\aa848d948b894d620da925\dotnetfx30\rgb9rast_x86.msi
c:\aa848d948b894d620da925\dotnetfx30\wcf.msp
c:\aa848d948b894d620da925\dotnetfx30\wcs.msp
c:\aa848d948b894d620da925\dotnetfx30\wf.msp
c:\aa848d948b894d620da925\dotnetfx30\wf_32.msp
c:\aa848d948b894d620da925\dotnetfx30\wic_x86_enu.exe
c:\aa848d948b894d620da925\dotnetfx30\wpf_other.msp
c:\aa848d948b894d620da925\dotnetfx30\wpf_other_32.msp
c:\aa848d948b894d620da925\dotnetfx30\wpf1.msp
c:\aa848d948b894d620da925\dotnetfx30\wpf2.msp
c:\aa848d948b894d620da925\dotnetfx30\wpf2_32.msp
c:\aa848d948b894d620da925\dotnetfx30\x86\msxml6.msi
c:\aa848d948b894d620da925\dotnetfx30\xps.msp
c:\aa848d948b894d620da925\dotnetfx30\xpsepsc-x86-en-us.exe
c:\aa848d948b894d620da925\dotnetfx35\x86\netfx35_x86.exe
c:\aa848d948b894d620da925\dotnetfx35setup.exe
c:\aa848d948b894d620da925\tools\clwireg.exe
c:\bd85e4d863ccece3f42812163eb8\amd64\filterpipelineprintproc.dll
c:\bd85e4d863ccece3f42812163eb8\amd64\msxpsdrv.cat
c:\bd85e4d863ccece3f42812163eb8\amd64\msxpsdrv.inf
c:\bd85e4d863ccece3f42812163eb8\amd64\msxpsinc.gpd
c:\bd85e4d863ccece3f42812163eb8\amd64\msxpsinc.ppd
c:\bd85e4d863ccece3f42812163eb8\amd64\mxdwdrv.dll
c:\bd85e4d863ccece3f42812163eb8\amd64\xpssvcs.dll
c:\bd85e4d863ccece3f42812163eb8\i386\filterpipelineprintproc.dll
c:\bd85e4d863ccece3f42812163eb8\i386\msxpsdrv.cat
c:\bd85e4d863ccece3f42812163eb8\i386\msxpsdrv.inf
c:\bd85e4d863ccece3f42812163eb8\i386\msxpsinc.gpd
c:\bd85e4d863ccece3f42812163eb8\i386\msxpsinc.ppd
c:\bd85e4d863ccece3f42812163eb8\i386\mxdwdrv.dll
c:\bd85e4d863ccece3f42812163eb8\i386\xpssvcs.dll
c:\d64625eedc0da9ce622a7e182d8a48\baseline.dat
c:\d64625eedc0da9ce622a7e182d8a48\deffactory.dat
c:\d64625eedc0da9ce622a7e182d8a48\DeleteTemp.exe
c:\d64625eedc0da9ce622a7e182d8a48\dlmgr.dll
c:\d64625eedc0da9ce622a7e182d8a48\DW20.EXE
c:\d64625eedc0da9ce622a7e182d8a48\DWINTL20.DLL
c:\d64625eedc0da9ce622a7e182d8a48\eula.1025.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1028.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1029.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1030.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1031.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1032.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1033.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1035.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1036.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1037.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1038.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1040.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1041.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1042.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1043.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1044.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1045.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1046.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1049.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1053.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.1055.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.2052.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.2070.rtf
c:\d64625eedc0da9ce622a7e182d8a48\eula.3082.rtf
c:\d64625eedc0da9ce622a7e182d8a48\gencomp.dll
c:\d64625eedc0da9ce622a7e182d8a48\HtmlLite.dll
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1025.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1028.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1029.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1030.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1031.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1032.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1035.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1036.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1037.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1038.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1040.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1041.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1042.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1043.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1044.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1045.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1046.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1049.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1053.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.1055.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.2052.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.2070.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.3082.ini
c:\d64625eedc0da9ce622a7e182d8a48\locdata.ini
c:\d64625eedc0da9ce622a7e182d8a48\logo.bmp
c:\d64625eedc0da9ce622a7e182d8a48\setup.exe
c:\d64625eedc0da9ce622a7e182d8a48\setup.sdb
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1025.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1028.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1029.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1030.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1031.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1032.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1035.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1036.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1037.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1038.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1040.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1041.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1042.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1043.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1044.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1045.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1046.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1049.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1053.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.1055.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.2052.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.2070.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.3082.dll
c:\d64625eedc0da9ce622a7e182d8a48\setupres.dll
c:\d64625eedc0da9ce622a7e182d8a48\SITSetup.dll
c:\d64625eedc0da9ce622a7e182d8a48\vs_setup.dll
c:\d64625eedc0da9ce622a7e182d8a48\vs_setup.MS_
c:\d64625eedc0da9ce622a7e182d8a48\vs_setup.pdi
c:\d64625eedc0da9ce622a7e182d8a48\vs70uimgr.dll
c:\d64625eedc0da9ce622a7e182d8a48\vsbasereqs.dll
c:\d64625eedc0da9ce622a7e182d8a48\vsscenario.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1025.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1028.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1029.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1030.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1031.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1032.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1035.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1036.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1037.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1038.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1040.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1041.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1042.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1043.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1044.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1045.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1046.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1049.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1053.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.1055.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.2052.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.2070.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.3082.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapRes.dll
c:\d64625eedc0da9ce622a7e182d8a48\WapUI.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS\Adobe_Downloads\GoogleToolbarInstaller_de_401601_signed.exe
c:\rsit\info.txt
c:\rsit\log.txt
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\system32\SETC2.tmp
c:\windows\system32\SETC3.tmp
c:\windows\tasks\AppleSoftwareUpdate.job

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ACEDRV06
-------\Service_ACEDRV06


(((((((((((((((((((((((   Dateien erstellt von 2009-05-14 bis 2009-06-14  ))))))))))))))))))))))))))))))
.

2009-06-13 16:13 . 2009-06-13 16:13	--------	d-----w-	c:\dokumente und einstellungen\Helmut\Anwendungsdaten\Malwarebytes
2009-06-13 16:13 . 2009-05-26 11:20	40160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-13 16:13 . 2009-06-13 16:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-13 16:13 . 2009-05-26 11:19	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-06-13 15:45 . 2009-06-13 15:45	--------	d-----w-	c:\programme\trend micro
2009-06-13 13:34 . 2009-06-13 16:13	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-06-13 13:16 . 2009-06-13 13:16	--------	d-----w-	c:\programme\CCleaner
2009-06-13 12:54 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-06-13 12:54 . 2009-03-24 14:08	55640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-06-13 12:54 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-06-13 12:54 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-06-13 12:54 . 2009-06-13 12:54	--------	d-----w-	c:\programme\Avira
2009-06-13 12:54 . 2009-06-13 12:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-05-26 09:32 . 2009-05-26 09:32	--------	d-----w-	c:\programme\GPower 3.0
2009-05-24 18:38 . 2009-05-25 18:26	--------	d--h--w-	c:\windows\$hf_mig$

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-14 12:21 . 2007-01-08 07:47	--------	d-----w-	c:\programme\Sophos
2009-06-13 14:28 . 2005-06-22 13:45	--------	d-----w-	c:\programme\Filzip
2009-06-13 14:27 . 2009-02-08 13:01	--------	d-----w-	c:\programme\Google
2009-06-13 14:00 . 2005-06-22 13:29	--------	d-----w-	c:\programme\Java
2009-06-13 11:11 . 2007-11-12 13:26	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-06-07 14:35 . 2008-10-06 08:28	--------	d-----w-	c:\programme\Paint Shop Pro 7
2009-06-02 17:02 . 2008-10-28 14:00	190	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\prsgrc.dll
2009-05-26 09:27 . 2008-10-07 10:22	29232	----a-w-	c:\dokumente und einstellungen\Helmut\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-11 10:39 . 2006-02-02 12:25	67688	----a-w-	c:\programme\mozilla firefox\components\jar50.dll
2009-06-11 10:39 . 2006-02-02 12:25	54368	----a-w-	c:\programme\mozilla firefox\components\jsd3250.dll
2009-06-11 10:39 . 2007-11-12 11:42	34944	----a-w-	c:\programme\mozilla firefox\components\myspell.dll
2009-06-11 10:39 . 2007-11-12 11:42	46712	----a-w-	c:\programme\mozilla firefox\components\spellchk.dll
2009-06-11 10:39 . 2006-02-02 12:25	172136	----a-w-	c:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-06-13_18.04.11   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-06-14 12:25 . 2009-06-14 12:25	401408              c:\windows\system32\CF29986.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DVDLauncher"="c:\programme\CyberLink\PowerDVD\DVDLauncher.exe" [2004-07-07 53248]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-07-21 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NWTRAY"="NWTRAY.EXE" - c:\windows\system32\nwtray.exe [2002-03-12 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 nwv1_0 wvauth

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Novell\\GroupWise\\grpwise.exe"=
"c:\\Novell\\GroupWise\\notify.exe"=
"c:\\Programme\\Microsoft Office\\OFFICE11\\OUTLOOK.EXE"=
"c:\\Programme\\SPSS-16.0\\spss.exe"=
"c:\\Programme\\SPSS-16.0\\SPSSWinWrapIDE.exe"=
"c:\\Programme\\SPSS-16.0\\spss.com"=
"c:\\Programme\\TYPO3_4.2.3\\Apache\\bin\\Apache.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"524:TCP"= 524:TCP:*:Disabled:ncp-tcp
"524:UDP"= 524:UDP:*:Disabled:ncp-udp

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [13.06.2009 14:54 108289]
R3 PortDRv;PST Port I/O Driver;c:\windows\system32\drivers\PortDRv.sys [06.12.2008 17:00 7168]
R3 SRBoxDRv;PST Serial Response Box Driver;c:\windows\system32\drivers\SRBoxDRv.sys [06.12.2008 17:00 11776]
S3 Ndisprot;ArcNet NDIS Protocol Driver;c:\windows\system32\drivers\ndisprot.sys [02.12.2008 17:18 27904]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ncbi.nlm.nih.gov/pubmed/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
FF - ProfilePath - 
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-14 14:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(520)
c:\windows\system32\wvauth.dll
c:\windows\system32\biolsp.dll

- - - - - - - > 'Explorer.exe'(3584)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Wave Systems Corp\common\DataServer.exe
c:\programme\Wave Systems Corp\common\DataServer.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\HPZipm12.exe
c:\programme\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\CF29986.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-14 14:34 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-06-14 12:34
ComboFix2.txt  2009-06-13 18:06

Vor Suchlauf: 18 Verzeichnis(se), 58.532.560.896 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 58.492.530.688 Bytes frei

318	--- E O F ---	2009-06-13 11:53

john.doe · 14.06.2009, 14:11

Gibt es eine Besserung?

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

oederland · 14.06.2009, 14:25

Ich denke schon. Adobe Reader funktioniert nach Neuinstallation ganz normal (das war ja der Auslöser, dass ich den Virus/Trojaner/was auch immer gemerkt habe). <- das muss dieses TDSS-X gewesen sein, den ich mir gestern Mittag eingefangen haben muss bzw. der sich da aktiviert hat.

Wenn ich z.B. auf google nach was suche und dann auf die Links klicke, lande ich nicht mehr auf irgendwelchen anderen Seiten (ebay etc.), was vorher so in vielleicht 10% der Fälle passiert ist, sowohl beim Internet Explorer als auch beim Firefox. <- das hatte ich schon länger, vielleicht drei Monate, aber es hat mich weiter nie wirklich gestört.

Bis jetzt schauts also soweit schon gut aus :aplaus:

Für Kaspersky installiere ich gerade denn Internet Explorer, meld mich dann wieder.

oederland · 14.06.2009, 14:50

Wenn ich auf den Link zu "Kaspersky Online-Scanner" klicke, öffnet sich ein Fenster "Willkommen beim Online-Scanner von Kaspersky Lab! usw.". Ich klicke auf akzeptieren. Im Fenster erscheint jetzt "Initialisierung des Kaspersky Online Scanners", der blaue Balken darin wandert von rechts nach links und rechts... Eine Sicherheitsmeldung, oben eingeblendet "Diese Webseite möchte das folgende Add-On installieren: "Kaspersky Online Scanner" von "Kaspersky Lab" usw." Unten im Fenster selber "Klicken Sie hier, um das folgende ActiveX-Steuerelement zu installieren usw." Egal ob ich oben oder unten draufklicke, komme ich dann wieder zurück auf "Willkommen beim Online-Scanner von Kaspersky Lab! usw." Allerdings ohne Button unten, wo ich akzeptieren bzw. ablehnen auswählen kann.

oederland · 14.06.2009, 14:54

OK, das wäre gelöst über Änderung der Einstellungen in der Systemsteuerung bzgl. ActiveX. Kaspersky lädt jetzt irgendein Zeugs runter...

john.doe · 14.06.2009, 15:08

Das sind die Virendefinitionen und das dauert.

ciao, andreas

oederland · 14.06.2009, 16:15

Der Kaspersky ist durchgelaufen. Allerings kam kein Button, wo man ein Protokol oder überhaupt irgendwas hätte speichern können? Während er durchgelaufen ist, hat er aber 0 verdächtige Dateien gefunden.

oederland · 14.06.2009, 16:24

Übrigens habe ich einen Ordner "Qoobox" auf Laufwerk C:, darinnen ein Ordnerverzeichnis Quarantine\C\ und da dann die Ordner aa848d..., bd85e4..., d64625... usw., also offenbar alle Dateien, die Du in das Skript reingeschrieben hattest?

john.doe · 14.06.2009, 16:30

Den löschen wir doch gleichmal, nicht das du damit Unfug treibst.

Start => Ausführen => combofix /u => OK

1.) CureIT Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

3.) Überprüfe den Rechner mit PrevXCSI. Sollte es Funde geben, erstelle Screenshots, lade sie bei einem Imagehoster hoch (z.B. pic.leech.it) und poste hier die Links.

ciao, andreas

oederland · 14.06.2009, 19:04

1) Das mit combofix erledigt.

2) Das mit CureIT Dr. Web hab ich zwar gemacht (Schnellscan und danach intensiver Sacn), aber das ist wohl doch nicht idiotensicher. Jedenfalls konnte ich keine Bericht- oder Logliste speichern, da war die Schrift so hellgrau unterlegt, also eben inaktiv. Unabhängig davon sind 185170 Objekte überprüft worden, davon 0 Infizierte, 0 Modifizierte, 0 Verdächtige usw., also überall 0. Bei Aktionen auch überall 0.

3) Jetzt lass ich grade den Panda laufen, er hat bis jetzt ca. 35000 Dateien gescannt, davon meldet er schonmal 7 als infizierte Dateien. Aufgrund der angegebenen Pfadnamen müsste es sich bei mindestens 5 davon um pdf-Dateien handeln. Mir ist an denen noch nichts aufgefallen, hab sie schon ne ganze Weile. Vielleicht Fehlalarm. Naja, das wird jetzt noch ne Weile dauern...

john.doe · 14.06.2009, 19:06

Naja, ich will mal nicht so sein, 5 Minuten warte ich ausnahmsweise noch.

ciao, andreas

Befall TDSS-X, TDSSPack-L, -K, -O

Plagegeister aller Art und deren Bekämpfung: Befall TDSS-X, TDSSPack-L, -K, -O