win32.tdss.rtk eingefangen

Tabea · 07.07.2009, 17:41

Hallo

anscheinend hab ich mir auch dieses win32.tdss.rtk eingefangen. Spybot meldet den immer wieder. Malwarebytes hingegen nicht grummel.

Ich habe GMER laufen lassen und meldet das er skynet gefunden hat.

Ich habe danach die mbr laufen lassen wie von Euch beschrieben das log sieht aber immer noch so aus

Code:

ATTFilter

tealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR 
kernel: MBR read successfully

Bekomme das irgendwie nicht hin. herje wo sind die netten Männer die mir helfen?

Nachtrag:
Obwohl ich die Option "versteckte Dateien anzeigen" angeklickt habe, sehe ich nicht im windows Verzeichnis von diesen skynet Dateien.

john.doe · 07.07.2009, 17:51

Hallo und

Zitat:

Obwohl ich die Option "versteckte Dateien anzeigen" angeklickt habe, sehe ich nicht im windows Verzeichnis von diesen skynet Dateien.

Das sind Rootkits, die sind nicht sichtbar. Du brauchst ein spezielles Programm, um Rootkits anzeigen zu können.

Zitat:

Ich habe danach die mbr laufen lassen

Versuche es im abgesicherten Modus oder deaktiviere den Wächter deines Antivirenprogrammes. Warum kontrollierst du den MBR? Möchtest du Neuaufsetzen? Das ist die schnellste und sicherste Lösung bei dem fiesen Teil.

Solltest du eine Säuberung vorziehen, dann fange damit an:

1.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

2.) Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt hier in den Thread.

ciao, andreas

Tabea · 07.07.2009, 18:02

werde ich gleich mal machen.
Ich habe nur den thread durchgelesen deshalb das mit mbr.

Hier mal ein Bild von prev

Tabea · 07.07.2009, 18:43

So habe combofix nach Anweisung laufen lassen.
Es hat während der Anzeige die Meldungen rausgerbracht dass es die entsprechenden Dateien gelöscht hat.

RSIT kann ich zwar starten bricht aber mit der Meldung:

Code:

ATTFilter

Line-1 Error: Variable used without declared

ab.

Der log von combofix:

Code:

ATTFilter

mboFix 09-07-06.A0 - Tabbi 07.07.2009 19:23.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Tabbi\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1527924303-1878343274-3240998404-1000
C:\cleanup.exe
c:\windows\Installer\1315b.msi
c:\windows\Installer\2ac23.msi
c:\windows\Installer\5f237.msi
c:\windows\Installer\WMEncoder.msi
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\drivers\SKYNETyxddxuhg.sys
c:\windows\system32\Drivers\tqqpjj.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SKYNETapqjwxrs.dat
c:\windows\system32\SKYNETbxjgeles.dat
c:\windows\system32\SKYNETidtipobr.dll
c:\windows\system32\SKYNETkbefndot.dll
c:\windows\system32\SKYNETxtcorvju.dll
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SKYNETmpktadba


(((((((((((((((((((((((   Dateien erstellt von 2009-06-07 bis 2009-07-07  ))))))))))))))))))))))))))))))
.

2009-07-07 16:44 . 2009-07-07 16:44	--------	d-----w-	c:\programme\FileASSASSIN
2009-07-07 16:07 . 2009-07-07 16:07	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-07-07 16:07 . 2009-06-17 09:27	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-07 16:07 . 2009-06-17 09:27	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-07 16:01 . 2009-07-07 16:01	--------	d-----w-	c:\programme\Trend Micro
2009-07-04 12:19 . 2009-05-06 12:23	372736	----a-w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
2009-07-04 12:19 . 2008-09-03 08:56	151552	----a-w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\NativeComponent.dll
2009-07-04 12:19 . 2007-10-25 22:12	55296	----a-w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\FFMpegBridge.dll
2009-07-04 12:19 . 2007-09-05 22:18	798720	----a-w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\ImageMagicResize.dll
2009-07-04 12:19 . 2007-01-29 22:59	7165440	----a-w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\avcodec-51.dll
2009-07-04 12:19 . 2007-01-29 22:59	490496	----a-w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\avformat-51.dll
2009-07-04 12:19 . 2007-01-29 22:59	142848	----a-w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\swscale-0.dll
2009-07-04 12:19 . 2007-01-29 22:59	19968	----a-w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\avutil-49.dll
2009-07-04 12:19 . 2006-12-16 17:24	53248	----a-w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\2kPrerequisite.dll
2009-07-04 12:19 . 2006-11-14 17:00	258048	----a-w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\SDL.dll
2009-07-04 12:19 . 2003-02-21 01:42	348160	----a-w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\msvcr71.dll
2009-07-04 11:01 . 2009-07-04 11:01	--------	d-----w-	c:\dokumente und einstellungen\Tabbi\Lokale Einstellungen\Anwendungsdaten\Activision
2009-07-04 10:47 . 2009-07-04 10:47	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2009-07-04 10:44 . 2009-07-04 10:44	--------	d-----w-	C:\Games
2009-07-02 18:55 . 2009-07-02 18:55	41808	----a-w-	c:\windows\system32\xfcodec.dll
2009-06-18 17:53 . 2009-06-18 17:53	971552	----a-w-	c:\windows\system32\drivers\tdrpm174.sys
2009-06-18 17:53 . 2009-06-18 17:53	540000	----a-w-	c:\windows\system32\drivers\timntr.sys
2009-06-18 17:53 . 2009-06-18 17:53	44704	----a-w-	c:\windows\system32\drivers\tifsfilt.sys
2009-06-18 17:53 . 2009-06-18 17:53	134272	----a-w-	c:\windows\system32\drivers\snman380.sys
2009-06-18 17:52 . 2009-06-18 17:52	--------	d-----w-	c:\programme\Acronis
2009-06-18 17:52 . 2009-06-18 17:52	--------	d-----w-	c:\programme\Gemeinsame Dateien\Acronis
2009-06-16 16:59 . 2009-06-16 16:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\wondertouch
2009-06-16 16:20 . 2009-06-16 16:20	--------	d-----w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Apple Computer
2009-06-16 16:19 . 2009-06-16 16:19	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-06-16 16:19 . 2009-06-16 16:19	--------	d-----w-	c:\programme\Apple Software Update
2009-06-16 16:19 . 2009-06-16 16:19	--------	d-----w-	c:\dokumente und einstellungen\Tabbi\Lokale Einstellungen\Anwendungsdaten\Apple
2009-06-16 16:19 . 2009-06-16 16:19	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-06-16 16:19 . 2009-06-16 16:19	--------	d-----w-	c:\dokumente und einstellungen\Tabbi\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2009-06-16 15:50 . 2009-06-16 15:50	75	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_F2004B65C1764F9489C47C06EF83605B.dll
2009-06-16 15:50 . 2009-06-16 15:50	170	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_D64F86DB28A84664E8868FC755DBFE4D.dll
2009-06-16 15:50 . 2009-06-16 15:50	1175	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_6F9E66FF7E38E3A3FA41D89E8A906A4A.dll
2009-06-13 17:25 . 2009-06-13 17:27	6853096	----a-w-	C:\SpyHunter-Compact-OS.exe
2009-06-13 17:25 . 2009-06-13 17:25	--------	d-----w-	c:\programme\Enigma Software Group
2009-06-13 17:04 . 2009-06-13 17:15	--------	d-----w-	c:\programme\Security Task Manager
2009-06-12 07:43 . 2009-06-12 07:43	--------	d-----w-	c:\programme\Microsoft.NET
2009-06-12 07:43 . 2009-06-12 07:43	--------	d-----w-	c:\programme\MSXML 6.0
2009-06-12 07:41 . 2009-06-14 07:56	--------	d-----w-	c:\programme\Microsoft SQL Server
2009-06-12 07:41 . 2009-06-12 07:41	--------	d-----w-	c:\programme\Sony Setup
2009-06-10 21:09 . 2009-06-12 21:41	107208	----a-w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-06-10 21:04 . 2009-06-10 21:04	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-06-10 21:04 . 2009-06-10 21:08	--------	d-----w-	c:\dokumente und einstellungen\Tabbi\Lokale Einstellungen\Anwendungsdaten\Google
2009-06-10 21:04 . 2009-06-10 21:08	--------	d-----w-	c:\programme\Google
2009-06-10 21:04 . 2009-06-10 21:04	--------	d-----w-	c:\programme\Gemeinsame Dateien\DivX Shared
2009-06-10 10:42 . 2009-06-16 17:11	--------	d-----w-	c:\programme\particleIllusion_3
2009-06-10 10:42 . 2009-06-10 10:42	--------	d-----w-	c:\programme\particleView 3.2
2009-06-10 10:30 . 2009-06-10 10:35	--------	d-----w-	C:\update_cache
2009-06-10 10:29 . 2001-12-31 22:01	--------	d-----w-	c:\programme\megui
2009-06-10 10:26 . 2009-06-10 10:26	--------	d-----w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Desktopicon
2009-06-10 10:26 . 2009-06-10 10:26	--------	d-----w-	c:\programme\FormatFactory
2009-06-10 09:50 . 2009-06-10 09:50	--------	d-----w-	c:\windows\system32\windows media
2009-06-10 09:50 . 2009-06-10 09:50	--------	d-----w-	c:\programme\Windows Media Components
2009-06-10 05:34 . 2009-06-10 05:34	--------	d-----w-	c:\programme\VirtualDub-1.8.8

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-07 17:05 . 2008-03-13 17:55	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-07 16:55 . 2009-04-05 09:05	117760	----a-w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-07-07 16:55 . 2008-01-18 17:25	--------	d-----w-	c:\programme\Xfire
2009-07-07 16:19 . 2008-01-18 17:25	--------	d-----w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Xfire
2009-07-06 16:39 . 2008-01-18 17:10	189800	----a-w-	c:\windows\system32\PnkBstrB.exe
2009-07-06 16:01 . 2008-01-18 17:11	138608	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2009-07-06 15:48 . 2008-01-24 19:59	--------	d-----w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\teamspeak2
2009-07-06 15:42 . 2007-07-27 12:00	97990	----a-w-	c:\windows\system32\perfc007.dat
2009-07-06 15:42 . 2007-07-27 12:00	495508	----a-w-	c:\windows\system32\perfh007.dat
2009-06-24 09:04 . 2008-08-24 06:19	--------	d-----w-	c:\programme\SUPERAntiSpyware
2009-06-21 20:12 . 2009-06-06 12:23	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-06-19 21:01 . 2008-01-18 15:55	20040	----a-w-	c:\dokumente und einstellungen\Tabbi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-19 20:55 . 2008-04-05 08:05	737280	----a-w-	c:\windows\iun6002.exe
2009-06-18 15:01 . 2008-01-18 16:11	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-06-18 14:14 . 2009-03-17 14:02	--------	d-----w-	c:\programme\NCalc5
2009-06-16 16:19 . 2008-06-14 23:58	--------	d-----w-	c:\programme\QuickTime
2009-06-16 15:51 . 2009-06-13 17:05	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-06-13 16:47 . 2008-02-16 07:01	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-06-12 14:08 . 2009-06-06 14:23	--------	d-----w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Sony
2009-06-12 07:45 . 2009-06-06 13:27	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony
2009-06-10 21:04 . 2008-08-27 16:14	--------	d-----w-	c:\programme\DivX
2009-06-10 11:36 . 2009-06-06 13:27	--------	d-----w-	c:\programme\Sony
2009-06-06 14:23 . 2009-06-06 14:23	--------	d-----w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Publish Providers
2009-06-06 13:27 . 2009-06-06 13:27	--------	d-----w-	c:\programme\Vstplugins
2009-05-17 07:35 . 2009-05-17 07:24	--------	d-----w-	c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\vlc
2009-05-09 11:24 . 2009-05-09 11:24	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\CaptainSim
2009-05-07 15:32 . 2007-07-27 12:00	348160	----a-w-	c:\windows\system32\localspl.dll
2009-05-01 21:02 . 2009-05-01 21:02	90112	----a-w-	c:\windows\system32\dpl100.dll
2009-05-01 21:02 . 2009-05-01 21:02	823296	----a-w-	c:\windows\system32\divx_xx0c.dll
2009-05-01 21:02 . 2009-05-01 21:02	823296	----a-w-	c:\windows\system32\divx_xx07.dll
2009-05-01 21:02 . 2009-05-01 21:02	815104	----a-w-	c:\windows\system32\divx_xx0a.dll
2009-05-01 21:02 . 2009-05-01 21:02	811008	----a-w-	c:\windows\system32\divx_xx16.dll
2009-05-01 21:02 . 2009-05-01 21:02	802816	----a-w-	c:\windows\system32\divx_xx11.dll
2009-05-01 21:02 . 2009-05-01 21:02	685056	----a-w-	c:\windows\system32\DivX.dll
2009-04-27 17:24 . 2009-03-19 17:25	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-04-27 17:24 . 2009-03-19 17:25	55640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-04-25 06:26 . 2009-04-04 17:18	286720	----a-w-	c:\windows\iun506.exe
2009-04-19 19:46 . 2007-07-27 12:00	1847296	----a-w-	c:\windows\system32\win32k.sys
2009-04-15 14:51 . 2007-07-27 12:00	585216	----a-w-	c:\windows\system32\rpcrt4.dll
2009-04-13 15:40 . 2008-01-18 16:36	664	----a-w-	c:\windows\system32\d3d9caps.dat
2009-04-13 10:22 . 2009-04-13 10:22	0	----a-w-	c:\windows\ativpsrm.bin
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
2008-02-17 13:50 . 2008-02-17 13:50	119	--sh--w-	c:\windows\cnerolf.dat
2006-05-03 09:06 . 2008-11-22 10:29	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2008-11-22 10:29	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2008-11-22 10:29	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

Tabea · 07.07.2009, 18:44

Teil2

Code:

ATTFilter

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-11-18 11:58	333192	----a-w-	c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-06-24 1830128]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"SpybotSnD"="c:\programme\Spybot - Search & Destroy\SpybotSD.exe" [2009-01-26 5365592]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13684736]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 86016]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-11-21 4352832]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-11-21 960528]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2008-11-21 165144]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-09-24 16859648]
"CTxfiHlp"="CTXFIHLP.EXE" - c:\windows\system32\Ctxfihlp.exe [2008-07-11 19968]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-03-27 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2008-6-15 295606]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-01-02 09:10	356352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0OODBS

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Tabbi^Startmenü^Programme^Autostart^Secunia PSI (RC3).lnk]
path=c:\dokumente und einstellungen\Tabbi\Startmenü\Programme\Autostart\Secunia PSI (RC3).lnk
backup=c:\windows\pss\Secunia PSI (RC3).lnkStartup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"nHancer"="c:\programme\nHancer\nHancer.exe" /tray

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"OODefragTray"=c:\windows\system32\oodtray.exe
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" -lang 1033

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Xfire\\xfire.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Game.exe"=
"c:\\Programme\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Launcher.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"c:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo.exe"=
"c:\\Programme\\Ratajik Software\\StationRipper\\StationRipperConsole.exe"=
"f:\\download\\FSMetar155Beta\\FSMetar.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Programme\\FSFDT\\FWInn\\FWINN.exe"=
"c:\\Programme\\IVAO\\IvAp\\ivapnetint.exe"=
"c:\\Programme\\IVAO\\IvAi\\IvAi.exe"=
"c:\\Programme\\Java\\jdk1.6.0_07\\bin\\java.exe"=
"c:\\Games\\Call of Duty 5\\CoDWaW.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [2008-08-30 79360]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-06-10 108289]
S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\atl01_xp.sys [2007-03-15 38656]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx	REG_MULTI_SZ   	scan

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-06-12 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2008-01-08 11:19]

2009-07-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-AtiExtEvent - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\
FF - component: c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
FF - component: c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\NativeComponent.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0015-0000-0016-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}

---- FIREFOX Richtlinien ----
  .

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-07 19:30
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  CTxfiHlp = CTXFIHLP.EXE? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(936)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
Zeit der Fertigstellung: 2009-07-07 19:32
ComboFix-quarantined-files.txt  2009-07-07 17:32

Vor Suchlauf: 15 Verzeichnis(se), 128.528.977.920 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 128.444.903.424 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
;
;Warning: Boot.ini is used on Windows XP and earlier operating systems.
;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
;
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /NOEXECUTE=OPTIN /FASTDETECT

296	--- E O F ---	2009-06-14 07:58

john.doe · 07.07.2009, 19:01

1.) ZHPDiag von Nicolas Coolman

Klicke auf Téléchargement de ZHPDiag
Klicke auf der Seite auf FTP Zebulon.fr N°1.
Entpacke die geladene Datei auf den Desktop und starte ZHPDiag.exe mit Doppelklick.
Klicke auf
Klicke auf
Klicke auf
Klicke auf
Klicke auf
Lade die Datei bei einem Filehoster hoch (z.B. www.materialordner.de) und poste hier den Link.

2.) Erstelle ein Log mit DDS => http://download.bleepingcomputer.com/sUBs/dds.scr

ciao, andreas
ciao, andreas

Tabea · 07.07.2009, 19:22

Hallo Andreas,

werde ich gleich noch schnell machen.

Aber die bisherigen Programme finden nix mehr. Dachte combofix hat alles gelöscht?

john.doe · 07.07.2009, 19:25

Du sollst nicht mit anderen Programmen suchen, sondern nur mit denen, die hier stehen.

ciao, andreas

Tabea · 07.07.2009, 19:38

Link zu zhpdiag

http://www.materialordner.de/c9URRDM...X35E7gRSeU.htm

attach
Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

dds
Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

so hier die Dateien.

Anscheinend doch wohl noch immer vorhanden *heul*

john.doe · 07.07.2009, 20:11

Der Link zu ZHPDiag funktioniert nicht, bitte nocheinmal hochladen. Adobe Master Collection. Sony Vegas Pro.

Hätte ich das vorher gesehen, dann hätte ich dich nicht übernommen.

1.) Deinstalliere (man kann einen Rechner auf kaputtinstallieren):

Foxit Toolbar (Adware)
J2SE Runtime Environment 5.0 Update 16
Java(TM) 6 Update 7
Spybot - Search & Destroy
SUPERAntiSpyware Free Edition

2.) Installiere:

Java-Downloads für alle Betriebssysteme - Sun Microsystems

3.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=-
"SUPERAntiSpyware"=-
"SpybotSD TeaTimer"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"=-
"SpybotSnD"=-
"QuickTime Task"=-
"nwiz"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

Folder::
c:\programme\AskBarDis
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\SUPERAntiSpyware.com
c:\programme\SUPERAntiSpyware

File::
c:\windows\Tasks\AppleSoftwareUpdate.job
c:\windows\system32\config\systemprofile\lokale einstellungen\verlauf\history.ie5\mshist012008051320080514\index.dat

DirLook::
C:\update_cache

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Tabea · 08.07.2009, 18:58

Habe alles gelöscht und java neuinstalliert.

Mit dem Junior hab ich auch nen ernstes Wort geredet.

Hier die log Dateien, hoffe es klappt nun.

ZHPdiag
http://www.materialordner.de/3bQ40rD...xbBeHaJ42C.html

ComboFix
Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

Ich sollte spy bot etc. löschen. Aber welches Programm soll ich denn als Schutz installieren? Nur Antivrenprogramm allein reicht doch nicht?

john.doe · 08.07.2009, 19:20

Start => Ausführen => combofix /u => OK

Zitat:

Aber welches Programm soll ich denn als Schutz installieren?

Kein Programm schützt dich vor Download. Ein eingeschränktes Konto könnte Hilfe bringen, doch meist haben die Kinder eh mehr Ahnung und werden es aushebeln. Der Rechner ist voll mit vermutlich geklauter Software und die ist nunmal sehr häufig verseucht.

Selbstredend kannst du Spybot, AdAware, Spyware Terminator, Prevx, Online Armor und weitere "Sicherheitsprogramme" installieren. Nur, ausser das der Rechner noch langsamer wird, wird es keine Sicherheit bringen. Lies dir die letzten beiden Links in meiner Signatur durch, dann wirst du vielleicht verstehen.

Wenn du Sicherheit möchtest, dann halte deinen Sohn vom Rechner fern oder installiere ein alternatives BS wie Linux (ist kostenlos). Dort gibt es keine Probleme mit Schädlingen. Die Software für Linux ist auch (überwiegend) kostenlos, eine echte Alternative und eben keine Probleme mit Schädlingen.

Wie geht es dem Rechner?

ciao, andreas

Tabea · 08.07.2009, 20:21

Ich bin froh das ich mich dem Flugsimulator auskenne zumindest ein wenig und meine Fotos auf den PC bekomme.

Meinem PC geht es gut würde ich sagen.

Kein bluescreen beim runterfahren, kein pop up unvorhergesehen.

Antivir sagt mir gerade alle paar Minuten:

Code:

ATTFilter

n der Datei 'C:\System Volume Information\_restore{D28075DE-FE32-409B-8471-2B5FE0BA1B77}\RP1\A0001001.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Obwohl ich nur gerade diese board Seite geöffnet habe und sonst nichts mache.

Linux wäre eine gute Idee, aber bis auf den Namen kenne ich das nicht.
Grummel mit 40 ist man heute wohl schon zu alt für solche Dinge.

john.doe · 08.07.2009, 20:31

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

Zitat:

Grummel mit 40 ist man heute wohl schon zu alt für solche Dinge.

Da bin ich älter und habe auch Linux(neben 5 anderen Betriebssystemen) auf dem Rechner, das Argument zieht nicht.

Es gibt auch jede Menge Live-CDs (dann brauchst du nicht installieren und kannst einfach mal schauen).
Download Ubuntu | Ubuntu

Du bist entlassen.

ciao, andreas

Tabea · 09.07.2009, 15:54

Habe ich gestern leider nicht mehr geschafft, daher heute:

win32.tdss.rtk eingefangen

Plagegeister aller Art und deren Bekämpfung: win32.tdss.rtk eingefangen