Ich bin am Verzweifeln!
Zuerst konnte ich mein Avira Antivir Premium nicht updaten. Sobald ich auf Update ging kam die Meldung, es könne keine Verbindung mit dem Internet hergestellt werden, obwohl ich ansonsten problemlos ins I-Net kam. Ich musste Avira runterschmeißen und neu downloaden, damit es wieder funktioniert.
Dann fiel mir auf, dass ich über google keine Links anklicken konnte. Wenn ich das tat, landete ich auf irgendwelchen Seiten aber nicht da, wo ich hinwollte.

Deshalb wollte ich Super Anti-Spyware downloaden. Ich kam anfangs auf die Seiten (zdnet, etc.), ging ich aber auf download kam fehlermeldung: Keine Verbindung mit dem Internet. Über Computerbild konnte ich das dann endlich downloaden. Klicke ich aber auf den Icon auf meinem Desktop, passiert gar nichts. Ebenso geht es mir mit dem Programm Malwarebytes und HijackThis, weshalb ich kein Logfile posten kann.

Ich habe schon versucht, diese Programme über den Opera zu downloaden, allerdings mit dem gleichen Ergebnis.

Ich hoffe daher auf eure Hilfe.

Mein Betriebssystem Windows XP
Browser Internet Explorer

Avira hat Folgendes gefunden:

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\DVDTool.exe
[FUND] Ist das Trojanische Pferd TR/PCK.Tdss.W.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a987b85.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\tmpBF.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ac47b9c.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\tmpC0.tmp
[FUND] Ist das Trojanische Pferd TR/Alureon.BP.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49aeccf5.qua' verschoben!
C:\Programme\DVDTool\Uninstall.exe
[FUND] Ist das Trojanische Pferd TR/TDss.aips
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4abd7b9e.qua' verschoben!
C:\WINDOWS\temp\tempo-50787640.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.Router.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ac17b95.qua' verschoben!
C:\WINDOWS\temp\tempo-50787921.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.122368.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b457e46.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 8. Juli 2009 12:55
Benötigte Zeit: 1:03:28 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7421 Verzeichnisse wurden überprüft
259429 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
259422 Dateien ohne Befall
1305 Archive wurden durchsucht
1 Warnungen
7 Hinweise
8165 Objekte wurden beim Rootkitscan durchsucht
5 Versteckte Objekte wurden gefunden

HAllo tweety665

>>
Gebe unter Start/Ausfuehren devmgmt.msc ein und druecke enter, dann ueber "Ansicht", "Ausgeblendete Geraete anzeigen" waehlen, "nicht-PNP-Treiber" anzeigen lassen und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten.
Nichts anderes!!

>>
Versuche nun nochmlas Malwarebytes. Evtl musst du es auf den Desktop speichern, dann umbenennen in z.B. Test.exe und ausführen.

Gruss Swiss

Diesen TDSSserv gibt es bei mir nicht. Könnte es NDIS Systemtreiber oder ssmdrv sein?

Maleware funktioniert trotz Umbenennung nicht.

Hallo und

Er kann viele Namen haben.

ov...
gaopdx
Uacd
Skynet...
tds...

Der Name wird dir angezeigt, wenn du in Avira die Rootkitsuche aktivierst.

1.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt hier in den Thread.

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Erst einmal lieben Dank für den Willkommens-Smiley und deine Mühe.

Random hat funktioniert. Log poste ich hier.
Combofix funktioniert zwar nach Umbenennung, es kommt aber der Hinweis:
"Ablehnungshinweis
Die folgenden Seiten sind in keiner weise mit Combofix verbunden:
combofix.org und combofix.download
solltest du von dieser seite irgendwas gekauft haben schlage ich vor........" etc.

Den CCleaner habe ich durchlaufen lassen.

Anhang 3519

Anhang 3520

Es fehlt noch die info.txt von RSIT.

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
MEMSWEEP2
gusvc
gupdate1c9c1df11de957c
Bonjour Service
catchme
ACEDRV07
acedrv11

Files to delete:
C:\WINDOWS\system32\3.tmp
C:\WINDOWS\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachine.job

Folders to delete:
C:\Programme\Google\Common\Google Updater
C:\Programme\Google\Update
C:\Programme\Bonjour
C:\Config.Msi
C:\Programme\Google\GoogleToolbarNotifier
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Erst einmal tausend Dank für deine Anleitungen, die sogar ich verstehe
Anhang 3522

Anhang 3523

Gleich ein neues Skript für den Avenger (aka Hopsassa):

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
MSIVXserv.sys

Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys
HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys
HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys
HKLM\SYSTEM\ControlSet004\Services\MSIVXserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\MSIVXcubirbkqijkkjtumqtvfelxankliyogk.sys
         

Poste das Log, genau wie eben.

Lasse gleich im Anschluss, wenn der Rechner neugestartet ist, ComboFix laufen. Der sollte dann wieder funktionieren.

ciao, andreas

Anhang 3525

Combofix hab ich auch gestartet. Da meldet sich aber sofort der Antivir:

C:\32788R22FWJFW\n.pif
Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert. HIDDENEXT/Crypted

Das liegt daran, dass du die Anleitung nicht sorgfältig gelesen hast.

Zitat:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.

Deaktiviere den Guard von Avira. Lade dir vorher ein neues Combofix herunter.

Hat Avira irgendetwas gelöscht? Avenger hat plötzlich nichts mehr gefunden.

ciao, andreas

Ja stimmt, ich hatte Antivir vergessen

Antivir hat nichts gelöscht. Nach dieser Meldung, die ich gepostet hatte, bin ich auf Zugriff verweigern gegangen, das wars.

Das Super Antispyware funktioniert wieder, auch über Google kann ich wieder Seiten aufrufen.
Ich danke dir Tausend Mal Du hast mich und mein Lieblingsspielzeug gerettet. Vielen Dank für deine Mühe und deine Zeit

Anhang 3527

Noch sind wir nicht fertig. Eigentlich noch lange nicht.

Du hattest eine Umleitung in die Ukraine, ändere alle deine Kennwörter von einem sauberen Rechner aus.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=-
"Google Update"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=-

Folder::
c:\avenger
C:\rsit
c:\programme\Antivirus Doktor 4.1

File::
c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-823518204-2025429265-839522115-500UA.job
c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-823518204-2025429265-839522115-500Core.job
C:\backup.reg
C:\cleanup.bat
C:\zip.exe

DirLook::
c:\dokumente und einstellungen\All Users\AVP 2009
c:\programme\test
c:\programme\Sophos
c:\programme\DVDTool
C:\videodvdmaker
c:\dokumente und einstellungen\All Users\Anwendungsdaten\MPK
c:\dokumente und einstellungen\All Users\Anwendungsdaten\ParetoLogic
c:\programme\PC Wizard 2008
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Dass das noch nicht alles war, hatte ich befürchtet, aber ich freu mich schon riesig darüber zu sehen, dass es möglich ist, diese Biester runter zu kriegen.

Eine Umleitung in die Ukraine? Himmel, was mach ich da?

Ich find es absolut erstaunlich, dass du mit diesen Logs was anfangen kannst.


Anhang 3529

Das Script wurde nicht abgearbeitet, bitte arbeite obige Anleitung nochmal genau ab. Erstelle das Script und ziehe es auf das Symbol von Combofix, so wie in der Grafik ersichtlich.

ciao, andreas

Aber das hatte ich doch getan.

Hab jetzt alles von Anfang an noch einmal gemacht.