Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win32Trojan.Tdss - lässt sich nicht entfernen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.08.2009, 15:50   #31
Kuss80
 
Win32Trojan.Tdss - lässt sich nicht entfernen - Standard

Win32Trojan.Tdss - lässt sich nicht entfernen



Hier nund die links zu den gewünschten Dateien:

cofi

cofi.exe

Grüße

Alt 02.08.2009, 16:14   #32
john.doe
 
Win32Trojan.Tdss - lässt sich nicht entfernen - Standard

Win32Trojan.Tdss - lässt sich nicht entfernen



OK, jetzt ist es klar. Du hast sie in cofi.exe.exe umbenannt. Lösche die Ordner:
Code:
ATTFilter
c:\cofi
c:\cofi.exe
         
Führe anschließend das Script nocheinmal aus.

ciao, andreas
__________________

__________________

Alt 02.08.2009, 19:25   #33
Kuss80
 
Win32Trojan.Tdss - lässt sich nicht entfernen - Standard

Win32Trojan.Tdss - lässt sich nicht entfernen



Habe mir ne neue ComboFix ohne umzubenennen auf den Desktop geladen und das gepostete Script (cfscript.txt) daraufgezogen.

Wie bereits gehabt, hat sich ComboFix bei "Starte Windows neu ... Bitte warten" aufgehängt.
Kann es sein, dass am Inhalt des Scripts liegt, da die gewünschten Befehle bereits beim ersten Mal durchgeführt und die Dateien darin nicht mehr vorhanden sind?

Gruß Kuss80
__________________

Alt 02.08.2009, 19:34   #34
john.doe
 
Win32Trojan.Tdss - lässt sich nicht entfernen - Standard

Win32Trojan.Tdss - lässt sich nicht entfernen



Lass ihn nochmal ohne Script durchlaufen, dann sehe ich das.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 02.08.2009, 22:01   #35
Kuss80
 
Win32Trojan.Tdss - lässt sich nicht entfernen - Standard

Win32Trojan.Tdss - lässt sich nicht entfernen



Der Weg hat leider auch kein Erfolg gebracht.
An der gleichen Stelle wieder eingefroren.

Irgendwas muss den Neustart von ComboFix stören.

Was meinst du Andreas, sollten wir nochmals einen der anderen Schritte vorher durchführen?

Gruß Kuss80


Alt 02.08.2009, 22:14   #36
john.doe
 
Win32Trojan.Tdss - lässt sich nicht entfernen - Standard

Win32Trojan.Tdss - lässt sich nicht entfernen



Wenn ComboFix partout nicht will, dann machen wir das halt anders.

1.) Lade dir den Anhang auf deinen Desktop, starte ihn mit Doppelklick, klicke auf Ja und lösche die Datei.

2.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Drivers to delete:
Lbd
pavboot
pxscan
pxsec
CSIScanner
Lavasoft Ad-Aware Service
catchme
Bonjour Service

Files to delete:
c:\windows\Tasks\Ad-Aware Update (Weekly).job
c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\cadkasdeinst01.exe
c:\windows\system32\Erasext.dll
c:\windows\system32\Eraser.dll
c:\windows\system32\Eraserl.exe
c:\windows\system32\drivers\Lbd.sys
c:\windows\system32\lsdelete.exe
c:\windows\system32\drivers\pavboot.sys
c:\windows\system32\drivers\pxsec.sys
c:\windows\system32\drivers\pxscan.sys
D:\Software\Windows\DownloadManager\654.rar
C:\Programme\Vortex Prestige\Classes\data\extras\LSPatch.exe

Folders to delete:
c:\programme\Prevx
c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
c:\programme\Panda Security
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
C:\Programme\uTorrent
E:\Software\Fotografie\Corel\Paint_Shop_Pro_Photo_ X2_v12.0
E:\Software\Utilities\FlyakiteOSX Transformer
E:\von_Sonstiges\Software\Accessdiver
C:\WindowBlinds
D:\Filesharing
C:\rsit
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
c:\programme\Lavasoft
c:\windows\SxsCaPendDel
c:\Programme\Bonjour
c:\dokumente und einstellungen\Sofi\Anwendungsdaten\Macromedia
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\programme\PDF Passwort Knacker 1
c:\programme\PDF Password Remover v3.0
c:\programme\Eraser
c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Eraser
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas
Angehängte Dateien
Dateityp: reg Kuss80.reg (3,1 KB, 246x aufgerufen)
__________________
--> Win32Trojan.Tdss - lässt sich nicht entfernen

Alt 03.08.2009, 15:43   #37
Kuss80
 
Win32Trojan.Tdss - lässt sich nicht entfernen - Standard

Win32Trojan.Tdss - lässt sich nicht entfernen



Hallo Andreas,

hat alles soweit funktioniert.

Hier die Infos:

Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\Lbd" not found!
Deletion of driver "Lbd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\pavboot" not found!
Deletion of driver "pavboot" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\pxscan" not found!
Deletion of driver "pxscan" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\pxsec" not found!
Deletion of driver "pxsec" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\CSIScanner" not found!
Deletion of driver "CSIScanner" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\Lavasoft Ad-Aware Service" not found!
Deletion of driver "Lavasoft Ad-Aware Service" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\catchme" not found!
Deletion of driver "catchme" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\Bonjour Service" not found!
Deletion of driver "Bonjour Service" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\Tasks\Ad-Aware Update (Weekly).job" not found!
Deletion of file "c:\windows\Tasks\Ad-Aware Update (Weekly).job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT" deleted successfully.

Error: file "c:\windows\system32\perfc007.dat" not found!
Deletion of file "c:\windows\system32\perfc007.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\perfh007.dat" not found!
Deletion of file "c:\windows\system32\perfh007.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\cadkasdeinst01.exe" not found!
Deletion of file "c:\windows\cadkasdeinst01.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\Erasext.dll" not found!
Deletion of file "c:\windows\system32\Erasext.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\Eraser.dll" not found!
Deletion of file "c:\windows\system32\Eraser.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\Eraserl.exe" not found!
Deletion of file "c:\windows\system32\Eraserl.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\drivers\Lbd.sys" not found!
Deletion of file "c:\windows\system32\drivers\Lbd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\lsdelete.exe" not found!
Deletion of file "c:\windows\system32\lsdelete.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\drivers\pavboot.sys" not found!
Deletion of file "c:\windows\system32\drivers\pavboot.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\drivers\pxsec.sys" not found!
Deletion of file "c:\windows\system32\drivers\pxsec.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\drivers\pxscan.sys" not found!
Deletion of file "c:\windows\system32\drivers\pxscan.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "D:\Software\Windows\DownloadManager\654.rar" not found!
Deletion of file "D:\Software\Windows\DownloadManager\654.rar" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Programme\Vortex Prestige\Classes\data\extras\LSPatch.exe" not found!
Deletion of file "C:\Programme\Vortex Prestige\Classes\data\extras\LSPatch.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\programme\Prevx" not found!
Deletion of folder "c:\programme\Prevx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI" not found!
Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\programme\Panda Security" not found!
Deletion of folder "c:\programme\Panda Security" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}" not found!
Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\Programme\uTorrent" not found!
Deletion of folder "C:\Programme\uTorrent" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "E:\Software\Fotografie\Corel\Paint_Shop_Pro_Photo_ X2_v12.0" not found!
Deletion of folder "E:\Software\Fotografie\Corel\Paint_Shop_Pro_Photo_ X2_v12.0" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "E:\Software\Utilities\FlyakiteOSX Transformer" not found!
Deletion of folder "E:\Software\Utilities\FlyakiteOSX Transformer" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "E:\von_Sonstiges\Software\Accessdiver" not found!
Deletion of folder "E:\von_Sonstiges\Software\Accessdiver" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\WindowBlinds" not found!
Deletion of folder "C:\WindowBlinds" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "D:\Filesharing" not found!
Deletion of folder "D:\Filesharing" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\rsit" not found!
Deletion of folder "C:\rsit" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft" not found!
Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\programme\Lavasoft" not found!
Deletion of folder "c:\programme\Lavasoft" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\windows\SxsCaPendDel" not found!
Deletion of folder "c:\windows\SxsCaPendDel" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\Programme\Bonjour" not found!
Deletion of folder "c:\Programme\Bonjour" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\dokumente und einstellungen\Sofi\Anwendungsdaten\Macromedia" not found!
Deletion of folder "c:\dokumente und einstellungen\Sofi\Anwendungsdaten\Macromedia" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy" not found!
Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\programme\PDF Passwort Knacker 1" not found!
Deletion of folder "c:\programme\PDF Passwort Knacker 1" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\programme\PDF Password Remover v3.0" not found!
Deletion of folder "c:\programme\PDF Password Remover v3.0" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\programme\Eraser" not found!
Deletion of folder "c:\programme\Eraser" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Eraser" not found!
Deletion of folder "c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Eraser" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Bis auf einen Prozess hat wohl ComboFix schon alles beseitigt gehabt.

Und nun, was soll ich als nächstes tun?
(Evtl. ComboFix noch einmal versuchen?)

Danke und Gruß
Kuss80

Alt 03.08.2009, 16:39   #38
john.doe
 
Win32Trojan.Tdss - lässt sich nicht entfernen - Standard

Win32Trojan.Tdss - lässt sich nicht entfernen



1.) Neues Skript für Avenger:
Code:
ATTFilter
Files to delete:
C:\combofix.txt
C:\aaw7boot.log
C:\errlgr.txt
C:\eula.1028.txt
C:\eula.1031.txt
C:\eula.1033.txt
C:\eula.1036.txt
C:\eula.1040.txt
C:\eula.1041.txt
C:\eula.1042.txt
C:\eula.2052.txt
C:\eula.3082.txt
C:\README_GERMAN.html
C:\Thumbs.db
C:\vcredist.bmp
C:\VC_RED.cab
C:\VC_RED.MSI
C:\video2dvdpro.log
C:\install.ini
C:\install.res.1028.dll
C:\install.res.1031.dll
C:\install.res.1033.dll
C:\install.res.1036.dll
C:\install.res.1040.dll
C:\install.res.1041.dll
C:\install.res.1042.dll
C:\install.res.2052.dll
C:\install.res.3082.dll
C:\WINDOWS\0.log
C:\WINDOWS\002252_.tmp
C:\WINDOWS\005309_.tmp
C:\WINDOWS\clock.avi
C:\WINDOWS\DUMP297c.tmp
C:\WINDOWS\NIRCMD.exe
C:\WINDOWS\PEV.exe
C:\WINDOWS\SET3.tmp
C:\WINDOWS\SET7.tmp
C:\WINDOWS\setupapi.log.0.old
C:\WINDOWS\wiadebug.log
C:\WINDOWS\wiaservc.log
C:\WINDOWS\Downloaded Program Files\DivXPlugin.inf
C:\WINDOWS\Downloaded Program Files\gp.inf
C:\WINDOWS\Downloaded Program Files\gp.ocx
C:\WINDOWS\Downloaded Program Files\swflash.inf
C:\WINDOWS\system32\CF20339.exe
C:\WINDOWS\system32\CF20489.exe
C:\WINDOWS\WindowsUpdate.log

Folders to delete:
c:\programme\Online-Dienste
c:\programme\Online Services
c:\qoobox
c:\combofix
c:\windows\erdnt
c:\WUTemp
         
2.) Lösche anschliessend den Ordner
Code:
ATTFilter
c:\avenger
         
und die Datei
Code:
ATTFilter
c:\avenger.txt
         
und Hopsassa von deinem Desktop.

3.) Lade die Datei
Code:
ATTFilter
C:\WINDOWS\system32\BASSMOD.dll
         
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2)

4.) Was befindet sich in den Ordnern?
Code:
ATTFilter
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uzwjopqn
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cbmvqhml
         
5.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

6.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 04.08.2009, 15:13   #39
Kuss80
 
Win32Trojan.Tdss - lässt sich nicht entfernen - Standard

Win32Trojan.Tdss - lässt sich nicht entfernen



Hallo Andreas,

hab jetzt so weit alles durch.

zu 1.) Nach dem Neustart wurde mir folgendes von Kaspersky Internet Security 2009 gemeldet:



Habe nichts angeklickt, jedoch verschwand die Meldung nach einer Weile von selber.

zu 3.) Datei wurde gestern bereits hochgeladen.

zu 4.) Die beiden Ordner sind leer und beinhalten keine Dateien.

zu 5.) hier die die Logfile-Infos:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 4. August 2009 15:48:16
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 3/08/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2335924
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
O:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 194998
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 11:21:41

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\av39.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\00\00000001_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\00\00000001_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\00\00000001_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\00\00000001_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\00\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\00000102_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\00000102_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\00000102_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\00000102_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\02\000000C6_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\02\000000C6_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\02\000000C6_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\02\000000C6_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\02\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\03\00000102_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\03\00000102_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\03\00000102_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\03\00000102_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\03\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\04\000000C4_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\04\000000C4_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\04\000000C4_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\04\000000C4_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\04\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\05\000000E4_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\05\000000E4_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\05\000000E4_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\05\000000E4_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\05\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\06\000000E4_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\06\000000E4_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\06\000000E4_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\06\000000E4_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\06\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\07\000000E4_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\07\000000E4_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\07\000000E4_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\07\000000E4_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\07\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\000000E4_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\000000E4_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\000000E4_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\000000E4_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\09\000000C4_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\09\000000C4_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\09\000000C4_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\09\000000C4_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\09\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\detected.idx Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\detected.rpt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\g_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\g_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\g_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\report.rpt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009080320090804\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox.idx Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox2.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox2.idx Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{18E9B3FA-C192-435E-90FD-140F9E190115}\RP8\change.log Das Objekt ist gesperrt übersprungen
E:\PC Treiber\LG Updates\Jun.04\Firmware\GSA4081A101.exe Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\_restore{18E9B3FA-C192-435E-90FD-140F9E190115}\RP8\change.log Das Objekt ist gesperrt übersprungen
K:\System Volume Information\_restore{18E9B3FA-C192-435E-90FD-140F9E190115}\RP8\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

zu 6.) Hier wurde mir folgendes angezeigt:



Habe nicht bisher ausgewählt, noch ist die Meldung sichtbar.

Und das Ergebnis:



Und nun, was soll ich als nächstes tun?

Grüße Kuss80

Alt 04.08.2009, 17:03   #40
john.doe
 
Win32Trojan.Tdss - lässt sich nicht entfernen - Standard

Win32Trojan.Tdss - lässt sich nicht entfernen



Zitat:
Nach dem Neustart wurde mir folgendes von Kaspersky Internet Security 2009 gemeldet:
Das sind Überreste vom Avenger. Falls du die beseitigen möchtest, benötige ich ein neue listing.txt. Lasse nochmal listing1.bat laufen.
Zitat:
Datei wurde gestern bereits hochgeladen.
Die war sauber, es gibt auch ein Schädling mit dem Namen.
Zitat:
Hier wurde mir folgendes angezeigt:
Lasse Prevx reparieren. Falls es nicht funktioniert, dann nehmen wir LSPFix.
Zitat:
Und nun, was soll ich als nächstes tun?
Lösche ComboFix von deinem Desktop und poste ein aktuelles HJT-Log.

Wie geht es dem Rechner? Gibt es noch Meldungen oder Auffälligkeiten?

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 04.08.2009, 19:53   #41
Kuss80
 
Win32Trojan.Tdss - lässt sich nicht entfernen - Standard

Win32Trojan.Tdss - lässt sich nicht entfernen



Hi Andreas,

dann fangen wir mal an!

Hier der link zur listing.txt: listing.txt

Prevx hat alles schön repariert und dann einen Neustart durchgeführt.

Die ComboFix wurde vom Desktop gelöscht und hier nun die Info aus der Logdatei von HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:21:20, on 04.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe
C:\Programme\Allzeit Atomzeit\Atomzeit.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\Markus(s)\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [Vistadrv] C:\Programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe
O4 - HKLM\..\Run: [WD Drive Manager] C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [RemoteControl9] C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] C:\Programme\CyberLink\PowerDVD9\Language\Language.exe
O4 - Startup: Allzeit Atomzeit.lnk = C:\Programme\Allzeit Atomzeit\Atomzeit.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (file missing)
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe

--
End of file - 4564 bytes

Für mich ist eine enorm positive Veränderung am System festzustellen.
Der Rechner fährt bereits schneller hoch, die Zugriffszeiten der Programme haben sich deutlich verbessert und mir kommt es auch so vor, als würde das I-Net schneller laufen.

Was meinst du, welche Schritte sollten wir noch durchführen?

Gruß und vielen Dank für die bisherige Hilfe
Kuss80

Alt 04.08.2009, 20:12   #42
john.doe
 
Win32Trojan.Tdss - lässt sich nicht entfernen - Standard

Win32Trojan.Tdss - lässt sich nicht entfernen



1.) Deinstalliere PrevxCSI. Der MSIE ist total veraltet und unsicher, auch wenn du ihn nicht bentutzt, immer den aktuellen laden.

2.) Lösche die Dateien:
Code:
ATTFilter
C:\WINDOWS\zip.exe
C:\WINDOWS\system32\CF22622.exe
C:\WINDOWS\system32\CF25616.exe
C:\WINDOWS\system32\CF29380.exe
C:\WINDOWS\system32\CF3326.exe
C:\WINDOWS\system32\Channels anzeigen.scf
C:\WINDOWS\system32\TDSSnrsr.dat
C:\WINDOWS\system32\TDSSosvd.dat
         
3.) Lösche die Ordner:
Code:
ATTFilter
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uzwjopqn
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cbmvqhml
         
4.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
Alle R1, O8, O9 und O16-Einträge
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (file missing)
         
=> Fix checked => Neustart => Neues HJT-Log posten.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 04.08.2009, 22:31   #43
Kuss80
 
Win32Trojan.Tdss - lässt sich nicht entfernen - Standard

Win32Trojan.Tdss - lässt sich nicht entfernen



zu 1.) PrevxCSI wurde deinstalliert. Wegen dem MSIE, soll ich die Version 8 laden und diese installieren? Als Standard Browser verwende ich aktuell Opera, wobei ich am überlegen bin auf Firefox umzusteigen.

zu 2 und 3.) Dateien und Ordner wurden gelöscht.

zu 4.) Hier ist das Ergebnis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:23:52, on 04.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe
C:\Programme\Allzeit Atomzeit\Atomzeit.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Markus(s)\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [Vistadrv] C:\Programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe
O4 - HKLM\..\Run: [WD Drive Manager] C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [RemoteControl9] C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] C:\Programme\CyberLink\PowerDVD9\Language\Language.exe
O4 - Startup: Allzeit Atomzeit.lnk = C:\Programme\Allzeit Atomzeit\Atomzeit.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe

--
End of file - 2885 bytes

Gruß Kuss80

Alt 04.08.2009, 22:33   #44
john.doe
 
Win32Trojan.Tdss - lässt sich nicht entfernen - Standard

Win32Trojan.Tdss - lässt sich nicht entfernen



Zitat:
Wegen dem MSIE, soll ich die Version 8 laden und diese installieren?
Ja.

Du bist entlassen.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 08.08.2009, 09:31   #45
Kuss80
 
Win32Trojan.Tdss - lässt sich nicht entfernen - Standard

Win32Trojan.Tdss - lässt sich nicht entfernen



MoinMoin Andreas,

die letzten Tage bin ich leider nicht dazugekommen zu antworten, sorry.

MSIE hab ich nun in der 8er-Version auf dem Rechner.

Kann ich deine Antwort so deuten, dass wir mit der Beseitigung der Schädlinge somit am Ende sind?
Kann ich die übrigen Dateien (z.B. listing1, backups (Ordner auf dem Desktop), sonstige logdateien) löschen und CCleaner deinstallieren?

Was für Programme sollte ich den sonst aus dem Kaspersky InternetSecurity auf dem Rechner zur eigenen Sicherheit installieren?
Oder sollte ich auf ein anderes Security-Programm, nach dem Ablauf meiner aktuellen Lizenz umsteigen?

Möchte mich nochmals bei dir für die Hilfe bedanken (vielen Dank, Merci, Thank you, Gracias, Spacibo, ... )

Grüße Kuss80

Antwort

Themen zu Win32Trojan.Tdss - lässt sich nicht entfernen
ad-aware, brenner, combofix, computer, entfernen, firefox, google, installation, kaspersky, lässt sich nicht entfernen, neuaufsetzung, nicht mehr, opera, problem, programm, rechner, registry, scan, seite, seiten, spybot, treiber, trojan.tdss, weitergeleitet, win, win32




Ähnliche Themen: Win32Trojan.Tdss - lässt sich nicht entfernen


  1. Windows7 taskmgr lässt sich nicht starten, Avira Echtzeitscanner lässt sich nicht aktivieren, USB wird nicht angenommen, ohne Meldung,
    Log-Analyse und Auswertung - 01.06.2015 (15)
  2. Conhost.exe prozess lässt sich nicht beenden & auch nicht entfernen.
    Plagegeister aller Art und deren Bekämpfung - 15.05.2015 (9)
  3. Laptop ruckelt nur noch, Iminent lässt sich nicht löschen und Radio schaltet sich alleine an und aus und lässt sich ebenfalls nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 27.06.2014 (3)
  4. Trojaner (boo/tdss.o) lässt sich nicht entfernen!
    Plagegeister aller Art und deren Bekämpfung - 02.11.2012 (1)
  5. 3 x BOO/TDss.o lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 07.10.2012 (10)
  6. rootkit tdss.d lässt sich nicht entfernen
    Log-Analyse und Auswertung - 27.10.2011 (60)
  7. Facebook Bootsektor Virus B00/tdss.M und andere lassen sich nicht entfernen
    Log-Analyse und Auswertung - 25.10.2011 (43)
  8. Virus Boo/TDSS.D lässt sich einfach nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 14.10.2011 (7)
  9. 'Masterbootsektor HD0'' BOO/TDss.M' [virus].Laptop lässt sich nicht herunterfahren!
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (15)
  10. SECURITY TOOL WARNUNG öffnet sich andauernd und lässt sich nicht entfernen!
    Log-Analyse und Auswertung - 03.10.2010 (1)
  11. rootkit.win32.tdss.d lässt sich nicht löschen oder desinfizieren!
    Plagegeister aller Art und deren Bekämpfung - 21.08.2010 (43)
  12. Rootkit.Win32.TDSS.d lässt sich nicht entfernen!
    Plagegeister aller Art und deren Bekämpfung - 12.05.2010 (15)
  13. Spybot+Firefox hängen sich auf / Windows Security Alert lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 11.05.2010 (15)
  14. Win32Trojan.Tdss - wie entfernen - bitte um Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 12.09.2009 (46)
  15. AVCare, Win32Trojan.TDss und mehr ?
    Log-Analyse und Auswertung - 25.08.2009 (19)
  16. Lässt sich nicht entfernen
    Log-Analyse und Auswertung - 07.05.2006 (10)
  17. CWS lässt sich nicht entfernen
    Log-Analyse und Auswertung - 28.06.2004 (1)

Zum Thema Win32Trojan.Tdss - lässt sich nicht entfernen - Hier nund die links zu den gewünschten Dateien: cofi cofi.exe Grüße - Win32Trojan.Tdss - lässt sich nicht entfernen...
Archiv
Du betrachtest: Win32Trojan.Tdss - lässt sich nicht entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.