|
Plagegeister aller Art und deren Bekämpfung: Nach Antivirus 2008 Infektion, Reste von Tdssserv.sysWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.08.2009, 23:10 | #1 |
| Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys Hallo meine Lieben, ich bin neue hier, ein absoluter Noob und wende mich gleich mit einem Problem an Euch. Ich weiss, völlig schockierend und total unerwartet... Zur Sachlage: Im Dezember letzten Jahres habe ich mir aus eigener Doofheit und Unaufmerksamkeit ein fake Antivirenprogramm heruntergeladen, Antivirus 2008 oder so ähnlich. Ich wurde von Google falsch umgeleitet, konnte Webseiten von bekannten Antivirusprogrammen nicht mehr ansteuern, Virenscan (Antivir Personal Edition) ausgefallen, Meldungen über Maleware vom fake Programm und eine verzogene Bildschirmanzeige. Mit Hilfe eines Threads hier, der ein ähnliches Problem behandelte, habe ich das fake Programm vom Rechner bekommen ( HiJackThis, Malewarebytes und später mehrere Antivir Scans). Dachte ich jedenfalls.... Gestern habe ich aus Interesse Gmer über mein System laufen lassen. Der Logfile hat aber einige Einträge in der Registry angezeigt, die auf das rootkit tdssserv.sys hindeuten oder Reste davon. CCleaner wurde ausgeführt. Zur Erklärung: E: ist die Windows Platte und C: ist die Festplatte mit meinen Daten. An dieser Stelle bin ich mit meinem Latein am Ende und bitte Euch um Hilfe. Hier das aktuelle HiJackThis- Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:28:57, on 07.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\Explorer.EXE E:\Programme\Avira\AntiVir Desktop\sched.exe E:\WINDOWS\CTHELPER.EXE E:\Programme\Avira\AntiVir Desktop\avgnt.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\Secunia\PSI\psi.exe E:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Tobit ClipInc\Server\ClipInc-Server.exe E:\Programme\CDBurnerXP\NMSAccessU.exe E:\Dokumente und Einstellungen\****\Desktop\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet universal\ComDlls\bhoCATCH.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [PrintServer Diagnostic] E:\Programme\Print Server\PTP\PSDiagnostic.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Tobit ClipInc\Player\ClipIncTray.exe" O4 - Startup: Secunia PSI.lnk = E:\Programme\Secunia\PSI\psi.exe O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet universal\ComDlls\Bhoall.htm O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet universal\ComDlls\Bholink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} - http://www.creative.com/su/ocx/15031/CTSUEng.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://www.creative.com/su/ocx/15033/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129 O17 - HKLM\System\CS3\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: NMSAccessU - Unknown owner - E:\Programme\CDBurnerXP\NMSAccessU.exe -- End of file - 4435 bytes Und der Bericht von Malewarebytes gleich hinterher: Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2573 Windows 5.1.2600 Service Pack 3 07.08.2009 23:26:19 mbam-log-2009-08-07 (23-26-19).txt Scan-Methode: Vollständiger Scan (C:\|E:\|) Durchsuchte Objekte: 117741 Laufzeit: 55 minute(s), 10 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malewarebytes findet nichts und auch die Virenscans der letzten Monate sind unaufällig. Der Computer läuft, zeigt keine Auffäligkeiten und alle Updates gehen ohne Murren durch. Zu guter Letzt kopieren ich Euch noch das Gmer- Log herein mit den aufälligen Registy-Einträgen: GMER 1.0.15.15011 [pkzzlw3f.exe] - http://www.gmer.net Rootkit scan 2009-08-07 16:02:25 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT F7CC68FE ZwCreateKey SSDT F7CC68F4 ZwCreateThread SSDT F7CC6903 ZwDeleteKey SSDT F7CC690D ZwDeleteValueKey SSDT F7CC6912 ZwLoadKey SSDT F7CC68E0 ZwOpenProcess SSDT F7CC68E5 ZwOpenThread SSDT F7CC691C ZwReplaceKey SSDT F7CC6917 ZwRestoreKey SSDT F7CC6908 ZwSetValueKey SSDT F7CC68EF ZwTerminateProcess INT 0x01 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F72D84F6 INT 0x03 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F72D859C ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION C1F2C950F51055F5EEA2EDDAE1FA1FA5294D3F4863307B9C1F58C2F3444741FE69FBD929CEEB56D7B43CC5A6B98AB2887EC133F6B1C67984DBF55D9068431CDDDA74344F363D969FE549A4 34CDEEAEFD41085F7C804E515194233B060E93F26289A3240307118B876DA79600C25A1B8CF6B0AEB45CBF3B7807C54B2DCB154F910A66B73C81CAB2FEBC9E127BECC74CFEBC9E127BECC7 4CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6A0AC4980AC7933A9C6AECB7A5D14079DB7CE019D40AA5CF3C39CE44FCDC7210701 5ACF21BC12CD7B4933BFA4D84B505C1FC0135503FB18B0D926CDC29BBAC28C04084D90A5415167C04700327CD2EB504A15B70414FE3DE17B51072F4C9A5796E7BCB2DBCFA9A5610AF72AB9 8E78F8987BD61DCF361D9DB53FFA1524CE3CFDE19D4BA3B054A6DDCF0EB025A5EEB79B6A31A48B7E341A8C4EDD17BF6776C7DE1DB69C0BF0ADE3918F57EA1C9563657C6E922F8F8B3990E3 C136AB946FF83AA1E8E82A1730BBE45BF017B77CD99328C441E63B7828D7E9FE1949D267EAF1E374DE9183393A41FDD8B6A03BFBFB0CFAA7F39B23DAB60666BFD33EBA49B9DDE90A09AECB 2A0BE55BAD1A6AAF9034BCAAD50DC1D38FCE9B1A8A635EA496EE214517E6E23C6055B4F700C6135E74F1FADC87048D4D313C586D472D9668E95500C255E Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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eg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 ---- EOF - GMER 1.0.15 ---- Es geht um die rot gefärbten Einträge. Was bedeuten diese Einträge? Ist das ein Rootkit oder sind das die Reste des Rootkits? Verwaiste Einträge? Habe ich eine Fehler gemacht und wenn ja wo? Oder sehe ich gerade den Wald vor lauter Bäumen nicht? Ich hoffe ihr könnt mir ein wenig weiterhelfen und mir vielleicht erklären, was ich da genau sehe und wie ich es wegbekomme. Mit anderen Worten: "Ich bin ein Noob holt mich hier raus!" (Sorry, habs mir nicht verkneifen können! ) |
07.08.2009, 23:27 | #2 |
| Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys Hallo und
__________________1.) Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code:
ATTFilter Registry keys to delete: HKLM\SYSTEM\ControlSet002\Services\TDSSserv
2.) Poste ein neues Gmer-Log. 3.) Poste beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html 4.) http://www.trojaner-board.de/51871-a...tispyware.html (Punkt 1-3 der Anleitung) ciao, andreas
__________________ |
08.08.2009, 00:28 | #3 |
| Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys Vielen Danke das du dir mein Problem einmal ansiehst Andreas.
__________________Ich werde mich dann mal daran machen die Liste abzuarbeiten, könnte allerdings bis morgen Mittag dauern. Vielen Dank nochmal und eine gute Nacht! Liebe Grüße Sonja |
08.08.2009, 14:21 | #4 |
| Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys So, da bin ich wieder, schwer beladen mit Logs. 1.) Avenger habe ich ausgeführt. Hier das Endergebnis: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at E:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Registry key "HKLM\SYSTEM\ControlSet002\Services\TDSSserv" deleted successfully. Completed script processing. ******************* Finished! Terminate. 2.) Danach ein neues GMer-Log. GMER 1.0.15.15011 [pkzzlw3f.exe] - http://www.gmer.net Rootkit scan 2009-08-08 02:16:25 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT F7CA4F16 ZwCreateKey SSDT F7CA4F0C ZwCreateThread SSDT F7CA4F1B ZwDeleteKey SSDT F7CA4F25 ZwDeleteValueKey SSDT F7CA4F2A ZwLoadKey SSDT F7CA4EF8 ZwOpenProcess SSDT F7CA4EFD ZwOpenThread SSDT F7CA4F34 ZwReplaceKey SSDT F7CA4F2F ZwRestoreKey SSDT F7CA4F20 ZwSetValueKey SSDT F7CA4F07 ZwTerminateProcess INT 0x01 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F72D84F6 INT 0x03 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F72D859C ---- Kernel code sections - GMER 1.0.15 ---- ? spnwa.sys Das System kann die angegebene Datei nicht finden. ! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION C1F2C950F51055F5EEA2EDDAE1FA1FA5294D3F4863307B9C1F58C2F3444741FE69FBD929CEEB56D7B43CC5A6B98AB2887EC133F6B1C67984DBF55D9068431CDDDA74344F363D969FE549A4 34CDEEAEFD41085F7C804E515194233B060E93F26289A3240307118B876DA79600C25A1B8CF6B0AEB45CBF3B7807C54B2DCB154F910A66B73C81CAB2FEBC9E127BECC74CFEBC9E127BECC7 4CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6A0AC4980AC7933A9C6AECB7A5D14079DB7CE019D40AA5CF3C39CE44FCDC7210701 5ACF21BC12CD7B4933BFA4D84B505C1FC0135503FB18B0D926CDC29BBAC28C04084D90A5415167C04700327CD2EB504A15B70414FE3DE17B51072F4C9A5796E7BCB2DBCFA9A5610AF72AB9 8E78F8987BD61DCF361D9DB53FFA1524CE3CFDE19D4BA3B054A6DDCF0EB025A5EEB79B6A31A48B7E341A8C4EDD17BF6776C7DE1DB69C0BF0ADE3918F57EA1C9563657C6E922F8F8B3990E3 C136AB946FF83AA1E8E82A1730BBE45BF017B77CD99328C441E63B7828D7E9FE1949D267EAF1E374DE9183393A41FDD8B6A03BFBFB0CFAA7F39B23DAB60666BFD33EBA49B9DDE90A09AECB 2A0BE55BAD1A6AAF9034BCAAD50DC1D38FCE9B1A8A635EA496EE214517E6E23C6055B4F700C6135E74F1FADC87048D4D313C586D472D9668E95500C255E Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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eg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 ---- EOF - GMER 1.0.15 ---- 3.) Und hier noch die weiteren Angaben zu meinem System. Vielleicht sollte ich als Ergänzung noch hinzufügen, dass die E: Platte meines Systems partioniert ist. Ich habe einmal Windows laufen und als Backup für Notfälle Ubunto. Also zwei Betriebsysteme, falls du dich eventuell über fehlenden Speicherplatz wunderst. Erstmal die info.txt (uninstall list): info.txt logfile of random's system information tool 1.06 2009-08-08 02:20:24 ======Uninstall list====== -->RunDll32 E:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "E:\Programme\InstallShield Installation Information\{7B9AE66C-2A8F-4FB2-85D7-416AFFAE8408}\setup.exe" -l0x7 -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 E:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 Plugin-->E:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 9.1.3 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001} ATI - Software Uninstall Utility-->E:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe ATI Display Driver-->rundll32 E:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean AusLogics Disk Defrag-->"E:\Programme\Auslogics\AusLogics Disk Defrag\unins000.exe" Avira AntiVir Personal - Free Antivirus-->E:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE CCleaner (remove only)-->"E:\Programme\CCleaner\uninst.exe" CDBurnerXP-->"E:\Programme\CDBurnerXP\unins000.exe" Creative-Audiokonsole-->RunDll32 E:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "E:\Programme\InstallShield Installation Information\{7B9AE66C-2A8F-4FB2-85D7-416AFFAE8408}\setup.exe" -l0x7 /remove Eraser-->"E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}\EraserSetup32.exe" REMOVE=TRUE MODIFY=FALSE Eraser-->E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}\EraserSetup32.exe FlashGet 2.0-->C:\Programme\FlashGet universal\uninst.exe HijackThis 2.0.2-->"E:\Dokumente und Einstellungen\Sister\Desktop\HijackThis.exe" /uninstall Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->E:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->E:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT="" Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF} Malwarebytes' Anti-Malware-->"E:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU-->MsiExec.exe /I{9309DD7E-EBFE-3C95-8B47-30D3A012F606} Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU-->MsiExec.exe /I{A1071AEB-B0EF-3F5F-BC84-83A270EBE496} Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7} Microsoft .NET Framework 3.5 Language Pack - DEU-->E:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack - deu\setup.exe Microsoft .NET Framework 3.5 Language Pack - deu-->MsiExec.exe /I{1545207E-C6F3-31D7-9918-BDBB65075FBF} Microsoft .NET Framework 3.5 SP1-->E:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Mozilla Firefox (3.5.2)-->E:\Programme\Mozilla Firefox\uninstall\helper.exe Mozilla Thunderbird (2.0.0.22)-->E:\Programme\Mozilla Thunderbird\uninstall\helper.exe MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF} MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} MSXML4 Parser-->MsiExec.exe /I{01501EBA-EC35-4F9F-8889-3BE346E5DA13} PDFCreator-->E:\Programme\PDFCreator\unins000.exe Print Server Driver-->E:\WINDOWS\IsUninst.exe -f"E:\Programme\Print Server\PTP\Uninst.isu" QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68} Real Alternative 1.9.0-->"C:\Programme\Real Alternative\unins000.exe" Secunia PSI-->"E:\Programme\Secunia\PSI\uninstall.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"E:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"E:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"E:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"E:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)-->"E:\WINDOWS\ie7updates\KB972260-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"E:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923789)-->E:\WINDOWS\system32\MacroMed\Flash\genuinst.exe E:\WINDOWS\system32\MacroMed\Flash\KB923789.inf Sicherheitsupdate für Windows XP (KB952004)-->"E:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"E:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"E:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"E:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371)-->"E:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"E:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"E:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"E:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"E:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"E:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"E:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"E:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" Tobit.Software clipinc.fx-->E:\WINDOWS\CISUnins.exe "C:\Tobit ClipInc\Server\CISUnins.inf" Trillian-->C:\Programme\Trillian\trillian.exe /uninstall Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->E:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT="" VLC media player 0.9.8a-->C:\Programme\VLC\uninstall.exe Winamp-->"E:\Programme\Winamp\UninstWA.exe" Windows Media Format 11 runtime-->"E:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Player 11-->"E:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall WinRAR-->E:\Programme\WinRAR\uninstall.exe XML Paper Specification Shared Components Language Pack 1.0-->"E:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe" XP-Clean Speed-->MsiExec.exe /I{E5ADAEB8-000D-428B-A2A7-C43A789D4705} ======Security center information====== AV: AntiVir Desktop (disabled) ======System event log====== Computer Name:****SYSTEM Event Code: 17 Message: AVGNTFLT successfully loaded Record Number: 15843 Source Name: avgntflt Time Written: 20090622122036.000000+120 Event Type: Informationen User: Computer Name: ***SYSTEM Event Code: 45062 Message: CRT invalid display type Record Number: 15842 Source Name: ati2mtag Time Written: 20090622122036.000000+120 Event Type: Fehler User: Computer Name: ***SYSTEM Event Code: 26 Message: Anwendungspopup: : Machine Check: Regs Record Number: 15841 Source Name: Application Popup Time Written: 20090622122036.000000+120 Event Type: Informationen User: Computer Name: ***SYSTEM Event Code: 26 Message: Anwendungspopup: : Machine Check: Record Number: 15840 Source Name: Application Popup Time Written: 20090622122036.000000+120 Event Type: Informationen User: Computer Name: ***SYSTEM Event Code: 26 Message: Anwendungspopup: : Machine Check: Regs Record Number: 15839 Source Name: Application Popup Time Written: 20090622122036.000000+120 Event Type: Informationen User: =====Application event log===== Computer Name: ***SYSTEM Event Code: 105 Message: The service was started. Record Number: 13165 Source Name: ATI Smart Time Written: 20090227170449.000000+060 Event Type: Informationen User: Computer Name: ***SYSTEM Event Code: 100 Message: Recording on slot 0 started at 14:03:53 27.02.2009 Record Number: 13164 Source Name: ClipInc 001 Time Written: 20090227140353.000000+060 Event Type: Informationen User: Computer Name: ***SYSTEM Event Code: 100 Message: Capture for slot 0 started at 14:03:53 27.02.2009 Record Number: 13163 Source Name: ClipInc 001 Time Written: 20090227140353.000000+060 Event Type: Informationen User: Computer Name: ***SYSTEM Event Code: 4096 Message: Der AntiVir Dienst wurde erfolgreich gestartet! Record Number: 13162 Source Name: Avira AntiVir Time Written: 20090227140347.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: ***SYSTEM Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 13161 Source Name: SecurityCenter Time Written: 20090227140347.000000+060 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;E:\Programme\QuickTime\QTSystem\ "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 4 Stepping 4, AuthenticAMD "PROCESSOR_REVISION"=0404 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "CLASSPATH"=.;E:\Programme\Java\jre6\lib\ext\QTJava.zip "QTJAVA"=E:\Programme\Java\jre6\lib\ext\QTJava.zip -----------------EOF----------------- Für die anderen Log mache ich einen neuen Beitrag. tbc... |
08.08.2009, 14:25 | #5 |
| Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys Wie angedroht hier nun die letzten Log-Datein, beginnend mit dem zweite Log von RSIT: Logfile of random's system information tool 1.06 (written by random/random) Run by **** at 2009-08-08 02:20:18 Microsoft Windows XP Professional Service Pack 3 System drive E: has 480 MB (8%) free of 6 GB Total RAM: 767 MB (62% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:20:22, on 08.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\Explorer.EXE E:\Programme\Avira\AntiVir Desktop\sched.exe E:\Programme\Print Server\PTP\PSDiagnostic.exe E:\WINDOWS\CTHELPER.EXE E:\Programme\Avira\AntiVir Desktop\avgnt.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\Avira\AntiVir Desktop\avguard.exe E:\Programme\CDBurnerXP\NMSAccessU.exe E:\WINDOWS\system32\wscntfy.exe C:\Programme\Adobe Reader\Reader\AcroRd32Info.exe E:\Dokumente und Einstellungen\Sister\Desktop\RSIT.exe E:\Dokumente und Einstellungen\Sister\Desktop\Sister.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet universal\ComDlls\bhoCATCH.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [PrintServer Diagnostic] E:\Programme\Print Server\PTP\PSDiagnostic.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Tobit ClipInc\Player\ClipIncTray.exe" O4 - Startup: Secunia PSI.lnk = E:\Programme\Secunia\PSI\psi.exe O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet universal\ComDlls\Bhoall.htm O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet universal\ComDlls\Bholink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} - http://www.creative.com/su/ocx/15031/CTSUEng.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://www.creative.com/su/ocx/15033/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: NMSAccessU - Unknown owner - E:\Programme\CDBurnerXP\NMSAccessU.exe -- End of file - 4418 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1F364306-AA45-47B5-9F9D-39A8B94E7EF1}] FG2CatchUrl - C:\Programme\FlashGet universal\ComDlls\bhoCATCH.dll [2008-08-19 104016] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - E:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-09 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "PrintServer Diagnostic"=E:\Programme\Print Server\PTP\PSDiagnostic.exe [2004-11-24 266240] "CTHelper"=E:\WINDOWS\CTHELPER.EXE [2006-08-11 17920] "CTxfiHlp"=E:\WINDOWS\system32\CTXFIHLP.EXE [2006-08-11 18944] "avgnt"=E:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "Adobe Reader Speed Launcher"=C:\Programme\Adobe Reader\Reader\Reader_sl.exe [2009-02-27 35696] "KernelFaultCheck"=E:\WINDOWS\system32\dumprep 0 -k [] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"=E:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "ClipIncSrvTray"=C:\Tobit ClipInc\Player\ClipIncTray.exe [2009-03-16 668424] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] C:\Programme\Adobe Reader\Reader\Reader_sl.exe [2009-02-27 35696] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser] E:\Programme\Eraser\Eraser.exe [2007-12-23 916240] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] E:\Programme\QuickTime\QTTask.exe [2009-05-26 413696] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] E:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=3 "ose"=3 "O&O Defrag"=2 "JavaQuickStarterService"=2 "getPlus(R) Helper"=3 "ATI Smart"=2 "Ati HotKey Poller"=2 E:\Dokumente und Einstellungen\Sister\Startmenü\Programme\Autostart Secunia PSI.lnk - E:\Programme\Secunia\PSI\psi.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] E:\WINDOWS\system32\Ati2evxx.dll [2007-12-05 122880] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] E:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - E:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "NoDispScrSavPage"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 4.) Dann hast du mir noch geschrieben, das ich die Punkt 1-3 bei SuperAnitSpyware abarbeiten soll. Ich habe alle Einstellungen aus eurer Anleitung übernommen und den Scan gestartet. Beim ersten Versuch hat der Scan tdsserv.sys entdeckt, danach ist der PC eingefroren. Ich musste reseten. Der zweite Versuch ging ohne Proleme unddas Endergenis ist dieses schöne Log: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 08/08/2009 at 03:56 AM Application Version : 4.27.1002 Core Rules Database Version : 4045 Trace Rules Database Version: 1985 Scan type : Complete Scan Total Scan Time : 00:49:50 Memory items scanned : 410 Memory threats detected : 0 Registry items scanned : 4629 Registry threats detected : 2 File items scanned : 29077 File threats detected : 0 Rootkit.TDSServ HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSSserv.sys Zum Zwischenstand: TDSServ liegt in der Quarantäne. Wie geht es nun weiter? Kann ich es endgültig von meinem System löschen? Was meinst du? *hilfesuchenden anschaut* |
08.08.2009, 16:34 | #6 |
| Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys Benötigst du das Programm Eraser? Hast du damit versucht den Schädling loszuwerden? Was hast du bisher genau unternommen? Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!ciao, andreas
__________________ --> Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys |
08.08.2009, 20:28 | #7 |
| Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys Hallo und vielen Dank für deine Rückmeldung! Den Heidi Eraser benutzte ich nicht um Daten direkt aus meinem Windowsverzeichnis zu löschen. Ich überschreibe damit ausschließlich persönliche Daten (Textfiles, Briefe, Schreiben an Behörden usw.) mit der Gutmann-Methode, um sie unleserlich zu machen, wenn ich Sie aus dem Papierkorb lösche. Auf den Schädling habe ich Eraser nicht angewendet. Abgesehen von den Schritten, die wir unternommen haben, habe ich gegen den Schädling nichts unternommen. TdsServ.sys ist mir erst vor zwei Tagen zufällig beim Testen von GMER aufgefallen. Das Programm hat direkt nach dem Start kein Rootkit gefunden, also keinen Warnhinweis (WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity.Do you want to fully scan your system ? ) ausgegeben. Ich habe dann einen Scan durchgeführt und bin auf die Einträge gestoßen, die ich nicht zuordnen konnte (TDSServ@...). Eine anschließende Googglesuche ergab nur, dass TDSServ im Zusammenhang mit dem fake-Antivirenprogramm auf den Rechner gelangt. Anschließend habe ich mit AnitVir und Malewarebytes' gescannt und nichts gefunden. Dann wußte ich nicht mehr weiter und habe hier gepostet. Was mich zu dem nächsten Punkt bringt. Ich habe mein System mit CCleaner gereinigt und dann ComboFix entsprechend der Anleitung ausgeführt. Combofix hat den Rechner am Ende neu gestartet und dieses Log ausgespuckt Code:
ATTFilter ComboFix 09-08-07.09 - ***** 08.08.2009 19:06.1.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.767.528 [GMT 2:00] ausgeführt von:: e:\dokumente und einstellungen\****\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . e:\dokumente und einstellungen\***\Anwendungsdaten\BITS e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\BITS.ini e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\DHTTable.dat e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\ProxyList.ini e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\Torrent\20090606194719.torrent e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\Torrent\20090606194719.torrent.~tmp e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\Torrent\20090606194719.torrent.bits e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\Torrent\20090606194719.torrent.filelist e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\Torrent\20090606194719.torrent.hybridlist e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\UPnP.ini e:\windows\system32\setup.ini . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV ((((((((((((((((((((((( Dateien erstellt von 2009-07-08 bis 2009-08-08 )))))))))))))))))))))))))))))) . 2009-08-08 00:33 . 2009-08-08 17:15 117760 ----a-w- e:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2009-08-08 00:30 . 2009-08-08 00:30 -------- d-----w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-08-08 00:30 . 2009-08-08 00:30 -------- d-----w- e:\programme\SUPERAntiSpyware 2009-08-08 00:30 . 2009-08-08 00:30 -------- d-----w- e:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com 2009-08-08 00:29 . 2009-08-08 00:29 -------- d-----w- e:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-08-08 00:20 . 2009-08-08 00:21 -------- d-----w- E:\rsit 2009-08-07 13:10 . 2009-08-07 13:11 -------- d-----w- e:\programme\RegCleaner 2009-08-06 22:05 . 2009-08-06 22:05 -------- d-----w- e:\programme\CCleaner . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-07 20:57 . 2007-12-31 17:28 -------- d-----w- e:\programme\Mozilla Thunderbird 2009-08-07 00:03 . 2009-04-11 11:27 41 ----a-w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows NT\msqlite.dll 2009-08-06 22:58 . 2007-12-31 19:31 -------- d--h--w- e:\programme\InstallShield Installation Information 2009-08-06 21:05 . 2008-11-29 23:13 -------- d-----w- e:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer 2009-08-06 19:39 . 2008-08-31 02:10 -------- d-----w- e:\programme\Malwarebytes' Anti-Malware 2009-08-06 19:39 . 2008-09-06 02:48 3942048 ----a-w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2009-08-05 19:10 . 2009-03-20 00:03 55656 ----a-w- e:\windows\system32\drivers\avgntflt.sys 2009-08-05 17:55 . 2001-08-23 10:00 80092 ----a-w- e:\windows\system32\perfc007.dat 2009-08-05 17:55 . 2001-08-23 10:00 448396 ----a-w- e:\windows\system32\perfh007.dat 2009-08-03 11:36 . 2008-08-31 02:10 38160 ----a-w- e:\windows\system32\drivers\mbamswissarmy.sys 2009-08-03 11:36 . 2008-08-31 02:10 19096 ----a-w- e:\windows\system32\drivers\mbam.sys 2009-07-14 12:48 . 2009-04-11 11:25 -------- d-----w- e:\programme\XP-Clean Speed 2009-07-09 15:58 . 2007-12-31 19:48 -------- d-----w- e:\programme\Winamp 2009-06-29 15:55 . 2004-08-03 22:57 827392 ----a-w- e:\windows\system32\wininet.dll 2009-06-29 15:55 . 2004-08-03 22:57 78336 ----a-w- e:\windows\system32\ieencode.dll 2009-06-29 15:55 . 2004-08-03 22:57 17408 ------w- e:\windows\system32\corpol.dll 2009-06-25 10:05 . 2009-06-25 10:05 -------- d-----w- e:\programme\Secunia 2009-06-17 12:20 . 2009-06-17 12:20 12648 ----a-w- e:\windows\system32\drivers\psi_mf.sys 2009-06-16 14:36 . 2004-08-03 22:57 119808 ----a-w- e:\windows\system32\t2embed.dll 2009-06-16 14:36 . 2001-08-23 10:00 81920 ----a-w- e:\windows\system32\fontsub.dll 2009-06-15 12:03 . 2008-03-06 02:38 22128 ----a-w- e:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-06-15 10:45 . 2009-06-15 10:45 -------- d-----w- e:\programme\MSECache 2009-06-03 19:09 . 2004-08-03 22:57 1296896 ----a-w- e:\windows\system32\quartz.dll 2009-05-15 15:45 . 2007-12-31 19:38 1680648 ----a-w- e:\windows\CISUnins.exe 2009-05-15 15:45 . 2007-12-31 19:38 1680648 ----a-w- e:\windows\CICUnins.exe 2008-01-01 02:42 . 2008-01-01 02:42 14852 ----a-w- e:\programme\settings.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ClipIncSrvTray"="c:\tobit clipinc\Player\ClipIncTray.exe" [2009-03-16 668424] "SUPERAntiSpyware"="e:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-08-05 1830128] "ctfmon.exe"="e:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PrintServer Diagnostic"="e:\programme\Print Server\PTP\PSDiagnostic.exe" [2004-11-24 266240] "avgnt"="e:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Adobe Reader Speed Launcher"="c:\programme\Adobe Reader\Reader\Reader_sl.exe" [2009-02-27 35696] "CTHelper"="CTHELPER.EXE" - e:\windows\CTHELPER.EXE [2006-08-11 17920] "CTxfiHlp"="CTXFIHLP.EXE" - e:\windows\system32\CTXFIHLP.EXE [2006-08-11 18944] e:\dokumente und einstellungen\***\Startmen\Programme\Autostart\ Secunia PSI.lnk - e:\programme\Secunia\PSI\psi.exe [2009-6-24 803176] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "e:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2008-12-22 10:05 356352 ----a-w- e:\programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=3 (0x3) "ose"=3 (0x3) "O&O Defrag"=2 (0x2) "JavaQuickStarterService"=2 (0x2) "getPlus(R) Helper"=3 (0x3) "ATI Smart"=2 (0x2) "Ati HotKey Poller"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"= "e:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Trillian\\trillian.exe"= "c:\\Programme\\FlashGet universal\\FlashGet.exe"= R1 SASDIFSV;SASDIFSV;e:\programme\SUPERAntiSpyware\sasdifsv.sys [05.08.2009 16:06 9968] R1 SASKUTIL;SASKUTIL;e:\programme\SUPERAntiSpyware\SASKUTIL.SYS [05.08.2009 16:06 74480] R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\programme\Avira\AntiVir Desktop\sched.exe [20.03.2009 02:03 108289] R2 ClipInc001;ClipInc 001;c:\tobit clipinc\Server\ClipInc-Server.exe 001 --> c:\tobit clipinc\Server\ClipInc-Server.exe 001 [?] R3 PSI;PSI;e:\windows\system32\drivers\psi_mf.sys [17.06.2009 14:20 12648] R3 SASENUM;SASENUM;e:\programme\SUPERAntiSpyware\SASENUM.SYS [05.08.2009 16:06 7408] S4 getPlus(R) Helper;getPlus(R) Helper;e:\programme\NOS\bin\getPlus_HelperSvc.exe [10.11.2008 01:50 33752] . - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file) . ------- Zusätzlicher Suchlauf ------- . IE: &Download All by FlashGet - c:\programme\FlashGet universal\ComDlls\Bhoall.htm IE: &Download by FlashGet - c:\programme\FlashGet universal\ComDlls\Bholink.htm IE: Nach Microsoft &Excel exportieren - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 TCP: {2AF793F6-EDF3-435C-9CCA-6AE19515A790} = 212.185.252.201,194.25.2.129 FF - ProfilePath - e:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5sev3g9f.default\ FF - prefs.js: browser.search.selectedEngine - Wikipedia (de) FF - prefs.js: browser.startup.homepage - www.google.de FF - plugin: c:\programme\Adobe Reader\Reader\browser\nppdf32.dll FF - plugin: c:\programme\Real Alternative\browser\plugins\nppl3260.dll FF - plugin: c:\programme\Real Alternative\browser\plugins\nprpjplug.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - e:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false); e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200); e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true); e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true); e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true); e:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true); e:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess"); e:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120); e:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3); e:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true); e:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1); e:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1); e:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true); e:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0); e:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072); e:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true); e:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true); e:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35"); e:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35"); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~"); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json"); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-08 19:15 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*] "OODEFRAG10.00.00.01WORKSTATION"="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" "OODEFRAG11.00.00.01WORKSTATION"="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" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(552) e:\programme\SUPERAntiSpyware\SASWINLO.dll e:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(2176) c:\tobit clipinc\Player\ChargedByClipInc.dll e:\windows\system32\WPDShServiceObj.dll e:\windows\system32\PortableDeviceTypes.dll e:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . e:\programme\Avira\AntiVir Desktop\avguard.exe c:\tobit clipinc\Server\ClipInc-Server.exe e:\programme\CDBurnerXP\NMSAccessU.exe e:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-08-08 19:21 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-08-08 17:21 Vor Suchlauf: 507.977.728 Bytes frei Nach Suchlauf: 436.846.592 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] e:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 218 --- E O F --- 2009-07-29 12:43 Liebe Grüße, Sonja |
08.08.2009, 21:06 | #8 |
| Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys 1.) Deinstalliere:
3.) Installiere (Toolbars immer abwählen, Haken weg):
Code:
ATTFilter KILLALL:: Driver:: SASDIFSV SASKUTIL SASENUM getPlus(R) Helper Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ClipIncSrvTray"=- "SUPERAntiSpyware"=- "ctfmon.exe"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader Speed Launcher"=- [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "JavaQuickStarterService"=- "getPlus(R) Helper"=- [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"=- [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] Folder:: e:\programme\Gemeinsame Dateien\Wise Installation Wizard e:\dokumente und einstellungen\Sister\Anwendungsdaten\SUPERAntiSpyware.com e:\programme\SUPERAntiSpyware e:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com E:\avenger File:: E:\avenger.txt e:\windows\system32\perfc007.dat e:\windows\system32\perfh007.dat DirLook:: e:\programme\MSECache
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
08.08.2009, 22:37 | #9 | |||
| Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys Hallo Andreas, ich arbeite gerade deine Liste ab. Zitat:
Zitat:
Probleme ergeben sich allerdings bei Punkt 2. Zitat:
Soll ich trotzdem mit dem Script anfangen, obwohl GMER noch nicht deinstalliert ist? Liebe Grüße, Sonja |
08.08.2009, 22:48 | #10 | |
| Nach Antivirus 2008 Infektion, Reste von Tdssserv.sysZitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
08.08.2009, 23:51 | #11 |
| Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys Und hier noch das neue uneditierte Combofix-Log mit dem Script. Vielen Dank fürs Scripten übrigens. :aplaus: Code:
ATTFilter ComboFix 09-08-07.09 - Sister 09.08.2009 0:20.2.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.767.502 [GMT 2:00] ausgeführt von:: e:\dokumente und einstellungen\Sister\Desktop\cofi.exe Benutzte Befehlsschalter :: e:\dokumente und einstellungen\Sister\Desktop\cfscript.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} FILE :: "E:\avenger.txt" "e:\windows\system32\perfc007.dat" "e:\windows\system32\perfh007.dat" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . E:\avenger e:\avenger\backup.zip e:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com e:\dokumente und einstellungen\Sister\Anwendungsdaten\SUPERAntiSpyware.com e:\programme\SUPERAntiSpyware e:\windows\system32\perfc007.dat e:\windows\system32\perfh007.dat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SASENUM -------\Legacy_SASKUTIL -------\Service_getPlus(R) Helper ((((((((((((((((((((((( Dateien erstellt von 2009-07-08 bis 2009-08-08 )))))))))))))))))))))))))))))) . 2009-08-08 20:57 . 2009-08-08 20:57 152576 ----a-w- e:\dokumente und einstellungen\Sister\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll 2009-08-08 00:20 . 2009-08-08 00:21 -------- d-----w- E:\rsit 2009-08-07 13:10 . 2009-08-07 13:11 -------- d-----w- e:\programme\RegCleaner 2009-08-06 22:05 . 2009-08-06 22:05 -------- d-----w- e:\programme\CCleaner . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-08 20:58 . 2008-12-05 17:12 411368 ----a-w- e:\windows\system32\deploytk.dll 2009-08-07 20:57 . 2007-12-31 17:28 -------- d-----w- e:\programme\Mozilla Thunderbird 2009-08-07 00:03 . 2009-04-11 11:27 41 ----a-w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows NT\msqlite.dll 2009-08-06 22:58 . 2007-12-31 19:31 -------- d--h--w- e:\programme\InstallShield Installation Information 2009-08-06 21:05 . 2008-11-29 23:13 -------- d-----w- e:\dokumente und einstellungen\Sister\Anwendungsdaten\Apple Computer 2009-08-06 19:39 . 2008-08-31 02:10 -------- d-----w- e:\programme\Malwarebytes' Anti-Malware 2009-08-06 19:39 . 2008-09-06 02:48 3942048 ----a-w- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2009-08-05 19:10 . 2009-03-20 00:03 55656 ----a-w- e:\windows\system32\drivers\avgntflt.sys 2009-08-03 11:36 . 2008-08-31 02:10 38160 ----a-w- e:\windows\system32\drivers\mbamswissarmy.sys 2009-08-03 11:36 . 2008-08-31 02:10 19096 ----a-w- e:\windows\system32\drivers\mbam.sys 2009-07-14 12:48 . 2009-04-11 11:25 -------- d-----w- e:\programme\XP-Clean Speed 2009-07-09 15:58 . 2007-12-31 19:48 -------- d-----w- e:\programme\Winamp 2009-06-29 15:55 . 2004-08-03 22:57 827392 ----a-w- e:\windows\system32\wininet.dll 2009-06-29 15:55 . 2004-08-03 22:57 78336 ----a-w- e:\windows\system32\ieencode.dll 2009-06-29 15:55 . 2004-08-03 22:57 17408 ------w- e:\windows\system32\corpol.dll 2009-06-25 10:05 . 2009-06-25 10:05 -------- d-----w- e:\programme\Secunia 2009-06-17 12:20 . 2009-06-17 12:20 12648 ----a-w- e:\windows\system32\drivers\psi_mf.sys 2009-06-16 14:36 . 2004-08-03 22:57 119808 ----a-w- e:\windows\system32\t2embed.dll 2009-06-16 14:36 . 2001-08-23 10:00 81920 ----a-w- e:\windows\system32\fontsub.dll 2009-06-15 12:03 . 2008-03-06 02:38 22128 ----a-w- e:\dokumente und einstellungen\Sister\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-06-15 10:45 . 2009-06-15 10:45 -------- d-----w- e:\programme\MSECache 2009-06-03 19:09 . 2004-08-03 22:57 1296896 ----a-w- e:\windows\system32\quartz.dll 2009-05-15 15:45 . 2007-12-31 19:38 1680648 ----a-w- e:\windows\CISUnins.exe 2009-05-15 15:45 . 2007-12-31 19:38 1680648 ----a-w- e:\windows\CICUnins.exe 2008-01-01 02:42 . 2008-01-01 02:42 14852 ----a-w- e:\programme\settings.dat . (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ---- Directory of e:\programme\MSECache ---- 2007-05-22 06:56 . 2007-05-22 06:56 1323033 ----a-w- e:\programme\MSECache\O2007Cnv\1033\Catalog\files12.cat 2007-05-21 17:20 . 2007-05-21 17:20 27962756 ----a-w- e:\programme\MSECache\O2007Cnv\1033\O12Conv.cab 2007-05-21 17:20 . 2007-05-21 17:20 355328 ----a-w- e:\programme\MSECache\O2007Cnv\1033\O12Conv.msi 2007-05-21 17:20 . 2007-05-21 17:20 2480 ----a-w- e:\programme\MSECache\O2007Cnv\1033\README.HTM ((((((((((((((((((((((((((((( SnapShot@2009-08-08_17.16.46 ))))))))))))))))))))))))))))))))))))))))) . + 2009-08-08 22:28 . 2009-08-08 22:28 16384 e:\windows\temp\Perflib_Perfdata_ec.dat + 2009-08-08 22:25 . 2009-08-08 22:25 8192 e:\windows\ERDNT\subs\Users\00000004\UsrClass.dat - 2009-08-08 17:11 . 2009-08-08 17:11 8192 e:\windows\ERDNT\subs\Users\00000004\UsrClass.dat + 2009-08-08 22:25 . 2009-08-08 22:25 8192 e:\windows\ERDNT\subs\Users\00000002\UsrClass.dat - 2009-08-08 17:11 . 2009-08-08 17:11 8192 e:\windows\ERDNT\subs\Users\00000002\UsrClass.dat + 2009-08-08 20:59 . 2009-08-08 20:58 149280 e:\windows\system32\javaws.exe + 2009-08-08 20:59 . 2009-08-08 20:58 145184 e:\windows\system32\javaw.exe + 2009-08-08 20:59 . 2009-08-08 20:58 145184 e:\windows\system32\java.exe + 2009-08-08 20:58 . 2009-08-08 20:58 537600 e:\windows\Installer\cdc5c0.msi + 2009-08-08 22:25 . 2009-08-08 22:25 172032 e:\windows\ERDNT\subs\Users\00000006\UsrClass.dat - 2009-08-08 17:11 . 2009-08-08 17:11 233472 e:\windows\ERDNT\subs\Users\00000003\NTUSER.DAT + 2009-08-08 22:25 . 2009-08-08 22:25 233472 e:\windows\ERDNT\subs\Users\00000003\NTUSER.DAT + 2009-08-08 22:25 . 2009-08-08 22:25 229376 e:\windows\ERDNT\subs\Users\00000001\NTUSER.DAT - 2009-08-08 17:11 . 2009-08-08 17:11 229376 e:\windows\ERDNT\subs\Users\00000001\NTUSER.DAT + 2009-08-08 22:25 . 2009-08-08 22:25 3776512 e:\windows\ERDNT\subs\Users\00000005\NTUSER.DAT - 2009-08-08 17:11 . 2009-08-08 17:11 3776512 e:\windows\ERDNT\subs\Users\00000005\NTUSER.DAT . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PrintServer Diagnostic"="e:\programme\Print Server\PTP\PSDiagnostic.exe" [2004-11-24 266240] "avgnt"="e:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "SunJavaUpdateSched"="e:\programme\Java\jre6\bin\jusched.exe" [2009-08-08 149280] "CTHelper"="CTHELPER.EXE" - e:\windows\CTHELPER.EXE [2006-08-11 17920] "CTxfiHlp"="CTXFIHLP.EXE" - e:\windows\system32\CTXFIHLP.EXE [2006-08-11 18944] e:\dokumente und einstellungen\Sister\Startmen\Programme\Autostart\ Secunia PSI.lnk - e:\programme\Secunia\PSI\psi.exe [2009-6-24 803176] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=3 (0x3) "ose"=3 (0x3) "O&O Defrag"=2 (0x2) "ATI Smart"=2 (0x2) "Ati HotKey Poller"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"= "e:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Trillian\\trillian.exe"= "c:\\Programme\\FlashGet universal\\FlashGet.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\programme\Avira\AntiVir Desktop\sched.exe [20.03.2009 02:03 108289] R2 ClipInc001;ClipInc 001;c:\tobit clipinc\Server\ClipInc-Server.exe 001 --> c:\tobit clipinc\Server\ClipInc-Server.exe 001 [?] R3 PSI;PSI;e:\windows\system32\drivers\psi_mf.sys [17.06.2009 14:20 12648] . . ------- Zusätzlicher Suchlauf ------- . IE: &Download All by FlashGet - c:\programme\FlashGet universal\ComDlls\Bhoall.htm IE: &Download by FlashGet - c:\programme\FlashGet universal\ComDlls\Bholink.htm IE: Nach Microsoft &Excel exportieren - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 TCP: {2AF793F6-EDF3-435C-9CCA-6AE19515A790} = 212.185.252.201,194.25.2.129 FF - ProfilePath - e:\dokumente und einstellungen\Sister\Anwendungsdaten\Mozilla\Firefox\Profiles\5sev3g9f.default\ FF - prefs.js: browser.search.selectedEngine - Wikipedia (de) FF - prefs.js: browser.startup.homepage - www.google.de FF - plugin: c:\programme\Adobe Reader\Reader\browser\nppdf32.dll FF - plugin: c:\programme\Real Alternative\browser\plugins\nppl3260.dll FF - plugin: c:\programme\Real Alternative\browser\plugins\nprpjplug.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - e:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false); e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200); e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true); e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true); e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true); e:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true); e:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess"); e:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120); e:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3); e:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true); e:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1); e:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1); e:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true); e:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0); e:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072); e:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true); e:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true); e:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35"); e:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35"); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~"); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json"); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-09 00:29 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*] "OODEFRAG10.00.00.01WORKSTATION"="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" "OODEFRAG11.00.00.01WORKSTATION"="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" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(556) e:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(784) e:\windows\system32\WPDShServiceObj.dll e:\windows\system32\PortableDeviceTypes.dll e:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . e:\programme\Avira\AntiVir Desktop\avguard.exe c:\tobit clipinc\Server\ClipInc-Server.exe e:\programme\Java\jre6\bin\jqs.exe e:\programme\CDBurnerXP\NMSAccessU.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-08-08 0:35 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-08-08 22:35 ComboFix2.txt 2009-08-08 17:21 Vor Suchlauf: 452.042.752 Bytes frei Nach Suchlauf: 444.956.672 Bytes frei 216 --- E O F --- 2009-07-29 12:43 Liebe Grüße Sonja |
09.08.2009, 00:03 | #12 | |
| Nach Antivirus 2008 Infektion, Reste von Tdssserv.sysZitat:
Das ist überhaupt ein sehr aufgeräumtes und gepflegtes System. Zwei noch zur Sicherheit, dann sind wir durch. 1.) Start => Ausführen => combofix /u => OK 2.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
09.08.2009, 12:24 | #13 | |||
| Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys Hallo! Zitat:
Ich habe eine gute Nachricht und eine schlechte. Zitat:
Aber die beiden Scans haben jeweils einen Treffer gefunden. Zuerst das Log von Panda Code:
ATTFilter ;*********************************************************************************************************************************************************************************** ANALYSIS: 2009-08-09 03:29:25 PROTECTIONS: 1 MALWARE: 1 SUSPECTS: 0 ;*********************************************************************************************************************************************************************************** PROTECTIONS Description Version Active Updated ;=================================================================================================================================================================================== AntiVir Desktop 9.0.1.32 Yes Yes ;=================================================================================================================================================================================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;=================================================================================================================================================================================== 02106838 Trj/Banbra.GIY Virus/Trojan No 1 Yes No E:\Dokumente und Einstellungen\Sister\Desktop\Hopsassa.exe ;=================================================================================================================================================================================== SUSPECTS Sent Location (j ;=================================================================================================================================================================================== ;=================================================================================================================================================================================== VULNERABILITIES Id Severity Description (j ;=================================================================================================================================================================================== ;=================================================================================================================================================================================== Zitat:
Der PrevXCSI Scan kommt zu dem gleichen Ergebnis. Den Screenshot habe ich unten angehängt. Woher kommt das denn? Fehlalarm? Oder erkennt er irgendwas in dem Programm als vermeintlichen Trojaner? Liebe Grüße Sonja Geändert von no_rootkit (15.09.2009 um 15:50 Uhr) |
09.08.2009, 18:09 | #14 | |
| Nach Antivirus 2008 Infektion, Reste von Tdssserv.sysZitat:
Dann lies hier => http://www.trojaner-board.de/452059-post24.html (die letzten beiden Absätze) Deinstalliere Panda Active Scan und Prevx. Lösche Hopsassa, den Ordner C:\Avenger und die Datei C:\Avenger.txt. Poste noch ein neues HJT-Log. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
09.08.2009, 20:10 | #15 | ||
| Nach Antivirus 2008 Infektion, Reste von Tdssserv.sysZitat:
Zitat:
Ich habe für dich noch eine neues HijackThis angefertigt: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:40:03, on 09.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\Explorer.EXE E:\Programme\Avira\AntiVir Desktop\sched.exe E:\Programme\Print Server\PTP\PSDiagnostic.exe E:\WINDOWS\CTHELPER.EXE E:\Programme\Avira\AntiVir Desktop\avgnt.exe E:\Programme\Java\jre6\bin\jusched.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\Secunia\PSI\psi.exe E:\Programme\Avira\AntiVir Desktop\avguard.exe E:\Programme\Java\jre6\bin\jqs.exe E:\Programme\CDBurnerXP\NMSAccessU.exe E:\WINDOWS\system32\svchost.exe E:\Dokumente und Einstellungen\Sister\Desktop\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet universal\ComDlls\bhoCATCH.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [PrintServer Diagnostic] E:\Programme\Print Server\PTP\PSDiagnostic.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe O4 - Startup: Secunia PSI.lnk = E:\Programme\Secunia\PSI\psi.exe O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet universal\ComDlls\Bhoall.htm O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet universal\ComDlls\Bholink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} - http://www.creative.com/su/ocx/15031/CTSUEng.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://www.creative.com/su/ocx/15033/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NMSAccessU - Unknown owner - E:\Programme\CDBurnerXP\NMSAccessU.exe -- End of file - 4380 bytes Hoffentlich ist nun alles weg. Was soll ich übrigens mit GMER machen? Das konnte ich ja bisher nicht deinstallieren. Liebe Grü0e, Sonja |
Themen zu Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys |
antivir guard, antivirus, avira, bho, cdburnerxp, computer, controlset002, desktop, excel, festplatte, google, hijack, hijackthis, logfile, maleware, plug-in, problem, programm, registrierungsschlüssel, registry, rootkit, scan, secunia, server, software, system, updates, windows, windows xp |