| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Nach Antivirus 2008 Infektion, Reste von Tdssserv.sysWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.08.2009, 23:10
| #1 |
 |  Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys Hallo meine Lieben, ich bin neue hier, ein absoluter Noob und wende mich gleich mit einem Problem an Euch. Ich weiss, völlig schockierend und total unerwartet...  Zur Sachlage: Im Dezember letzten Jahres habe ich mir aus eigener Doofheit und Unaufmerksamkeit ein fake Antivirenprogramm heruntergeladen, Antivirus 2008 oder so ähnlich. Ich wurde von Google falsch umgeleitet, konnte Webseiten von bekannten Antivirusprogrammen nicht mehr ansteuern, Virenscan (Antivir Personal Edition) ausgefallen, Meldungen über Maleware vom fake Programm und eine verzogene Bildschirmanzeige. Mit Hilfe eines Threads hier, der ein ähnliches Problem behandelte, habe ich das fake Programm vom Rechner bekommen ( HiJackThis, Malewarebytes und später mehrere Antivir Scans). Dachte ich jedenfalls.... Gestern habe ich aus Interesse Gmer über mein System laufen lassen. Der Logfile hat aber einige Einträge in der Registry angezeigt, die auf das rootkit tdssserv.sys hindeuten oder Reste davon. CCleaner wurde ausgeführt. Zur Erklärung: E: ist die Windows Platte und C: ist die Festplatte mit meinen Daten. An dieser Stelle bin ich mit meinem Latein am Ende und bitte Euch um Hilfe. Hier das aktuelle HiJackThis- Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:28:57, on 07.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\Explorer.EXE E:\Programme\Avira\AntiVir Desktop\sched.exe E:\WINDOWS\CTHELPER.EXE E:\Programme\Avira\AntiVir Desktop\avgnt.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\Secunia\PSI\psi.exe E:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Tobit ClipInc\Server\ClipInc-Server.exe E:\Programme\CDBurnerXP\NMSAccessU.exe E:\Dokumente und Einstellungen\****\Desktop\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet universal\ComDlls\bhoCATCH.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [PrintServer Diagnostic] E:\Programme\Print Server\PTP\PSDiagnostic.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Tobit ClipInc\Player\ClipIncTray.exe" O4 - Startup: Secunia PSI.lnk = E:\Programme\Secunia\PSI\psi.exe O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet universal\ComDlls\Bhoall.htm O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet universal\ComDlls\Bholink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} - http://www.creative.com/su/ocx/15031/CTSUEng.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://www.creative.com/su/ocx/15033/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129 O17 - HKLM\System\CS3\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: NMSAccessU - Unknown owner - E:\Programme\CDBurnerXP\NMSAccessU.exe -- End of file - 4435 bytes Und der Bericht von Malewarebytes gleich hinterher: Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2573 Windows 5.1.2600 Service Pack 3 07.08.2009 23:26:19 mbam-log-2009-08-07 (23-26-19).txt Scan-Methode: Vollständiger Scan (C:\|E:\|) Durchsuchte Objekte: 117741 Laufzeit: 55 minute(s), 10 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Malewarebytes findet nichts und auch die Virenscans der letzten Monate sind unaufällig. Der Computer läuft, zeigt keine Auffäligkeiten und alle Updates gehen ohne Murren durch. Zu guter Letzt kopieren ich Euch noch das Gmer- Log herein mit den aufälligen Registy-Einträgen: GMER 1.0.15.15011 [pkzzlw3f.exe] - http://www.gmer.net Rootkit scan 2009-08-07 16:02:25 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT F7CC68FE ZwCreateKey SSDT F7CC68F4 ZwCreateThread SSDT F7CC6903 ZwDeleteKey SSDT F7CC690D ZwDeleteValueKey SSDT F7CC6912 ZwLoadKey SSDT F7CC68E0 ZwOpenProcess SSDT F7CC68E5 ZwOpenThread SSDT F7CC691C ZwReplaceKey SSDT F7CC6917 ZwRestoreKey SSDT F7CC6908 ZwSetValueKey SSDT F7CC68EF ZwTerminateProcess INT 0x01 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F72D84F6 INT 0x03 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F72D859C ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION C1F2C950F51055F5EEA2EDDAE1FA1FA5294D3F4863307B9C1F58C2F3444741FE69FBD929CEEB56D7B43CC5A6B98AB2887EC133F6B1C67984DBF55D9068431CDDDA74344F363D969FE549A4 34CDEEAEFD41085F7C804E515194233B060E93F26289A3240307118B876DA79600C25A1B8CF6B0AEB45CBF3B7807C54B2DCB154F910A66B73C81CAB2FEBC9E127BECC74CFEBC9E127BECC7 4CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6A0AC4980AC7933A9C6AECB7A5D14079DB7CE019D40AA5CF3C39CE44FCDC7210701 5ACF21BC12CD7B4933BFA4D84B505C1FC0135503FB18B0D926CDC29BBAC28C04084D90A5415167C04700327CD2EB504A15B70414FE3DE17B51072F4C9A5796E7BCB2DBCFA9A5610AF72AB9 8E78F8987BD61DCF361D9DB53FFA1524CE3CFDE19D4BA3B054A6DDCF0EB025A5EEB79B6A31A48B7E341A8C4EDD17BF6776C7DE1DB69C0BF0ADE3918F57EA1C9563657C6E922F8F8B3990E3 C136AB946FF83AA1E8E82A1730BBE45BF017B77CD99328C441E63B7828D7E9FE1949D267EAF1E374DE9183393A41FDD8B6A03BFBFB0CFAA7F39B23DAB60666BFD33EBA49B9DDE90A09AECB 2A0BE55BAD1A6AAF9034BCAAD50DC1D38FCE9B1A8A635EA496EE214517E6E23C6055B4F700C6135E74F1FADC87048D4D313C586D472D9668E95500C255E Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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eg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 ---- EOF - GMER 1.0.15 ---- Es geht um die rot gefärbten Einträge. Was bedeuten diese Einträge? Ist das ein Rootkit oder sind das die Reste des Rootkits? Verwaiste Einträge? Habe ich eine Fehler gemacht und wenn ja wo? Oder sehe ich gerade den Wald vor lauter Bäumen nicht? Ich hoffe ihr könnt mir ein wenig weiterhelfen und mir vielleicht erklären, was ich da genau sehe und wie ich es wegbekomme. Mit anderen Worten: "Ich bin ein Noob holt mich hier raus!" (Sorry, habs mir nicht verkneifen können!  ) |
| Themen zu Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys |
| antivir guard, antivirus, avira, bho, cdburnerxp, computer, controlset002, desktop, excel, festplatte, google, hijack, hijackthis, logfile, maleware, plug-in, problem, programm, registrierungsschlüssel, registry, rootkit, scan, secunia, server, software, system, updates, windows, windows xp |
Baum-Darstellung