| |
| |||||||
Log-Analyse und Auswertung: Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.TdssWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
19.11.2009, 17:40
| #76 |
  |  Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss Hi, ich nochmal.... Habe mich dank myrtille mal etwas eingelesen in das neue Teil, da haben wir de facto momentan nur ein Chance: Den PC von aussen überprüfen, daher basteln wir uns (am Besten auf einem sauberen Rechner) eine Boot-CD: (Probiere aber das mit GMER noch, der wartet noch auf Feedback, ggf. mal im abgesicherten Modus probieren!) Antivir, Rescue-CD für Rechner ohne ATI-Karte (gibt sonst Probleme) http://www.avira.de/de/support/support_downloads.html Dort bitte das Rescue System sowie das update dazu runterladen. Beim Start der Anwendung leere CD in den Brenner, CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update. Von CD booten (Einstellung im BIOS vornehmen)... http://www.pcwelt.de/start/sicherhei...s/news/149200/ G Data-Rettungs-CD, Größe ca. 110 MB: http://www.gdata.de/typo3conf/ext/da....php?docID=826 Runterladen und dann auf CD brennen, von CD booten (im Bios die Bootreihenfolge umstellen, gilt auch für AVIRA).... Dann von CD booten,, kompletten Rechner (alle HDs etc.) prüfen lassen. Am besten auf einem sauberen Rechner dann noch von der Windows-CD die atapi.sys auf einen Stick kopieren und die auf dem Rechner vorhandenen damit plattmachen... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
19.11.2009, 19:50
| #77 |
 | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss Danke Chris.
__________________Windows zeigt mir schon wieder ein paar neue Updates an, werde die schnell downloaden und installieren. (~ für IE8 und .Net und Jscript 5.8 und WinXP). Werde dann GMER nochmal im abgesicherten Modus probieren (mal sehen, wie weit er kommt). Gmer ist bei mir beim letzten Mal auch immer abgestürzt. (Antivir war beim Gmer-Scan deaktiviert, die Sygate Firewall beendet). edit: eieiei, ich konnte Windows im abgesicherten Modus nicht starten, sowohl mit als auch ohne Netzwerktreiber, er bootet dann neu und zeigt den Auswahlbildschirm an. Werde GMER nochmal im normalen Modus probieren (ohne Antivier, Sygate und ohne Internetverbindung). Gmer zum zweiten: wieder abgestürzt, konnte aber ein log speichern: Code:
ATTFilter GMER 1.0.15.15227 - http://www.gmer.net
Rootkit scan 2009-11-19 20:28:45
Windows 5.1.2600 Service Pack 3
Running: q85ssexw.exe; Driver: C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\pxtdypow.sys
---- System - GMER 1.0.15 ----
SSDT B2C40386 ZwCreateKey
SSDT B2C4037C ZwCreateThread
SSDT B2C4038B ZwDeleteKey
SSDT B2C40395 ZwDeleteValueKey
SSDT B2C4039A ZwLoadKey
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwMapViewOfSection [0xEB7478D0]
SSDT B2C40368 ZwOpenProcess
SSDT B2C4036D ZwOpenThread
SSDT B2C403A4 ZwReplaceKey
SSDT B2C4039F ZwRestoreKey
SSDT B2C40390 ZwSetValueKey
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwShutdownSystem [0xEB747E70]
SSDT B2C40377 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text tcpip.sys!IPTransmit + 10FC B7A50D3A 6 Bytes CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!IPTransmit + 2A52 B7A52690 6 Bytes CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!IPRegisterProtocol + 930 B7A68454 6 Bytes CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text wanarp.sys B876E3FD 7 Bytes CALL F731B350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\Explorer.EXE[1672] WININET.dll!InternetReadFile 408C654B 5 Bytes JMP 13159E5C
.text C:\WINDOWS\Explorer.EXE[1672] WININET.dll!InternetCloseHandle 408C9088 5 Bytes JMP 1315A05C
.text C:\WINDOWS\Explorer.EXE[1672] WININET.dll!InternetQueryDataAvailable 408CBF7F 5 Bytes JMP 13159C7C
.text C:\WINDOWS\Explorer.EXE[1672] WININET.dll!HttpOpenRequestA 408CD508 5 Bytes JMP 13158964
.text C:\WINDOWS\Explorer.EXE[1672] WININET.dll!InternetConnectA 408CDEAE 5 Bytes JMP 1315880C
.text C:\WINDOWS\Explorer.EXE[1672] WININET.dll!HttpSendRequestW 408CFABE 5 Bytes JMP 13159688
.text C:\WINDOWS\Explorer.EXE[1672] WININET.dll!InternetOpenA 408DD690 5 Bytes JMP 131587C0
.text C:\WINDOWS\Explorer.EXE[1672] WININET.dll!HttpSendRequestA 408DEE89 5 Bytes JMP 13159288
.text C:\WINDOWS\Explorer.EXE[1672] WININET.dll!InternetReadFileExW 408E3349 5 Bytes JMP 1315A00C
.text C:\WINDOWS\Explorer.EXE[1672] WININET.dll!InternetReadFileExA 408E3381 5 Bytes JMP 13159FBC
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
---- Devices - GMER 1.0.15 ----
Device \Driver\Tcpip \Device\Ip wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\Tcp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
Device \Driver\Tcpip \Device\Udp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\RawIp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\IPMULTICAST wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Geändert von Joe007 (19.11.2009 um 20:34 Uhr) |
|
19.11.2009, 20:46
| #78 | |
| | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss neuer Versuch mit Gmer, nur Laufwerk C:\, Antivir deaktiviert, Sygate beendet, aber mit Internetverbindung.
__________________Gmer zeigt (u.a.) an: Zitat:
|
|
19.11.2009, 22:02
| #79 |
| | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss So, Gmer-Scan von C:\ fertig. log: Code:
ATTFilter GMER 1.0.15.15227 - http://www.gmer.net
Rootkit scan 2009-11-19 22:00:00
Windows 5.1.2600 Service Pack 3
Running: q85ssexw.exe; Driver: C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\pxtdypow.sys
---- System - GMER 1.0.15 ----
SSDT EBF3BF36 ZwCreateKey
SSDT EBF3BF2C ZwCreateThread
SSDT EBF3BF3B ZwDeleteKey
SSDT EBF3BF45 ZwDeleteValueKey
SSDT EBF3BF4A ZwLoadKey
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwMapViewOfSection [0xEC3898D0]
SSDT EBF3BF18 ZwOpenProcess
SSDT EBF3BF1D ZwOpenThread
SSDT EBF3BF54 ZwReplaceKey
SSDT EBF3BF4F ZwRestoreKey
SSDT EBF3BF40 ZwSetValueKey
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwShutdownSystem [0xEC389E70]
SSDT EBF3BF27 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text tcpip.sys!IPTransmit + 10FC EB1D6D3A 6 Bytes CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!IPTransmit + 2A52 EB1D8690 6 Bytes CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!IPRegisterProtocol + 930 EB1EE454 6 Bytes CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text wanarp.sys EC55E3FD 7 Bytes CALL F731B350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\Explorer.EXE[1720] WININET.dll!InternetReadFile 408C654B 5 Bytes JMP 13159E5C
.text C:\WINDOWS\Explorer.EXE[1720] WININET.dll!InternetCloseHandle 408C9088 5 Bytes JMP 1315A05C
.text C:\WINDOWS\Explorer.EXE[1720] WININET.dll!InternetQueryDataAvailable 408CBF7F 5 Bytes JMP 13159C7C
.text C:\WINDOWS\Explorer.EXE[1720] WININET.dll!HttpOpenRequestA 408CD508 5 Bytes JMP 13158964
.text C:\WINDOWS\Explorer.EXE[1720] WININET.dll!InternetConnectA 408CDEAE 5 Bytes JMP 1315880C
.text C:\WINDOWS\Explorer.EXE[1720] WININET.dll!HttpSendRequestW 408CFABE 5 Bytes JMP 13159688
.text C:\WINDOWS\Explorer.EXE[1720] WININET.dll!InternetOpenA 408DD690 5 Bytes JMP 131587C0
.text C:\WINDOWS\Explorer.EXE[1720] WININET.dll!HttpSendRequestA 408DEE89 5 Bytes JMP 13159288
.text C:\WINDOWS\Explorer.EXE[1720] WININET.dll!InternetReadFileExW 408E3349 5 Bytes JMP 1315A00C
.text C:\WINDOWS\Explorer.EXE[1720] WININET.dll!InternetReadFileExA 408E3381 5 Bytes JMP 13159FBC
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
---- Devices - GMER 1.0.15 ----
Device \Driver\Tcpip \Device\Ip wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\Tcp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
Device \Driver\Tcpip \Device\Udp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\RawIp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\IPMULTICAST wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \Driver\00000196 -> \Driver\atapi \Device\Harddisk0\DR0 86F46170
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@j!s!i!`!r!`!e!d!\30!\30!t!e!s!m!s!y! 71230
---- Files - GMER 1.0.15 ----
File C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\ET_MME~1.JS 3397 bytes
File C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\OVERLA~1.JS 6443 bytes
File C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\styles.css 5870 bytes
---- EOF - GMER 1.0.15 ----
|
|
20.11.2009, 00:58
| #80 | |
| | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.TdssZitat:
Bzw. hab jetzt auch ein Update mit der eingebauten Programmfunktion übers Internet geschafft, sollte passen denk ich. PC scannt jetzt (hab ihn mal vom Inet getrennt), lasse Funde erstmal nur protokollieren (oder hätte ich sie gleich löschen/reparieren sollen?). Morgen weiß ich das Ergebnis... Die Avira Antivir Rescue System CD hat nicht gleich funktioniert, die Initialisierung blieb bei der Meldung "Einbinden der Geräte /dev/fda" stehen. Habe schließlich nach googeln den FDC Controller deaktiviert (nicht vorhandenes Diskettenlaufwerk deaktivieren), dann gings (falls mal wieder jemand das gleiche Problem hat). Der Link zur G Data-Rettungs-CD hat bei mir leider nicht funktioniert. Gibt es da noch einen alternativen Link? Ist das eine von diesen hier: h**p://www.gdata.de/support/downloads/testversionen.html |
|
20.11.2009, 09:36
| #81 |
| | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss Hi, die atapi.sys ist weiterhin mit dem Rootkit infiziert... Die Desinfektionsversuche sind damit allesamt gescheitert... Wir müssen sie von CD aus ersetzten... Der Rootkit ist hochintelligent, hat die "ersetzten" codesegmente gesichert, versucht man die atapi.sys zu laden, dann gibt er die "original"-Teile zurück und ist daher nicht zu finden... Weiterhin wurde die Strategie des RK geändert. Versuchte er bisher nur Google-Ergebnisse zu "manipulieren", öffnet er jetzt selber werbefenster... (bringt wahrscheinlich schneller mehr Geld...)... Was sagt der Scann von aussen (dann läuft der RK nicht und sollte eigentlich erkannt werden können). Hast Du eine Windows-CD, von der wir die atapi.sys extrahiren können? Wir können leider nicht erkennen, ob die sonst noch vorhandenen atapi.sys-Dateien nicht auch schon manipuliert wurden... chris
__________________ --> Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss |
|
20.11.2009, 09:59
| #82 |
| | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss Hi Chris, Avira Antivir Rescue CD hat gescannt, 0 Funde, 0 verdächtige Dateien, 52 Warnungen. log (konnte ich über die konsole und eine Anleitung von h*p://forum.avira.com/wbb/index.php?page=Thread&threadID=82163 speichern, das logfile war für den cp-Befehl unter /var/log/antivirlog.txt): Code:
ATTFilter AntiVir / Linux Version 2.1.12-228
Copyright (c) 2008 by Avira GmbH.
All rights reserved.
VDF version: 7.10.1.33 created 19 Nov 2009
AntiVir license: 149995 for AntiVir Rescue System
checking the master boot record of drive 128
error (123): cannot read record
checking the master boot record of drive 129
error (25): cannot read record
auto excluding /sys/ from scans (is a special fs)
auto excluding /proc from scans (is a special fs)
checking drive/path (list): /media/Devices/
archive: /media/Devices/sda1/Dateien/***/Uni/Grundstudium/2. Semester/Investition und Finanzierung/IuF_WS0405.ace --> IuF_WS0405_1.jpg extract error (Unknown or unsupported compression method.)
archive: /media/Devices/sda1/Dateien/***/Uni/Grundstudium/2. Semester/Investition und Finanzierung/IuF_WS0405.ace --> IuF_WS0405_2.jpg extract error (Total loss, can't extract rest of archive.)
/media/Devices/sda1/Dateien/***/Uni/Grundstudium/2. Semester/Investition und Finanzierung/IuF_WS0405.ace
WARNING: archive not completely scanned: format unsupported
/media/Devices/sda1/Dateien/***/Uni/Grundstudium/2. Semester/Investition und Finanzierung/IuF_WS0405.ace
WARNING: archive not completely scanned: processing error
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.020 --> GameData\Textures\Textures.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.020
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.001 --> GameData\Animation\Animation.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.001
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.002 --> GameData\Animation\Animation.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.002
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.003 --> GameData\Animation\Animation.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.003
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.004 --> GameData\Animation\Animation.far extract error (Archive is multiple volume.)
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.004 --> GameData\Global\Global.far extract error (Total loss, can't extract rest of archive.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.004
WARNING: archive not completely scanned: part of a multi volume archive
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.004
WARNING: archive not completely scanned: processing error
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.005 --> GameData\Objects\Objects.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.005
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.006 --> GameData\Objects\Objects.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.006
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.007 --> GameData\Objects\Objects.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.007
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.008 --> GameData\Objects\Objects.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.008
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.009 --> GameData\Objects\Objects.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.009
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.010 --> GameData\Objects\Objects.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.010
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.011 --> GameData\Objects\Objects.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.011
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.012 --> GameData\Objects\Objects.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.012
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.013 --> GameData\Objects\Objects.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.013
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.014 --> GameData\Objects\Objects.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.014
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.015 --> GameData\Objects\Objects.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.015
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.016 --> GameData\Objects\Objects.far extract error (Archive is multiple volume.)
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.016 --> GameData\Textures\Textures.far extract error (Total loss, can't extract rest of archive.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.016
WARNING: archive not completely scanned: part of a multi volume archive
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.016
WARNING: archive not completely scanned: processing error
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.017 --> GameData\Textures\Textures.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.017
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.018 --> GameData\Textures\Textures.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.018
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.019 --> GameData\Textures\Textures.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.019
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.021 --> GameData\Textures\Textures.far extract error (Archive is multiple volume.)
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.021 --> UIGraphics\UIGraphics.far extract error (Total loss, can't extract rest of archive.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.021
WARNING: archive not completely scanned: part of a multi volume archive
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.021
WARNING: archive not completely scanned: processing error
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.022 --> UIGraphics\UIGraphics.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.022
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.023 --> UIGraphics\UIGraphics.far extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.023
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.024 --> UIGraphics\UIGraphics.far extract error (Archive is multiple volume.)
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.024 --> SoundData imsgeneratedhitsource.hit extract error (Total loss, can't extract rest of archive.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.024
WARNING: archive not completely scanned: part of a multi volume archive
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.024
WARNING: archive not completely scanned: processing error
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.025 --> GameData\Sprites.iff extract error (Archive is multiple volume.)
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.025 --> GameData\UIText.iff extract error (Total loss, can't extract rest of archive.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.025
WARNING: archive not completely scanned: part of a multi volume archive
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.025
WARNING: archive not completely scanned: processing error
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.026 --> Music ims.wve extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.026
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.027 --> Music ims.wve extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.027
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.028 --> Music ims.wve extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.028
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.029 --> Music ims.wve extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.029
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.030 --> Music ims.wve extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.030
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.031 --> Music ims.wve extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.031
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.032 --> Music ims.wve extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.032
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.033 --> Music ims.wve extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.033
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.034 --> Music ims.wve extract error (Archive is multiple volume.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.034
WARNING: archive not completely scanned: part of a multi volume archive
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.035 --> Music ims.wve extract error (Archive is multiple volume.)
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.035 --> SoundData\TVStations\TV_Action\b\TV_ACTION_AIRPLANE.XA extract error (Total loss, can't extract rest of archive.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.035
WARNING: archive not completely scanned: part of a multi volume archive
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.035
WARNING: archive not completely scanned: processing error
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.036 --> SoundData\TVStations\TV_Action\e\TV_ACTION_MUS6.XA extract error (Archive is multiple volume.)
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.036 --> SoundData\TVStations\TV_Action\e\TV_ACTION_MUS7.XA extract error (Total loss, can't extract rest of archive.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.036
WARNING: archive not completely scanned: part of a multi volume archive
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.036
WARNING: archive not completely scanned: processing error
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.037 --> SoundData\TVStations\TV_Mystery\a\TV_HOR_MONSTERWAITS.XA extract error (Archive is multiple volume.)
archive: /media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.037 --> SoundData\TVStations\TV_Mystery\b\TV_HOR_MUSIC.XA extract error (Total loss, can't extract rest of archive.)
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.037
WARNING: archive not completely scanned: part of a multi volume archive
/media/Devices/sda1/Dateien/Dateien vom ganz alten PC/CDRW3/Sims/SIMS.037
WARNING: archive not completely scanned: processing error
archive: /media/Devices/sda1/Dateien/Downloads/CyberLink Power Director 7 Ultra/56053_PowerDirector_7_Ultra.zip --> 56053_PowerDirector_7_Ultra/PDR7_2227c_VDE080709-04.exe extract error (Error file write.)
/media/Devices/sda1/Dateien/Downloads/CyberLink Power Director 7 Ultra/56053_PowerDirector_7_Ultra.zip
WARNING: archive not completely scanned: processing error
archive: /media/Devices/sda1/Dokumente und Einstellungen/All Users/Dokumente/Mein Geld/MeinGeld.mgz --> MeinGeld.mgd extract error (All files in archive are encrypted.)
/media/Devices/sda1/Dokumente und Einstellungen/All Users/Dokumente/Mein Geld/MeinGeld.mgz
WARNING: archive not completely scanned: contents encrypted
archive: /media/Devices/sda1/Dokumente und Einstellungen/All Users/Dokumente/Mein Geld/Backup/MeinGeld~1.mgz --> MeinGeld.mgd extract error (All files in archive are encrypted.)
/media/Devices/sda1/Dokumente und Einstellungen/All Users/Dokumente/Mein Geld/Backup/MeinGeld~1.mgz
WARNING: archive not completely scanned: contents encrypted
archive: /media/Devices/sda1/Dokumente und Einstellungen/***/Eigene Dateien/Turbo Lister Backup/***22012009.imb --> ***22012009 extract error (Error file write.)
/media/Devices/sda1/Dokumente und Einstellungen/***/Eigene Dateien/Turbo Lister Backup/***22012009.imb
WARNING: archive not completely scanned: processing error
archive: /media/Devices/sda1/Dokumente und Einstellungen/***/Eigene Dateien/zTurbo Lister Backup/***29112008.imb --> ***29112008 extract error (Error file write.)
/media/Devices/sda1/Dokumente und Einstellungen/***/Eigene Dateien/zTurbo Lister Backup/***29112008.imb
WARNING: archive not completely scanned: processing error
------ scan results ------
directories: 15416
scanned files: 496450
alerts: 0
suspicious: 0
warnings: 52
scan time: 01:05:57
--------------------------
Thank you for using AntiVir.
p.s.: werde mal auf den windows cds (1 support cd und 1 recovery cd) nach der atapi.sys suchen; hab hier noch nen anderen pc mit xp, notfalls könnte ich sie evtl. vom dem kopieren (nach ner virustotal-überprüfung) nochmal edit: hab ATAPI.SY_ auf der cd gefunden :-) Virustotal-Report von der in atapi.sys umbenannten Datei von der CD: Code:
ATTFilter Datei atapi.sys empfangen 2009.11.20 09:06:35 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.20 -
AhnLab-V3 5.0.0.2 2009.11.19 -
AntiVir 7.9.1.72 2009.11.19 -
Antiy-AVL 2.0.3.7 2009.11.20 -
Authentium 5.2.0.5 2009.11.19 -
Avast 4.8.1351.0 2009.11.20 -
AVG 8.5.0.425 2009.11.19 -
BitDefender 7.2 2009.11.20 -
CAT-QuickHeal 10.00 2009.11.20 -
ClamAV 0.94.1 2009.11.20 -
Comodo 2983 2009.11.19 -
DrWeb 5.0.0.12182 2009.11.20 -
eSafe 7.0.17.0 2009.11.19 -
eTrust-Vet 35.1.7132 2009.11.20 -
F-Prot 4.5.1.85 2009.11.19 -
F-Secure 9.0.15370.0 2009.11.17 -
Fortinet 3.120.0.0 2009.11.20 -
GData 19 2009.11.20 -
Ikarus T3.1.1.74.0 2009.11.20 -
Jiangmin 11.0.800 2009.11.20 -
K7AntiVirus 7.10.900 2009.11.19 -
Kaspersky 7.0.0.125 2009.11.20 -
McAfee 5807 2009.11.19 -
McAfee+Artemis 5807 2009.11.19 -
McAfee-GW-Edition 6.8.5 2009.11.20 -
Microsoft 1.5302 2009.11.20 -
NOD32 4624 2009.11.20 -
Norman 6.03.02 2009.11.19 -
nProtect 2009.1.8.0 2009.11.20 -
Panda 10.0.2.2 2009.11.20 -
PCTools 7.0.3.5 2009.11.20 -
Prevx 3.0 2009.11.20 -
Rising 22.22.04.04 2009.11.20 -
Sophos 4.47.0 2009.11.20 -
Sunbelt 3.2.1858.2 2009.11.19 -
Symantec 1.4.4.12 2009.11.20 -
TheHacker 6.5.0.2.074 2009.11.19 -
TrendMicro 9.0.0.1003 2009.11.20 -
VBA32 3.12.12.0 2009.11.20 -
ViRobot 2009.11.20.2046 2009.11.20 -
VirusBuster 5.0.21.0 2009.11.19 -
weitere Informationen
File size: 47118 bytes
MD5...: a88f2b56da29bad0c8ed9760a2d4c705
SHA1..: 3a8cec9e12784840ce94aeecf57bbb207907e3a2
SHA256: 05eab1e4a3c76f95d5fc415e070ae63535de03d77fda3afeda2412ff9cbd1551
ssdeep: 768:bczUWkdmJWB96TZkXsQmlNCFIs9zpQnWaviSImLr7VSqTl60L9Uon59Bpjf3
IG0k:eULB9694mDSP99Xaq9qTA0r59K1NOBZ
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Microsoft Cabinet Archive (99.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Geändert von Joe007 (20.11.2009 um 10:10 Uhr) |
|
20.11.2009, 10:17
| #83 |
| | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss Hi, umbenennen alleine reicht nicht, sie muss ausgepackt werden... Code:
ATTFilter expand -r atapi.sy_ c:\windows\system32\drivers\atapi.sys
chris Ps.: Wo auf der CD fährt die atapi.sy_ rum, damit ich mir das notieren kann (habe hier leider keine XP-CD zum nachschauen)...
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
20.11.2009, 10:24
| #84 |
| | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss jetzt ist grad mein laptop abgestürzt, hmm, der wird doch nicht, vista lief bisher ganz stabil drauf.. die atapi.sy_ ist im Ordner \I386 muss ich den expand befehl in der dos-eingabeaufforderung eingeben? Geändert von Joe007 (20.11.2009 um 10:30 Uhr) |
|
20.11.2009, 10:27
| #85 |
| | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss Hi, ja in der cmd-box (command-Line)... Da am Anfang CF die mal ersetzt hatte, denke ich es muß noch ein Tropper aktive sein, oder aber das Teil hat erstmal alle vorhanden gegen die infizierte ausgetauscht.... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
20.11.2009, 10:30
| #86 | |
| | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss habe auf dem infizierten pc mehrere atapis gefunden: atapi.sy_ in C:\Windows\I386 atapi.sys in C:\Windows\$NtServicePackUninstall$, C:\Windows\ERDNT\cache, C:\Windows\I386\SP2.CAB, C:\Windows\ServicePackFiles\i386, C:\Windows\system32\drivers, C:\Windows\Driver Cache\i386\sp2.cab, C:\Windows\Driver Cache\i386\sp3.cab, C:\Windows\ServicePackFiles\i386\sp3.cab ((und decatapi.txt und vatapi.vxd)) edit: ich bekam beim expandieren ne Fehlermeldung: Zitat:
Geändert von Joe007 (20.11.2009 um 10:42 Uhr) |
|
20.11.2009, 10:44
| #87 |
| | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss Hi, hast du von XP-CD gebootet und stehst Du in der CMD? Dann bitte das hier durchführen: Code:
ATTFilter expand C:\Windows\Driver Cache\i386\sp3.cab -F:atapi.sys
Die dann (wenn der Rechner SP3 hat) über die verseuchte kopieren... So, muss jetzt zu einer Telko.... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
20.11.2009, 10:54
| #88 |
| | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss danke, werd's versuchen. steh in der cmd im Verzeichnis E:\i386 hab jetzt ein wenig herumprobiert, schließlich hat Code:
ATTFilter expand -r E:\i386\atapi.sy_ C:\Windows\system32\drivers\
die atapi aus sp3.cab hat nicht mit dem Befehl funktioniert bzw. ich war mir unsicher, ob nicht alles expandiert wird, wenn ich C:\Windows\system32\drivers\ als destination/ziel angebe Geändert von Joe007 (20.11.2009 um 11:18 Uhr) |
|
20.11.2009, 11:37
| #89 |
| | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss Hi, dann wäre jetzt mal ein Reboot notwendig... Trenne den Rechner erstmal vom Netz und lass von der Sygate die spoolsv.exe blockieren... Das Teil kommt übrigens über infizierte webpages und wird von einem Dropper fallen gelassen, der die spoolsv.exe zum nachladen der Rootkitkomponenten benutzt. Da das ein Windowsprozess ist, kommt der natürlich ohne Probleme durch die Firewall und das Unglück nimmt seinen Lauf... chris Ps.: Was bei mir noch ein ungutes Gefühl hervorruft ist das hier: IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 Da hängt noch was in Betriegssystemkernel rum...
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (20.11.2009 um 11:46 Uhr) |
|
20.11.2009, 12:10
| #90 | |
| | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss weiß nicht genau, wo ich speziell spoolsv.exe blockieren kann werde beim neustart einfach alles blockieren. (hab spoolsv.exe unter Applikationen nicht gefunden) Dafür sind mir dort ein paar Dateien aus dem Temp-Ordner aufgefallen, die hab ich dann gesucht, und bin draufgekommen, dass der Temp-Ordner nicht angezeigt wird, obwohl ich zu Anfang mal überprüft habe, dass Systemdateien und versteckte Dateien angezeigt werden. Kann das von Combofix o.ä. geändert worden sein? Kann das Einfluss auf Scans gehabt haben, so dass potentiell infizierte Dateien gar nicht gescannt worden sind? edit: die versteckten dateien hatte ich mir bereits vorher anzeigen lassen, ich hab das gleich am anfang nach deinem hinweis nochmal überprüft: Zitat:
|
|
| Themen zu Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss |
| antivir, antivir guard, aufgehängt, combofix, content.ie5, dateien, diverse, einstellungen, firefox, firewall, google, hängt, index, infiziert, logfiles, malwarebytes, microsoft, mozilla, namen, net.net, neue tabs, neustart, programm, scan, software, suche, system, temp, trojaner-board, virus, virus/trojaner, windows |
Linear-Darstellung
