AVCare, Win32Trojan.TDss und mehr ?

Befallener · 20.08.2009, 13:44

Hallo,
ich habe mir gestern so gegen 23.00 AVCare eingefangen, des weiteren fielen mir ein Prozess msa.exe und eine beim Systemstart ausgeführte b.exe auf.
Symptome waren neben dem nervenden AVCare ein paar Systemabstürze und beim darauffolgenden Neustart ein schwarzer Bildschirm mit bewegbarer Maus (Icon:Uhrenglas) statt des Anmeldebildschirms,
Ein weiterer Neustart verlief dann "normal".
Avira AntiVir startete seitdem aber den Guard nicht mehr.
Die Dateien von AVCare habe ich nach einer Anleitung von www*411-spyware*com_de_avcare-entfernen gelöscht, ebenso die msa.exe aus C:\Windows.
Unter C:\Dokumente und Einstellungen\*Name*\Lokale Einstellungen\Temp\ fanden sich;
- a.exe, b.exe, c.exe
- eine Launcher.exe (Icon:Borland C++ Builder) die höchstwahrscheinlich unschuldig war.
Auch diese Dateien habe ich gelöscht und nach einem Neustart waren keine auffälligen Einträge mehr zu entdecken.
Antivir startete aber immernoch nicht den Guard, also unter services.msc den StartTyp auf Auto gesetzt. Jetzt ist der Schirm zwar auf, aber so richtig traute ich dem ganzen nicht.
AdAware zurategezogen und beim Intelligenten Scan "Win32Trojan.TDss" und ein paar Cookies gefunden, leider endete der Entfernvorgang aber mit einer Fehlermeldung und der zweimaligen Aufforderung einen Fehlerbericht an den Hersteller zu senden.
Die Recherche im Internet führte mich dann wieder auf ein paar Threads hier im Forum, die Programme um das Rootkit (und was sonst noch so da ist) zu entfernen waren mir zu speziell und griffen zu stark ins System ein um sie auszuprobieren. Also liess ich die Finger davon.
Vermutlich hätte ich so eine Idee schon ganz am Anfang haben sollen und nicht versuchen das ganze alleine zu lösen, ich hatte aber nicht mit einem solch schwerwiegenden und widerstandsfähigen Befall gerechnet. (Das Ding kann sich immerhin gegen viele Sachen wehren)
Malware Bytes Programm liess sich zuerst natürlich nicht richtig installieren. Am Ende startet der Prozess mbam.exe und das Setup bleibt beim Beenden hängen, startet man das Programm so erscheint wieder besagter Prozess, dummerweise aber kein passendes Fenster.
Das Starten von einer "Kopie von mbam.exe" funktioniert zwar aber der Entfernvorgang ist nutzlos, da nach dem notwendigen Neustart alles beim alten zu sein scheint, denn zumindest finden Prevx und AdAware immernoch Sachen.
Den Rat im abges. Modus UAC****** und Co zu entfernen habe ich auch befolgen wollen, dummerweise konnte ich diese Einträge nicht finden (Prevx meldet aber 4x uac***.dll und 1x uac***.sys).
Als Vorbereitung auf diesen Thread habe ich CCleaner durchlaufen lassen (und u.a. den Verlauf habe ich aber nicht löschen lassen) und dieser hat vermutlich auch die b.exe aus dem Autostart entfernt.

Ich bin mir inzwischen unsicher was sich alles eingeschlichen hat, gehören
-AVCare
-msa.exe
- a|b|c.exe
-Win32Trojan.TDSss
denn alle zusammen ?

Benutzen kann ich im Moment die meisten Programme normal und ohne merkliche Geschwindigkeitseinbußen. Auch ein kleiner Blick auf den Netzwerkverkehr (Ethereal) bleibt ohne Befund.
Hier im Forum habe ich bereits ein paar Beiträge gefunden die sich mit einem ähnlichen oder sogar demselben Krankheitsbild beschäftigen und wie geschildert habe ich versucht Teile davon umzusetzen.
Ich werde jetzt versuchen mich am Riemen zu reißen und nicht mehr am System rumdoktorn.
Ich hoffe das mir jemand hilft das System wieder von dem Befall oder den Befällen zu befreien.
Bitte nicht schlagen, aber mit HijackThis habe ich ganz am Anfang auch schon ein wenig gearbeitet, weil ich damit mal vor längerer Zeit ein anderes Anhängsel losgeworden bin.
Hier das aktuelle Log (CAPM4RSK.EXE und CAPM4SWK.EXE gehören zu einem Netzwerkdrucker):

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:29:00, on 08/20/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\CAPM4RSK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4SWK.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\ASUS\Probe\AsusProb.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
F:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\Prevx\prevx.exe
E:\HDV3\DTemp\DTemp.exe
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\System32\svchost.exe
C:\remindme\RemindMe.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\system32\devldr32.exe
C:\npp\notepad++.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\bases\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hardware.thgweb.de/index.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - F:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [ Malwarebytes Anti-Malware  (reboot)] "F:\Programme\Mabytes\Kopie von mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: DTemp.lnk = E:\HDV3\DTemp\DTemp.exe
O4 - Startup: RemindMe.lnk = C:\remindme\RemindMe.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://F:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://F:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://F:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: *.otherchance.com
O15 - Trusted Zone: *.whatsnew.name
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228848741171
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1228848725906
O16 - DPF: {CAFEEFAC-0014-0000-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_02) - 
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{31392642-2787-4AA7-A08C-85E146C00CA4}: NameServer = 217.237.150.115,217.237.151.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{31392642-2787-4AA7-A08C-85E146C00CA4}: NameServer = 217.237.150.115,217.237.151.205
O17 - HKLM\System\CS2\Services\Tcpip\..\{31392642-2787-4AA7-A08C-85E146C00CA4}: NameServer = 217.237.150.115,217.237.151.205
O17 - HKLM\System\CS3\Services\Tcpip\..\{31392642-2787-4AA7-A08C-85E146C00CA4}: NameServer = 217.237.150.115,217.237.151.205
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O24 - Desktop Component 1: (no name) - http://www.tomshardware.de/
O24 - Desktop Component 2: (no name) - C:\Dokumente und Einstellungen\*User*\Desktop\Neu Textdokument (4).html

--
End of file - 8793 bytes

und die Einträge aus den backups (zusammengefasst)

Code:

ATTFilter

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

AVCare, Win32Trojan.TDss und mehr ?

Log-Analyse und Auswertung: AVCare, Win32Trojan.TDss und mehr ?

AVCare, Win32Trojan.TDss und mehr ?

Ähnliche Themen: AVCare, Win32Trojan.TDss und mehr ?