![]() |
|
Log-Analyse und Auswertung: AVCare, Win32Trojan.TDss und mehr ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
![]() | ![]() AVCare, Win32Trojan.TDss und mehr ? Hallo, ich habe mir gestern so gegen 23.00 AVCare eingefangen, des weiteren fielen mir ein Prozess msa.exe und eine beim Systemstart ausgeführte b.exe auf. Symptome waren neben dem nervenden AVCare ein paar Systemabstürze und beim darauffolgenden Neustart ein schwarzer Bildschirm mit bewegbarer Maus (Icon:Uhrenglas) statt des Anmeldebildschirms, Ein weiterer Neustart verlief dann "normal". Avira AntiVir startete seitdem aber den Guard nicht mehr. Die Dateien von AVCare habe ich nach einer Anleitung von www*411-spyware*com_de_avcare-entfernen gelöscht, ebenso die msa.exe aus C:\Windows. Unter C:\Dokumente und Einstellungen\*Name*\Lokale Einstellungen\Temp\ fanden sich; - a.exe, b.exe, c.exe - eine Launcher.exe (Icon:Borland C++ Builder) die höchstwahrscheinlich unschuldig war. Auch diese Dateien habe ich gelöscht und nach einem Neustart waren keine auffälligen Einträge mehr zu entdecken. Antivir startete aber immernoch nicht den Guard, also unter services.msc den StartTyp auf Auto gesetzt. Jetzt ist der Schirm zwar auf, aber so richtig traute ich dem ganzen nicht. AdAware zurategezogen und beim Intelligenten Scan "Win32Trojan.TDss" und ein paar Cookies gefunden, leider endete der Entfernvorgang aber mit einer Fehlermeldung und der zweimaligen Aufforderung einen Fehlerbericht an den Hersteller zu senden. Die Recherche im Internet führte mich dann wieder auf ein paar Threads hier im Forum, die Programme um das Rootkit (und was sonst noch so da ist) zu entfernen waren mir zu speziell und griffen zu stark ins System ein um sie auszuprobieren. Also liess ich die Finger davon. Vermutlich hätte ich so eine Idee schon ganz am Anfang haben sollen und nicht versuchen das ganze alleine zu lösen, ich hatte aber nicht mit einem solch schwerwiegenden und widerstandsfähigen Befall gerechnet. (Das Ding kann sich immerhin gegen viele Sachen wehren) Malware Bytes Programm liess sich zuerst natürlich nicht richtig installieren. Am Ende startet der Prozess mbam.exe und das Setup bleibt beim Beenden hängen, startet man das Programm so erscheint wieder besagter Prozess, dummerweise aber kein passendes Fenster. Das Starten von einer "Kopie von mbam.exe" funktioniert zwar aber der Entfernvorgang ist nutzlos, da nach dem notwendigen Neustart alles beim alten zu sein scheint, denn zumindest finden Prevx und AdAware immernoch Sachen. Den Rat im abges. Modus UAC****** und Co zu entfernen habe ich auch befolgen wollen, dummerweise konnte ich diese Einträge nicht finden (Prevx meldet aber 4x uac***.dll und 1x uac***.sys). Als Vorbereitung auf diesen Thread habe ich CCleaner durchlaufen lassen (und u.a. den Verlauf habe ich aber nicht löschen lassen) und dieser hat vermutlich auch die b.exe aus dem Autostart entfernt. Ich bin mir inzwischen unsicher was sich alles eingeschlichen hat, gehören -AVCare -msa.exe - a|b|c.exe -Win32Trojan.TDSss denn alle zusammen ? Benutzen kann ich im Moment die meisten Programme normal und ohne merkliche Geschwindigkeitseinbußen. Auch ein kleiner Blick auf den Netzwerkverkehr (Ethereal) bleibt ohne Befund. Hier im Forum habe ich bereits ein paar Beiträge gefunden die sich mit einem ähnlichen oder sogar demselben Krankheitsbild beschäftigen und wie geschildert habe ich versucht Teile davon umzusetzen. Ich werde jetzt versuchen mich am Riemen zu reißen und nicht mehr am System rumdoktorn. Ich hoffe das mir jemand hilft das System wieder von dem Befall oder den Befällen zu befreien. Bitte nicht schlagen, aber mit HijackThis habe ich ganz am Anfang auch schon ein wenig gearbeitet, weil ich damit mal vor längerer Zeit ein anderes Anhängsel losgeworden bin. Hier das aktuelle Log (CAPM4RSK.EXE und CAPM4SWK.EXE gehören zu einem Netzwerkdrucker): Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:29:00, on 08/20/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\CAPM4RSK.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4SWK.EXE C:\WINDOWS\Explorer.EXE C:\Programme\ASUS\Probe\AsusProb.exe C:\WINDOWS\system32\taskswitch.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe F:\Programme\TortoiseSVN\bin\TSVNCache.exe C:\Programme\Prevx\prevx.exe E:\HDV3\DTemp\DTemp.exe C:\Programme\Borland\InterBase\bin\ibguard.exe C:\WINDOWS\System32\svchost.exe C:\remindme\RemindMe.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Prevx\prevx.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Borland\InterBase\bin\ibserver.exe C:\WINDOWS\system32\devldr32.exe C:\npp\notepad++.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\Mozilla Firefox\firefox.exe D:\bases\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hardware.thgweb.de/index.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - F:\Programme\Free Download Manager\iefdmcks.dll O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\RunOnce: [ Malwarebytes Anti-Malware (reboot)] "F:\Programme\Mabytes\Kopie von mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: DTemp.lnk = E:\HDV3\DTemp\DTemp.exe O4 - Startup: RemindMe.lnk = C:\remindme\RemindMe.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Download all with Free Download Manager - file://F:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://F:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://F:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O15 - Trusted Zone: *.otherchance.com O15 - Trusted Zone: *.whatsnew.name O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228848741171 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1228848725906 O16 - DPF: {CAFEEFAC-0014-0000-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_02) - O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{31392642-2787-4AA7-A08C-85E146C00CA4}: NameServer = 217.237.150.115,217.237.151.205 O17 - HKLM\System\CS1\Services\Tcpip\..\{31392642-2787-4AA7-A08C-85E146C00CA4}: NameServer = 217.237.150.115,217.237.151.205 O17 - HKLM\System\CS2\Services\Tcpip\..\{31392642-2787-4AA7-A08C-85E146C00CA4}: NameServer = 217.237.150.115,217.237.151.205 O17 - HKLM\System\CS3\Services\Tcpip\..\{31392642-2787-4AA7-A08C-85E146C00CA4}: NameServer = 217.237.150.115,217.237.151.205 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O24 - Desktop Component 1: (no name) - http://www.tomshardware.de/ O24 - Desktop Component 2: (no name) - C:\Dokumente und Einstellungen\*User*\Desktop\Neu Textdokument (4).html -- End of file - 8793 bytes Code:
ATTFilter O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 |
Themen zu AVCare, Win32Trojan.TDss und mehr ? |
ad-aware, anfang, antivir, antivir guard, bho, bildschirm, browser, c.exe, desktop, einstellungen, excel, firefox, free download, helper, hijack, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, malwarebytes anti-malware, maus, mozilla, netzwerkverkehr, prozess, rootkit, scan, schwarzer bildschirm, software, starten, teile davon, trojan.tdss, windows xp |