Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Rootkit.TDSS werde ich nicht los!

Rootkit.TDSS werde ich nicht los!


Plagegeister aller Art und deren Bekämpfung: Rootkit.TDSS werde ich nicht los!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.09.2009, 17:06   #1
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!


Hallo,
habe mir ein Virus eingefangen.
Die meisten schädlichen Datein hat mir bereits Malewarebytes und NOD entfernt.

Aber eine Meldung in der Registry kommt immer wieder.

Malewarebyte log:
Zitat:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2744
Windows 6.0.6001 Service Pack 1

05.09.2009 17:56:26
malwarbytes

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 217995
Laufzeit: 1 hour(s), 11 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\kbiwkmosiuqvsq (Rootkit.TDSS) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
---------------------------

Hijacklog:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:58:17, on 05.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.178.25/LiveTV.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DATA BECKER Update Service (DBService) - DATA BECKER GmbH & Co KG - C:\Program Files\Common Files\DATA BECKER Shared\DBService.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\Windows\SYSTEM32\DWRCS.EXE
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 4130 bytes
NOD32 findet inzwischen nix mehr.
Und Malebytes findet, entfernt aber nach einem neustart ist "es" wieder da.



Wer hilft mir?

mfg
Moni
Geändert von moni81 (05.09.2009 um 17:17 Uhr)

Alt 05.09.2009, 17:19   #2
john.doe
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!


Hallo moni81 und

Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr hohem Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du dich für Bereinigen entscheiden, auch wenn es länger dauern wird, dann beginne mit RSIT. Poste bitte beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
ciao, andreas
__________________

__________________
Alt 05.09.2009, 17:59   #3
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!


Würde gern eine Neuinstallation vermeiden!
Was macht so ein rootkit eigentlich?
ccleaner lief komplett durch aber die confi.exe hat sich mit einem bluescreen verabschiedet
Hier mal die beiden logs:


Zitat:
info.txt logfile of random's system information tool 1.06 2009-09-05 18:28:02

======Uninstall list======

Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.5 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003}
Alcatech BPM Studio Professional v4.9.1-->C:\PROGRA~1\ALCATech\BPM-ST~1\UNWISE.EXE C:\PROGRA~1\ALCATech\BPM-ST~1\INSTALL.LOG
Apple Mobile Device Support-->MsiExec.exe /I{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
Canon iP4500 series-->"C:\Windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4500_series\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4500_series /L0x0007
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Chipkartenleser-->C:\Windows\unin0407.exe -f"C:\Program Files\Chipkartenleser\DeIsL1.isu" -c"C:\Program Files\Chipkartenleser\_ISREG32.DLL"
DATA BECKER TVISTA - Tuning Vista 2.0-->"C:\Program Files\DATA BECKER\TVISTA - Tuning Vista 2.0\unins000.exe"
DBox II - Bootmanager-->C:\Program Files\DBoxBoot\FT_SETUP.EXE 0
DBOX2 Image-Flashing-Assistent 3.1.1-->"C:\Program Files\DBOX_IFA\unins000.exe"
Dell Touchpad-->C:\Program Files\DellTPad\Uninstap.exe ADDREMOVE
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
FileZilla Client 3.0.4.1-->C:\Program Files\FileZilla Client\uninstall.exe
FlexPoints 2.01-->MsiExec.exe /I{B727BD4D-0C42-43F7-AC60-4AFBDDC732BD}
HE@D PC_Program-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EB86D0C1-E6AA-48DA-A8ED-AFD7A0AACC0A}\setup.exe" -l0x7 -removeonly
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
IrfanView (remove only)-->C:\Program Files\IrfanView\iv_uninstall.exe
iTunes-->MsiExec.exe /I{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
LocoRoco 2 - Wave-->"C:\Windows\LocoRoco 2 - Wave Uninstaller\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
MozBackup 1.4.6-->"C:\Program Files\MozBackup\unins000.exe"
Mozilla Firefox (3.0.13)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Nordenta CD Katalog 2008-2009 v1.8.2.17-->"C:\Program Files\Nordenta CD Katalog 2008-2009\unins000.exe"
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
OpenOffice.org 2.4-->MsiExec.exe /I{CCD90636-D97D-4130-A44A-3AD4E63B9220}
Panda ActiveScan 2.0-->C:\Program Files\Panda Security\ActiveScan 2.0\as2uninst.exe
ProtectDisc Driver, Version 11-->C:\Program Files\ProtectDisc Driver Installer\uninstall_v11.exe
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Remote Control USB Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8471021C-F529-43DE-84DF-3612E10F58C4}\setup.exe" -l0x9 -removeonly
SetEditHomecast (remove only)-->"C:\Program Files\SetEditHomecast\uninstall.exe"
Stickies 6.5a-->"C:\Windows\lsb_un20.exe" /C=UC /N=Stickies 6.5a
TuneUp Utilities 2008-->MsiExec.exe /I{5888428E-699C-4E71-BF71-94EE06B497DA}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VideoLAN VLC media player 0.8.6f-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Vista Codec Package-->MsiExec.exe /I{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}
Wella Koleston Perfect Farbberatung V2.20.017-->MsiExec.exe /X{EE430E2D-8360-4851-ABD9-6C0E00942BD2}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows-Soundschemas-->RunDll32 advpack.dll,LaunchINFSection C:\Windows\INF\UltSound.inf,Uninstall
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Zehnder Toolbox 1.5-->"C:\Program Files\Zehnder\unins000.exe"

=====HijackThis Backups=====

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = [2009-09-05]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = [2009-09-05]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 [2009-09-05]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 [2009-09-05]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 [2009-09-05]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 [2009-09-05]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 [2009-09-05]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [2009-09-05]
O23 - Service: Anwendungserfahrung AeLookupSvcALG (AeLookupSvcALG) - Unknown owner - C:\Windows\TEMP\rdwrjyifyv.exe (file missing) [2009-09-05]
O23 - Service: Anwendungserfahrung AeLookupSvcALG (AeLookupSvcALG) - Unknown owner - C:\Windows\TEMP\rdwrjyifyv.exe (file missing) [2009-09-05]
O13 - Gopher Prefix: [2009-09-05]

======Security center information======

AS: Windows-Defender (disabled) (outdated)

======System event log======

Computer Name: DELL
Event Code: 10029
Message: DCOM hat den Dienst TrustedInstaller mit den Argumenten "" gestartet, um den Server auszuführen:
{752073A1-23F2-4396-85F0-8FDB879ED0ED}
Record Number: 107321
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20090905150014.000000-000
Event Type: Informationen
User:

Computer Name: DELL
Event Code: 7036
Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Ausgeführt".
Record Number: 107322
Source Name: Service Control Manager
Time Written: 20090905150015.000000-000
Event Type: Informationen
User:

Computer Name: DELL
Event Code: 8032
Message: Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{60401A05-9C98-4369-8CA6-37F39FEA0F3B}" zu oft fehl. Der Sicherungssuchdienst wird beendet.
Record Number: 107323
Source Name: BROWSER
Time Written: 20090905150224.000000-000
Event Type: Fehler
User:

Computer Name: DELL
Event Code: 7036
Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Beendet".
Record Number: 107324
Source Name: Service Control Manager
Time Written: 20090905151016.000000-000
Event Type: Informationen
User:

Computer Name: DELL
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 107325
Source Name: Service Control Manager
Time Written: 20090905151624.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: DELL
Event Code: 102
Message: WinMail (2440) WindowsMail0: Das Datenbankmodul (6.00.6001.0000) hat eine neue Instanz gestartet (0).
Record Number: 17638
Source Name: ESENT
Time Written: 20090905143646.000000-000
Event Type: Informationen
User:

Computer Name: DELL
Event Code: 1
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.
Record Number: 17639
Source Name: SecurityCenter
Time Written: 20090905143746.000000-000
Event Type: Informationen
User:

Computer Name: DELL
Event Code: 103
Message: WinMail (2440) WindowsMail0: Das Datenbankmodul hat die Instanz (0) beendet.
Record Number: 17640
Source Name: ESENT
Time Written: 20090905153845.000000-000
Event Type: Informationen
User:

Computer Name: DELL
Event Code: 102
Message: WinMail (752) WindowsMail0: Das Datenbankmodul (6.00.6001.0000) hat eine neue Instanz gestartet (0).
Record Number: 17641
Source Name: ESENT
Time Written: 20090905160054.000000-000
Event Type: Informationen
User:

Computer Name: DELL
Event Code: 103
Message: WinMail (752) WindowsMail0: Das Datenbankmodul hat die Instanz (0) beendet.
Record Number: 17642
Source Name: ESENT
Time Written: 20090905162620.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: DELL
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 37733
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090905162758.127222-000
Event Type: Überwachung gescheitert
User:

Computer Name: DELL
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 37734
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090905162758.174022-000
Event Type: Überwachung gescheitert
User:

Computer Name: DELL
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 37735
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090905162758.220822-000
Event Type: Überwachung gescheitert
User:

Computer Name: DELL
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 37736
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090905162758.283222-000
Event Type: Überwachung gescheitert
User:

Computer Name: DELL
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 37737
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090905162758.330022-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Common Files\DivX Shared\;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 2, GenuineIntel
"PROCESSOR_REVISION"=0f02
"NUMBER_OF_PROCESSORS"=2
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------
__________________
Geändert von moni81 (05.09.2009 um 18:07 Uhr)

Alt 05.09.2009, 18:01   #4
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!


2 x hintereinnader weil die logs zu viele zeivchen haben.


Zitat:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Moni at 2009-09-05 18:52:22
Microsoft® Windows Vista™ Ultimate Service Pack 1
System drive C: has 6 GB (16%) free of 36 GB
Total RAM: 1021 MB (41% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:33, on 05.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Moni\Pictures\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Moni.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.178.25/LiveTV.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DATA BECKER Update Service (DBService) - DATA BECKER GmbH & Co KG - C:\Program Files\Common Files\DATA BECKER Shared\DBService.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\Windows\SYSTEM32\DWRCS.EXE
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 4178 bytes

======Scheduled tasks folder======

C:\Windows\tasks\1-Klick-Wartung.job
C:\Windows\tasks\User_Feed_Synchronization-{C0982906-270C-4E6E-B4C6-939D82F41944}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]
"Apoint"=C:\Program Files\DellTPad\Apoint.exe [2007-07-02 159744]
"NvSvc"=C:\Windows\system32\nvsvc.dll [2007-10-04 86016]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2007-10-04 8497696]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2007-10-04 81920]
"NVHotkey"=C:\Windows\system32\nvHotkey.dll [2007-10-04 86016]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-03-09 148888]
"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2009-05-26 413696]
"iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2009-07-13 292128]
"egui"=C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe [2009-02-06 2021400]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-19 1233920]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll [2007-07-20 233888]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2009-09-05 18:34:48 ----A---- C:\Windows\zip.exe
2009-09-05 18:34:48 ----A---- C:\Windows\SWXCACLS.exe
2009-09-05 18:34:48 ----A---- C:\Windows\SWSC.exe
2009-09-05 18:34:48 ----A---- C:\Windows\SWREG.exe
2009-09-05 18:34:48 ----A---- C:\Windows\sed.exe
2009-09-05 18:34:48 ----A---- C:\Windows\PEV.exe
2009-09-05 18:34:48 ----A---- C:\Windows\NIRCMD.exe
2009-09-05 18:34:48 ----A---- C:\Windows\grep.exe
2009-09-05 18:34:42 ----D---- C:\Windows\ERDNT
2009-09-05 18:34:41 ----SD---- C:\cofi
2009-09-05 18:34:40 ----A---- C:\Windows\system32\CF9085.exe
2009-09-05 18:34:38 ----A---- C:\Windows\system32\swsc.exe
2009-09-05 18:34:16 ----D---- C:\Qoobox
2009-09-05 18:27:54 ----D---- C:\rsit
2009-09-05 18:23:25 ----D---- C:\Program Files\CCleaner
2009-09-05 12:04:20 ----D---- C:\Users\Moni\AppData\Roaming\Malwarebytes
2009-09-05 12:04:05 ----D---- C:\ProgramData\Malwarebytes
2009-09-05 12:04:05 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-09-05 11:33:02 ----D---- C:\Program Files\Panda Security
2009-09-05 11:14:00 ----D---- C:\Program Files\Trend Micro
2009-09-05 10:56:05 ----D---- C:\ProgramData\ESET
2009-09-05 10:56:05 ----D---- C:\Program Files\ESET
2009-09-05 10:49:19 ----A---- C:\Windows\system32\tzres.dll
2009-09-04 16:29:13 ----D---- C:\Windows\Minidump
2009-08-25 19:29:23 ----D---- C:\Windows\LocoRoco 2 - Wave Uninstaller
2009-08-25 19:29:23 ----A---- C:\Windows\LocoRoco 2 - Wave.ini
2009-08-25 19:29:23 ----A---- C:\Windows\LocoRoco 2 - Wave.exe
2009-08-20 21:26:38 ----A---- C:\Windows\system32\mstscax.dll
2009-08-20 21:26:34 ----A---- C:\Windows\system32\avifil32.dll
2009-08-20 21:26:31 ----A---- C:\Windows\system32\wkssvc.dll
2009-08-20 21:26:27 ----A---- C:\Windows\system32\kerberos.dll
2009-08-20 21:26:26 ----A---- C:\Windows\system32\wdigest.dll
2009-08-20 21:26:26 ----A---- C:\Windows\system32\msv1_0.dll
2009-08-20 21:26:25 ----A---- C:\Windows\system32\schannel.dll
2009-08-20 21:26:25 ----A---- C:\Windows\system32\lsasrv.dll
2009-08-20 21:26:23 ----A---- C:\Windows\system32\secur32.dll
2009-08-20 21:26:23 ----A---- C:\Windows\system32\lsass.exe
2009-08-20 21:26:13 ----A---- C:\Windows\system32\atl.dll
2009-08-20 21:21:18 ----A---- C:\Windows\system32\wmp.dll
2009-08-20 21:21:16 ----A---- C:\Windows\system32\wmpdxm.dll
2009-08-20 21:21:13 ----A---- C:\Windows\system32\spwmp.dll
2009-08-20 21:21:12 ----A---- C:\Windows\system32\dxmasf.dll
2009-08-20 21:21:11 ----A---- C:\Windows\system32\wmploc.DLL
2009-08-20 21:03:58 ----D---- C:\ProgramData\Spybot - Search & Destroy
2009-08-20 21:03:57 ----D---- C:\Program Files\Spybot - Search & Destroy

======List of files/folders modified in the last 1 months======

2009-09-05 18:52:23 ----D---- C:\Windows\Temp
2009-09-05 18:50:32 ----D---- C:\Program Files\Mozilla Firefox
2009-09-05 18:49:31 ----D---- C:\Windows\Debug
2009-09-05 18:49:31 ----D---- C:\Windows
2009-09-05 18:40:33 ----D---- C:\Windows\system32\drivers
2009-09-05 18:40:33 ----D---- C:\Windows\System32
2009-09-05 18:40:33 ----D---- C:\Windows\AppPatch
2009-09-05 18:40:32 ----D---- C:\Program Files\Common Files
2009-09-05 18:34:40 ----D---- C:\Windows\system32\de-DE
2009-09-05 18:34:18 ----D---- C:\Windows\Prefetch
2009-09-05 18:23:25 ----RD---- C:\Program Files
2009-09-05 15:01:19 ----D---- C:\Windows\rescache
2009-09-05 12:04:05 ----HD---- C:\ProgramData
2009-09-05 10:57:32 ----SHD---- C:\Windows\Installer
2009-09-05 10:55:27 ----SHD---- C:\System Volume Information
2009-09-05 10:50:44 ----D---- C:\Windows\winsxs
2009-09-05 10:50:29 ----D---- C:\Windows\system32\catroot
2009-09-05 10:50:22 ----D---- C:\Windows\system32\catroot2
2009-08-20 21:42:01 ----D---- C:\Program Files\Windows Media Player
2009-08-20 20:35:14 ----D---- C:\Windows\inf
2009-08-20 20:35:14 ----A---- C:\Windows\system32\PerfStringBackup.INI

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 CSC;Offline Files Driver; C:\Windows\system32\drivers\csc.sys [2008-01-19 350720]
R1 dwvkbd;DameWare Virtual Keyboard 32 bit Driver; C:\Windows\system32\DRIVERS\dwvkbd.sys [2007-02-15 26624]
R1 ehdrv;ehdrv; C:\Windows\system32\DRIVERS\ehdrv.sys [2009-02-06 106208]
R2 acedrv11;acedrv11; \??\C:\Windows\system32\drivers\acedrv11.sys [2008-07-30 277736]
R2 eamon;eamon; C:\Windows\system32\DRIVERS\eamon.sys [2009-02-06 113448]
R2 epfwwfpr;epfwwfpr; C:\Windows\system32\DRIVERS\epfwwfpr.sys [2009-02-06 92800]
R3 ApfiltrService;Alps Touch Pad Filter Driver for Windows 2000/XP/Vista; C:\Windows\system32\DRIVERS\Apfiltr.sys [2007-06-25 155136]
R3 b57nd60x;%SvcDispName%; C:\Windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
R3 BCM43XV;Broadcom Extensible 802.11-Netzwerkadaptertreiber; C:\Windows\system32\DRIVERS\bcmwl6.sys [2006-11-02 464384]
R3 BthEnum;Bluetooth-Auflistungsdienst; C:\Windows\system32\DRIVERS\BthEnum.sys [2008-01-19 19456]
R3 BthPan;Bluetooth-Gerät (PAN); C:\Windows\system32\DRIVERS\bthpan.sys [2008-01-19 92160]
R3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\Windows\System32\Drivers\BTHUSB.sys [2008-04-29 29184]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-19 14208]
R3 DwMirror;DwMirror; C:\Windows\system32\DRIVERS\DamewareMini.sys [2007-02-07 3712]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\system32\DRIVERS\GEARAspiWDM.sys [2009-03-19 23400]
R3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2007-10-04 7628608]
R3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\Windows\system32\DRIVERS\rfcomm.sys [2008-01-19 49664]
R3 USBCCID;USB-Smartcard-Leser; C:\Windows\system32\DRIVERS\usbccid.sys [2008-01-19 30208]
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-19 11264]
S1 gymbwciodrsvxcrp;gymbwciodrsvxcrp; C:\Windows\system32\drivers\gymbwciodrsvxcrp.sys []
S3 BTHPORT;Bluetooth-Porttreiber; C:\Windows\System32\Drivers\BTHport.sys [2008-04-29 220160]
S3 catchme;catchme; \??\C:\Users\Moni\AppData\Local\Temp\catchme.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 HSF_DPV;HSF_DPV; C:\Windows\system32\DRIVERS\VSTDPV3.SYS [2006-11-02 987648]
S3 HSFHWAZL;HSFHWAZL; C:\Windows\system32\DRIVERS\VSTAZL3.SYS [2006-11-02 200704]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 USBAAPL;Apple Mobile USB Driver; C:\Windows\System32\Drivers\usbaapl.sys [2009-06-05 39424]
S3 winachsf;winachsf; C:\Windows\system32\DRIVERS\VSTCNXT3.SYS [2006-11-02 654336]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-19 39936]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-06-05 144712]
R2 Bonjour Service;Bonjour-Dienst; C:\Program Files\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 BthServ;@%SystemRoot%\System32\bthserv.dll,-101; C:\Windows\system32\svchost.exe [2008-01-19 21504]
R2 CscService;@%systemroot%\system32\cscsvc.dll,-200; C:\Windows\System32\svchost.exe [2008-01-19 21504]
R2 DBService;DATA BECKER Update Service; C:\Program Files\Common Files\DATA BECKER Shared\DBService.exe [2008-07-31 187456]
R2 ekrn;ESET Service; C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-02-06 727720]
R2 UxTuneUp;@%SystemRoot%\System32\uxtuneup.dll,-4096; C:\Windows\System32\svchost.exe [2008-01-19 21504]
R3 iPod Service;iPod-Dienst; C:\Program Files\iPod\bin\iPodService.exe [2009-07-13 542496]
S3 AppMgmt;@appmgmts.dll,-3250; C:\Windows\system32\svchost.exe [2008-01-19 21504]
S3 DWMRCS;DameWare Mini Remote Control; C:\Windows\SYSTEM32\DWRCS.EXE [2009-01-03 236544]
S3 EhttpSrv;ESET HTTP Server; C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe [2009-02-06 20680]
S3 Fax;@%systemroot%\system32\fxsresm.dll,-118; C:\Windows\system32\fxssvc.exe [2008-01-19 523776]
S3 TuneUp.Defrag;@%SystemRoot%\System32\TuneUpDefragService.exe,-1; C:\Windows\System32\TuneUpDefragService.exe [2008-04-12 307968]
S3 UmRdpService;@%SystemRoot%\system32\umrdp.dll,-1000; C:\Windows\System32\svchost.exe [2008-01-19 21504]
S3 wbengine;@%systemroot%\system32\wbengine.exe,-104; C:\Windows\system32\wbengine.exe [2008-01-19 917504]

-----------------EOF-----------------

Alt 05.09.2009, 18:02   #5
john.doe
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!


Zitat:
Was macht so ein rootkit eigentlich?
Sich gut verstecken.
Zitat:
die confi.exe hat sich mit einem bluescreen verabschiedet
Nicht, dass wir aneinander vorbeischreiben. Meinst du den Bluescreen von Windows? Wenn du ComboFix startet, öffnet sich ein Fenster, das Blau ist. Das ist normal.

ciao, andreas

__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.09.2009, 18:05   #6
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!


Das fenster lief bis ca 50 Vorgänge und dann gabs ein Windows bluescreen und einen neustart.
Geändert von moni81 (05.09.2009 um 18:35 Uhr)

Alt 05.09.2009, 18:07   #7
john.doe
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!


Start => Ausführen => c:\combofix.txt => OK

Öffnet sich ein leeres Fenster oder siehst du einen Text? Falls du einen Text siehst, dann poste ihn hier. Ansonsten starte cofi noch einmal.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.09.2009, 20:16   #8
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!


panda : nix
KOS läuft noch und bin am deinstallieren.

Alt 05.09.2009, 20:21   #9
john.doe
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!


Zitat:
Panda ActiveScan 2.0-->C:\Program Files\Panda Security\ActiveScan 2.0\as2uninst.exe
Heute um 11:33 Uhr installiert.
Zitat:
2009-09-05 11:33:02 ----D---- C:\Program Files\Panda Security
Hast du damit noch nicht gearbeitet? Dann gleich im Anschluss an KOS starten.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.09.2009, 20:25   #10
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!


doch doch bin nur ein bischen durcheinander gekommen bei den ganzen Avs.
Kann ich nochmal durchlaufen lassen.

Kann eh nicht alles deinstallieren da ja noch kos läuft...

Hat eigentlich cofi.exe was entfernt oder nur angezeigt?


Wozu eigentlich vlc und flash und co de/installieren=?

Alt 05.09.2009, 20:30   #11
john.doe
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!


Das, was Malwarebytes nicht löschen konnte, hat Cofi entfernt. Dann hat sich auch noch etwas im Papierkorb versteckt.

Das hier sieht aber noch übelst nach Schädling aus. Vermutlich ist die Datei schon weg und das nur noch ein Rest:
Zitat:
S1 gymbwciodrsvxcrp;gymbwciodrsvxcrp; C:\Windows\system32\drivers\gymbwciodrsvxcrp.sys []
Lade die Datei
Zitat:
C:\Windows\system32\drivers\gymbwciodrsvxcrp.sys
bitte bei uns hoch. Versuche nicht die Datei zu finden, sondern markiere den Text in der Box, kopiere ihn und füge ihn im Uploadchannel ein.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.09.2009, 20:58   #12
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!


Datei wird nicht gefunden.
Weder per Copy und Paste noch manuell.

Verstecke/system Datein anzeigen ist an.



Ich meine die Datei hat NOD gelöscht!

Antwort

Themen zu Rootkit.TDSS werde ich nicht los!
adobe, antivirus, becker, bho, dateien, defender, dll, eset nod32, explorer, hijackthis, internet, internet explorer, log, logfile, malwarebytes, malwarebytes' anti-malware, micro, microsoft, neustart, pdf, plug-in, registrierungsschlüssel, registry, remote control, rootkit.tdss, rundll, server, software, system, tuneup.defrag, virus, vista, wmp


« Trojan.Generic.89180 | "Herr Dr. bin ich wirklich CLEAN ???" »


Ähnliche Themen: Rootkit.TDSS werde ich nicht los!


  1. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  2. SkyNetBDA_AMD64 (Rootkit.TDSS)
    Log-Analyse und Auswertung - 19.07.2012 (6)
  3. Problem mit Rootkit BOO/TDss.O
    Log-Analyse und Auswertung - 06.05.2012 (8)
  4. rootkit tdss.d lässt sich nicht entfernen
    Log-Analyse und Auswertung - 27.10.2011 (60)
  5. Rootkit BOO/TDss.D Bekomme ich nicht mehr weg HELP
    Log-Analyse und Auswertung - 15.09.2011 (37)
  6. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  7. rootkit.win32.tdss.d lässt sich nicht löschen oder desinfizieren!
    Plagegeister aller Art und deren Bekämpfung - 21.08.2010 (43)
  8. Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss
    Log-Analyse und Auswertung - 20.07.2010 (119)
  9. HILFE! Rootkit.win32.tdss.d kann nicht gelöscht werden und friert alles ein!
    Plagegeister aller Art und deren Bekämpfung - 01.06.2010 (1)
  10. Rootkit.Win32.TDSS.d lässt sich nicht entfernen!
    Plagegeister aller Art und deren Bekämpfung - 12.05.2010 (15)
  11. Nach Rootkit-Entfernung (TDSS) aus atapi.sys startet der Rechner nicht (Bluescreen)
    Plagegeister aller Art und deren Bekämpfung - 10.05.2010 (17)
  12. Rootkit.Win32.TDSS.d - Komme nicht mehr weiter
    Plagegeister aller Art und deren Bekämpfung - 24.04.2010 (1)
  13. Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen !
    Plagegeister aller Art und deren Bekämpfung - 12.04.2010 (5)
  14. Rootkit.TDSS kbiwkmbk...
    Plagegeister aller Art und deren Bekämpfung - 21.09.2009 (13)
  15. Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY
    Log-Analyse und Auswertung - 21.12.2008 (28)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Rootkit.TDSS werde ich nicht los! - Hallo, habe mir ein Virus eingefangen. Die meisten schädlichen Datein hat mir bereits Malewarebytes und NOD entfernt. Aber eine Meldung in der Registry kommt immer wieder. Malewarebyte log: Zitat: Malwarebytes' - Rootkit.TDSS werde ich nicht los!...
Archiv
Du betrachtest: Rootkit.TDSS werde ich nicht los! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131