|
Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.TDSS.ajrrWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.09.2009, 16:57 | #1 |
| Trojan.Win32.TDSS.ajrr Grüßt euch, bin neu hier und habe folgendes Problem: Ich kann nicht mehr auf die Festplattenpartitionen C und F zugreifen, wegen dem Fehler: "RECYCLER-S-8-4-18-100002092-1000023841-100001124-6376.com konnte nicht gefunden werden" Das Problem habe ich seit einigen Wochen. Das gleiche Problem trat auch bei meiner Externen Festplatte und meinem USB- Stick auf. Nachdem ich diese formatiert hatte, war die Meldung weg. Hab alles mit „Kaspersky“ nach Viren durchgesucht. Das hat folgende Trojaner gefunden, die nicht desinfiziert, sondern nur gelöscht werden konnten: gelöscht: trojanisches Programm Trojan.Win32.TDSS.ajrr Datei: C:\RECYCLER\S-4-9-14-100011029-100013907-100014148-6144.com gelöscht: trojanisches Programm Trojan.Win32.TDSS.ajrr Datei: F:\System Volume Information\_restore{F98E8DE2-1FF8-429E-A4EC-843FFC9294C}\RP149\A0082511.com Die Fehlermeldung kommt aber weiterhin und ich kann immer noch nicht auf die Partitionen zugreifen. Ich habe versucht, alle "Schritte für Hilfesuchende" auszuführen. 1. CCleaner ausgeführt 2. Malwarebytes Anti-Malware hat sich leider, nachdem es das erste infizierte Objekt gefunden hat, festgefahren- und das zweimal hintereinander. Hab also keinen Bericht. 3 .Hier die Berichte von RSIT: log.text Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:23:09, on 08.09.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS C:\WINDOWS\System32\svchost.exe C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe C:\WINDOWS\system32\nvraidservice.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\Programme\ICQ6.5\ICQ.exe C:\Programme\MSI\Core Center\CoreCenter.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\System32\alg.exe C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Programme\trend micro\***.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu22\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{122DBD08-7B62-44D2-A5A3-2A59E85337ED}: NameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{9234F2C7-AC02-4350-8BBD-58A62CF356E0}: NameServer = 139.7.30.125 139.7.30.126 O17 - HKLM\System\CCS\Services\Tcpip\..\{E3BFD672-7224-4F84-889D-FC06E1B6DDC4}: NameServer = 85.255.112.60,85.255.112.82 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.60,85.255.112.82 O17 - HKLM\System\CS1\Services\Tcpip\..\{122DBD08-7B62-44D2-A5A3-2A59E85337ED}: NameServer = 192.168.178.1 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.60,85.255.112.82 O17 - HKLM\System\CS2\Services\Tcpip\..\{122DBD08-7B62-44D2-A5A3-2A59E85337ED}: NameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.60,85.255.112.82 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe Hoffe mir kann jemand von euch helfen. |
08.09.2009, 23:51 | #2 |
> MalwareDB | Trojan.Win32.TDSS.ajrr Mache bitte einen Scan mit Combofix:
__________________Ein Leitfaden und Tutorium zur Nutzung von ComboFix Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
__________________ |
10.09.2009, 19:48 | #3 |
| Trojan.Win32.TDSS.ajrr Hallo BataAlexander,
__________________danke für die schnelle Antwort. Der Scan mit "Malwarebytes" hat nach längerem Probieren doch noch geklappt. Hier das Ergebnis: Code:
ATTFilter Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2754 Windows 5.1.2600 Service Pack 2 08.09.2009 19:18:43 mbam-log-2009-09-08 (19-18-37).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 93050 Laufzeit: 4 minute(s), 0 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 6 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e3bfd672-7224-4f84-889d-fc06e1b6ddc4}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{e3bfd672-7224-4f84-889d-fc06e1b6ddc4}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{e3bfd672-7224-4f84-889d-fc06e1b6ddc4}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\autorun.inf (SuspectAutorun.Rootdrive.H) -> No action taken. C:\WINDOWS\system32\dlh9jkd1q8.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> No action taken. C:\Programme\ICQToolbar\tbu22\toolbaru.dll (Trojan.BHO) -> No action taken. Code:
ATTFilter ComboFix 09-09-09.08 - *** 10.09.2009 19:14.1.1 - NTFSx86 ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\recycler\S-1-5-21-1177238915-606747145-682003330-1004 c:\windows\AUTOLNCH.REG c:\windows\Installer\11936.msi F:\Autorun.inf . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_gaopdxserv.sys -------\Service_gaopdxserv.sys ((((((((((((((((((((((( Dateien erstellt von 2009-08-10 bis 2009-09-10 )))))))))))))))))))))))))))))) . 2009-09-10 17:04 . 2009-09-10 17:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Vodafone 2009-09-10 16:50 . 2009-09-10 16:50 -------- d-----w- c:\windows\system32\wbem\Repository 2009-09-08 15:22 . 2009-09-08 15:23 -------- d-----w- C:\rsit 2009-09-07 19:22 . 2009-09-07 19:22 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2009-09-07 19:21 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-09-07 19:21 . 2009-09-10 16:50 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-09-07 19:21 . 2009-09-07 19:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-09-07 19:21 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-09-06 19:28 . 2009-09-10 16:49 -------- d-----w- c:\programme\ICQ6.5 2009-09-03 20:00 . 2009-09-03 20:00 -------- d-----w- c:\programme\MSBuild 2009-09-03 19:59 . 2009-09-03 19:59 -------- d-----w- c:\programme\Microsoft.NET 2009-09-03 19:57 . 2009-09-03 19:57 -------- d-----w- c:\programme\Microsoft Visual Studio 8 2009-09-03 19:56 . 2009-09-03 19:56 -------- d-----w- c:\windows\SHELLNEW 2009-09-03 19:17 . 2004-03-02 14:37 125184 ------w- c:\windows\system32\drivers\imagesrv.sys 2009-09-03 19:17 . 2004-03-02 14:37 5504 ------w- c:\windows\system32\drivers\imagedrv.sys 2009-09-03 19:17 . 2000-06-26 08:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll 2009-09-03 19:17 . 2004-07-26 14:16 476320 ------w- c:\windows\system32\ImagXpr7.dll 2009-09-03 19:17 . 2004-07-26 14:16 471040 ------w- c:\windows\system32\ImagXRA7.dll 2009-09-03 19:17 . 2004-07-26 14:16 262144 ------w- c:\windows\system32\ImagXR7.dll 2009-09-03 19:17 . 2004-07-26 14:16 1568768 ------w- c:\windows\system32\ImagX7.dll 2009-09-03 19:17 . 2001-07-09 08:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-09-10 17:24 . 2009-03-22 15:19 9800480 --sha-w- c:\windows\system32\drivers\fidbox.dat 2009-09-10 17:23 . 2009-03-22 15:19 570912 --sha-w- c:\windows\system32\drivers\fidbox2.dat 2009-09-10 17:22 . 2009-03-22 15:19 57680 --sha-w- c:\windows\system32\drivers\fidbox2.idx 2009-09-10 17:22 . 2009-03-22 15:19 135368 --sha-w- c:\windows\system32\drivers\fidbox.idx 2009-09-10 17:04 . 2007-04-13 16:25 -------- d-----w- c:\programme\Vodafone 2009-09-10 16:59 . 2009-03-22 15:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-09-10 16:50 . 2009-09-08 15:22 -------- d-----w- c:\programme\trend micro 2009-09-10 16:50 . 2009-09-10 16:50 -------- d-----w- c:\programme\CCleaner 2009-09-10 16:50 . 2008-07-03 19:53 -------- d-----w- c:\programme\ICQ6Toolbar 2009-09-10 16:49 . 2007-07-14 12:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-09-10 16:22 . 2008-07-03 19:52 -------- d-----w- c:\programme\ICQ6 2009-09-06 19:33 . 2008-07-03 19:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ 2009-09-06 18:15 . 2007-03-15 17:18 2323072 ----a-w- c:\windows\system32\TUKernel.exe 2009-09-06 18:12 . 2007-04-07 12:43 93360 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT 2009-09-03 20:00 . 2007-08-16 18:10 -------- d-----w- c:\programme\Microsoft Works 2009-09-03 19:17 . 2007-04-13 17:22 -------- d-----w- c:\programme\Ahead 2009-09-03 18:09 . 2007-04-22 16:36 -------- d-----w- c:\programme\s25atonce 2009-09-03 17:57 . 2007-04-07 12:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems 2009-09-03 17:57 . 2007-03-15 13:20 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-09-02 20:15 . 2007-04-07 13:30 -------- d-----w- c:\programme\Google 2006-05-03 10:06 . 2007-04-21 17:43 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 11:47 . 2007-04-21 17:43 31744 --sh--r- c:\windows\system32\msfDX.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TuneUp MemOptimizer"="c:\programme\TuneUp Utilities 2006\MemOptimizer.exe" [2005-08-24 295936] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NVRaidService"="c:\windows\system32\nvraidservice.exe" [2004-06-11 83968] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-12 196608] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-04-07 155648] "Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744] "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344] "dla"="c:\windows\system32\dla\tfswctrl.exe" [2003-02-06 114741] "StorageGuard"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-02-12 155648] "CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 57344] "WinampAgent"="c:\programme\Winamp\winampa.exe" [2006-10-25 35328] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-21 136600] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-08-06 185896] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016] "MobileConnect"="c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2008-03-13 2060288] "SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-04-15 77824] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ CoreCenter.lnk - c:\programme\MSI\Core Center\CoreCenter.exe [2007-4-2 914944] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [03.07.2008 21:53 222968] R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [13.03.2008 19:08 24576] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.12.2007 15:28 24592] S3 siusbmod;siusbmod;c:\windows\system32\drivers\siusbmod.sys [15.03.2007 20:20 26880] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - PCALERTDRIVER *Deregistered* - mchInjDrv *Deregistered* - PCAlertDriver . Inhalt des "geplante Tasks" Ordners 2009-06-19 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 00:29] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000 TCP: {122DBD08-7B62-44D2-A5A3-2A59E85337ED} = 192.168.178.1 DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\unnge8t6.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - www.google.de FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-Cmaudio - cmicnfg.cpl ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-09-10 19:24 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv] "ImagePath"="\??\c:\windows\TEMP\mc21.tmp" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters] "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79, 00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\ . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1192) c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll c:\windows\system32\Ati2evxx.dll c:\windows\system32\klogon.dll - - - - - - - > 'lsass.exe'(1248) c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\dnsq.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll - - - - - - - > 'explorer.exe'(3888) c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\scrchpg.dll c:\windows\system32\msi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ati2evxx.exe c:\programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe c:\windows\system32\ati2evxx.exe c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe c:\programme\Cisco Systems\VPN Client\cvpnd.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS c:\programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-09-10 19:28 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-09-10 17:28 Vor Suchlauf: 14 Verzeichnis(se), 28.693.704.704 Bytes frei Nach Suchlauf: 16 Verzeichnis(se), 56.740.126.720 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /TUTag=6DHVC6 /Kernel=TUKernel.exe multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /fastdetect /NoExecute=OptIn /TUTag=6DHVC6-BAK 202 Hab jetzt aber ein Problem mit meinem Internet. Ich benutz einen USB-Stick und surf über UMTS. Da kommt beim Netzaufbau die Fehlermeldung: "Fehler 720". Hab bei meinen Netzbetreiber angerufen und die meinten das liegt an "Winsock six" Hab aber keine Ahnung, was ich jetzt machen soll? |
12.09.2009, 11:16 | #4 |
| Trojan.Win32.TDSS.ajrr Das Problem mit der Internetverbindung hab ich hinbekommen. Auf meine Festplattenpartitionen kann ich wieder zugreifen. |
02.10.2009, 19:57 | #5 | ||
/// Helfer-Team | Trojan.Win32.TDSS.ajrr hi Alles deutet darauf hin, dass dein PC ist mit Rootkit/Wikipedia ) und mit dem Virus "Virus.Win32.AutoRun" verseucht. Zitat:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: ► CombiFix entfernen: Start --> Ausführen -->Kopiere rein Combofix /u --> OK Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 5. poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
04.10.2009, 08:54 | #6 |
| Trojan.Win32.TDSS.ajrr Danke Coverflow für die Antwort. Hab ComboFix entfernt und die versteckten- und Systemdateien sichtbar gemacht. Hier ist der logfile von filelist: Code:
ATTFilter ----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 1C4D-35A2 Verzeichnis von C:\ 03.10.2009 22:11 43 filelist.txt 03.10.2009 20:57 2.147.012.608 hiberfil.sys 03.10.2009 20:57 805.306.368 pagefile.sys 16.09.2009 21:22 107.111 stub.log 10.09.2009 19:28 13.255 ComboFix.txt 10.09.2009 19:13 460 boot.ini 06.09.2009 20:15 389 Boot.bak 26.05.2009 18:56 0 Log.txt 16 Datei(en) 2.953.006.382 Bytes 0 Verzeichnis(se), 57.227.468.800 Bytes frei ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 1C4D-35A2 Verzeichnis von C:\WINDOWS 03.10.2009 21:51 14.916 ModemLog_HUAWEI Mobile Connect - 3G Modem #6.txt 03.10.2009 20:58 0 0.log 03.10.2009 20:58 159 wiadebug.log 03.10.2009 20:57 50 wiaservc.log 03.10.2009 20:57 2.048 bootstat.dat 02.10.2009 18:20 32.584 SchedLgU.Txt 02.10.2009 18:20 4.473 WindowsUpdate.log 11.09.2009 18:15 860 setupapi.log 11.09.2009 18:11 9.852 resetlog.txt 10.09.2009 19:24 227 system.ini 08.09.2009 18:33 54.156 QTFont.qfn 06.09.2009 21:44 1.409 QTFont.for 03.09.2009 22:25 230.912 PEV.exe 03.09.2009 21:56 718 win.ini 03.09.2009 19:48 52 pex.INI 03.09.2009 19:47 518 Ulead32.ini 02.09.2009 21:36 29 Battle.ini 03.08.2009 16:12 3.141 tpl.cfg 03.08.2009 16:01 821 ISISAIM.INI 25.07.2009 20:36 10.208 ModemLog_HUAWEI Mobile Connect - 3G Modem #5.txt 22.04.2009 13:00 400 ODBC.INI 20.04.2009 12:56 31.232 NIRCMD.exe 121 Datei(en) 10.683.947 Bytes 0 Verzeichnis(se), 57.227.452.416 Bytes frei ----- System --- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 1C4D-35A2 Verzeichnis von C:\WINDOWS\system 15.03.2007 15:20 167 CmiCnfg.ini 29 Datei(en) 5.873.826 Bytes 0 Verzeichnis(se), 57.227.448.320 Bytes frei ----- System 32 (Achtung: Zeitfenster beachten!) --- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 1C4D-35A2 Verzeichnis von C:\WINDOWS\system32 03.10.2009 20:41 2.206 wpa.dbl 06.09.2009 20:15 2.323.072 TUKernel.exe 06.09.2009 20:12 93.360 GDIPFONTCACHEV1.DAT 06.09.2009 20:12 328.296 FNTCACHE.DAT 07.04.2009 13:54 20.648 dopdfmn6.dll 07.04.2009 13:54 18.088 dopdfmi6.dll 29.03.2009 11:11 401.064 perfh009.dat 29.03.2009 11:11 74.996 perfc007.dat 29.03.2009 11:11 62.344 perfc009.dat 29.03.2009 11:11 415.470 perfh007.dat 29.03.2009 11:11 966.314 PerfStringBackup.INI 2171 Datei(en) 441.137.629 Bytes 0 Verzeichnis(se), 57.227.264.000 Bytes frei ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 1C4D-35A2 Verzeichnis von C:\WINDOWS\Prefetch 03.10.2009 22:11 11.788 FIND.EXE-0EC32F1E.pf 03.10.2009 22:11 11.754 CMD.EXE-087B4001.pf 03.10.2009 22:11 13.730 WINRAR.EXE-3588DFE8.pf 03.10.2009 22:06 27.886 DW20.EXE-005BA42F.pf 03.10.2009 22:06 28.978 WMIPRVSE.EXE-28F301A9.pf 03.10.2009 22:06 77.212 MOBILECONNECT.EXE-39D15BA7.pf 03.10.2009 22:03 71.124 WINAMP.EXE-08C38ED9.pf 03.10.2009 21:21 15.692 RUNDLL32.EXE-451FC2C0.pf 03.10.2009 21:20 32.982 RUNDLL32.EXE-341904CC.pf 03.10.2009 21:20 19.094 HPZENG04.EXE-129A6FF3.pf 03.10.2009 21:19 11.988 HPZSTC04.EXE-1001DF4D.pf 03.10.2009 21:18 96.360 WINWORD.EXE-0B995611.pf 03.10.2009 21:02 8.934 JQSNOTIFY.EXE-1E60A522.pf 03.10.2009 21:02 80.410 FIREFOX.EXE-1D57670A.pf 03.10.2009 20:59 15.720 ALG.EXE-0F138680.pf 03.10.2009 20:59 20.282 WMIAPSRV.EXE-1E2270A5.pf 03.10.2009 20:59 1.553.936 NTOSBOOT-B00DFAAD.pf 03.10.2009 20:53 34.262 RUNDLL32.EXE-42D6F25F.pf 03.10.2009 20:52 17.886 TASKMGR.EXE-20256C55.pf 03.10.2009 20:45 59.722 AVP.EXE-0ED7EF87.pf 02.10.2009 18:20 24.410 TU_LOGONUI.EXE-381C5638.pf 02.10.2009 17:17 51.528 DISKCLEANER.EXE-015A6E3D.pf 02.10.2009 17:15 106.966 REALPLAY.EXE-1BF219BD.pf 02.10.2009 17:15 34.354 RUNDLL32.EXE-171D38C1.pf 02.10.2009 17:15 48.990 REGISTRYCLEANER.EXE-2ACFEEF7.pf 02.10.2009 17:15 50.976 SYSTEMOPTIMIZER.EXE-191231CF.pf 29.09.2009 19:05 34.504 RUNDLL32.EXE-1557B42A.pf 28.09.2009 22:36 17.818 RUNDLL32.EXE-458E2BBF.pf 28.09.2009 21:07 34.664 RUNDLL32.EXE-1898A762.pf 27.09.2009 21:51 15.700 SNDVOL32.EXE-383480B7.pf 27.09.2009 21:35 15.474 REALONEMESSAGECENTER.EXE-0A4B9E3A.pf 27.09.2009 21:35 33.138 RUNDLL32.EXE-27DD5781.pf 27.09.2009 21:35 35.902 RECORDINGMANAGER.EXE-34557554.pf 27.09.2009 21:16 48.258 IEXPLORE.EXE-2CA9778D.pf 27.09.2009 21:15 33.784 RUNDLL32.EXE-35BDE132.pf 27.09.2009 20:47 65.948 ACRORD32.EXE-153330F0.pf 27.09.2009 20:44 37.546 ADOBEUPDATER.EXE-370FC314.pf 27.09.2009 20:44 65.702 ACRORD32INFO.EXE-19D979CC.pf 27.09.2009 20:14 44.652 AGENT.EXE-027CAB18.pf 27.09.2009 20:13 21.922 REALSCHED.EXE-0A2A7558.pf 27.09.2009 20:13 29.966 SETUP.EXE-23A4758C.pf 27.09.2009 20:12 28.894 SETUP.EXE-00C4F53C.pf 24.09.2009 16:42 34.518 RUNDLL32.EXE-154A2FEA.pf 22.09.2009 20:39 65.712 HELPSVC.EXE-2878DDA2.pf 22.09.2009 20:35 86.164 DFRGNTFS.EXE-269967DF.pf 22.09.2009 20:34 40.156 DEFRAG.EXE-273F131E.pf 22.09.2009 20:34 910.970 Layout.ini 21.09.2009 20:49 19.948 NOTEPAD.EXE-336351A9.pf 18.09.2009 09:59 35.598 CSC.EXE-01730C27.pf 18.09.2009 09:59 12.788 CVTRES.EXE-2329DCD5.pf 12.09.2009 11:59 38.398 EPMWORKER.EXE-36EA6AD1.pf 12.09.2009 11:59 105.368 GENERIC.EXE-0FF6F96D.pf 12.09.2009 11:59 26.240 CONNECTIONWIZARD.EXE-36F3825D.pf 10.09.2009 21:35 41.538 SETUP.EXE-310A209C.pf 08.09.2009 21:13 27.234 LOGON.SCR-151EFAEA.pf 03.09.2009 20:20 22.726 SIFXINST.EXE-3950183F.pf 02.09.2009 21:59 78.544 GOOGLEUPDATER.EXE-36CE3796.pf 02.09.2009 21:38 83.786 WINWORD.EXE-3395695A.pf 22.03.2009 17:13 30.512 AVWSC.EXE-2F6C3C95.pf 59 Datei(en) 4.751.036 Bytes 0 Verzeichnis(se), 57.227.337.728 Bytes frei ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 1C4D-35A2 Verzeichnis von C:\WINDOWS\tasks 03.10.2009 20:57 6 SA.DAT 02.10.2009 17:18 410 1-Klick-Wartung.job 3 Datei(en) 481 Bytes 0 Verzeichnis(se), 57.227.337.728 Bytes frei ----- Windows/Temp ----------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 1C4D-35A2 Verzeichnis von C:\WINDOWS\Temp 03.10.2009 20:58 16.384 Perflib_Perfdata_6d0.dat 03.10.2009 20:41 16.384 Perflib_Perfdata_6cc.dat 11.09.2009 18:11 16.384 Perflib_Perfdata_ec.dat 3 Datei(en) 49.152 Bytes 0 Verzeichnis(se), 57.227.337.728 Bytes frei ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 1C4D-35A2 Verzeichnis von C:\DOKUME~1\***~1\LOKALE~1\Temp 03.10.2009 22:06 81 dw.log 03.10.2009 22:06 0 JET4DBF.tmp 03.10.2009 21:02 7.203 jusched.log 03.10.2009 20:58 16.384 Perflib_Perfdata_4e4.dat 4 Datei(en) 23.668 Bytes 0 Verzeichnis(se), 57.227.337.728 Bytes frei Code:
ATTFilter Adobe Flash Player 10 Plugin Adobe Flash Player 9 ActiveX Adobe Reader 8.1.3 - Deutsch Adobe Shockwave Player Adobe® Photoshop® Album Starter Edition 3.0 ATI - Software Uninstall Utility ATI Catalyst Control Center ATI Display Driver C-Media 3D Audio CCleaner (remove only) Cisco Systems VPN Client 5.0.02.0090 CloneCD Core Center Disc2Phone DivX Codec DivX Content Uploader DivX Converter Mobile DivX Player DivX Web Player doPDF 6.2 printer eMusic - 50 Free MP3 offer Free YouTube to Mp3 Converter version 3.1 Google Earth HijackThis 2.0.2 hp deskjet 930c series (nur entfernen) HP PrecisionScan LTX ICQ Toolbar ICQ6.5 IrfanView (remove only) ISIS Draw 2.1.4 Standalone Java(TM) 6 Update 11 Java(TM) 6 Update 3 Java(TM) 6 Update 5 Java(TM) 6 Update 7 Kaspersky Security Suite CBE Malwarebytes' Anti-Malware MDL CrossFire Commander 7.0 Microsoft .NET Framework 1.1 Microsoft .NET Framework 2.0 Microsoft Office Enterprise 2007 Mozilla Firefox (3.5.3) MyDVD Nero 6 Ultra Edition NVIDIA Drivers PowerQuest PartitionMagic 8.0 QuickTime RealPlayer Realtek AC'97 Audio |
04.10.2009, 09:16 | #7 |
| Trojan.Win32.TDSS.ajrr Hier der erste Teil von log.txt: Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by *** at 2009-10-04 09:16:52 Microsoft Windows XP Professional Service Pack 2 System drive C: has 55 GB (56%) free of 97 GB Total RAM: 2047 MB (74% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:17:03, on 04.10.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS C:\WINDOWS\System32\svchost.exe C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe C:\WINDOWS\system32\nvraidservice.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSI\Core Center\CoreCenter.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\System32\alg.exe C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXE C:\Dokumente und Einstellungen\***\Desktop\rsit.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Programme\trend micro\***.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe -- End of file - 9193 bytes |
04.10.2009, 09:17 | #8 |
| Trojan.Win32.TDSS.ajrr Hier der zweiter Teil von log.txt Code:
ATTFilter ======Scheduled tasks folder====== C:\WINDOWS\tasks\1-Klick-Wartung.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}] RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2008-08-06 308856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5CA3D70E-1895-11CF-8E15-001234567890}] DriveLetterAccess - C:\WINDOWS\system32\dla\tfswshx.dll [2003-02-07 98356] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}] Groove GFS Browser Helper - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL [2006-10-27 2210608] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-01-21 320920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-01-21 34816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-21 73728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2009-06-01 962808] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NVRaidService"=C:\WINDOWS\system32\nvraidservice.exe [2004-06-11 83968] "ATICCC"=C:\Programme\ATI Technologies\ATI.ACE\cli.exe [2006-01-02 45056] "SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2005-04-15 77824] "HPDJ Taskbar Utility"=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe [2001-12-12 196608] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2007-04-07 155648] "Sony Ericsson PC Suite"=C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [2005-10-26 159744] "Adobe Photo Downloader"=C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [2005-06-23 57344] "dla"=C:\WINDOWS\system32\dla\tfswctrl.exe [2003-02-07 114741] "StorageGuard"=C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe [2003-02-13 155648] "CloneCDTray"=C:\Programme\SlySoft\CloneCD\CloneCDTray.exe [2005-05-19 57344] "WinampAgent"=C:\Programme\Winamp\winampa.exe [2006-10-25 35328] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-01-21 136600] "TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2008-08-06 185896] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792] "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648] "GrooveMonitor"=C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016] "AVP"=C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe [2008-05-01 221184] "MobileConnect"=C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe [2008-03-13 2060288] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "TuneUp MemOptimizer"=C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe [2005-08-24 295936] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart CoreCenter.lnk - C:\Programme\MSI\Core Center\CoreCenter.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2006-08-03 86016] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon] C:\WINDOWS\system32\klogon.dll [2008-02-08 219664] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL [2006-10-27 2210608] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=323 "NoDriveAutoRun"=67108863 "NoDrives"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook" "C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove" "C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote" "C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e84b544-7ad7-11de-b56c-00110990e8f2}] shell\AutoRun\command - G:\setup.exe ======List of files/folders created in the last 1 months====== 2009-10-03 22:11:55 ----A---- C:\filelist.txt 2009-09-11 18:55:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee Security Scan 2009-09-11 18:55:55 ----D---- C:\Programme\McAfee Security Scan 2009-09-11 18:11:49 ----A---- C:\WINDOWS\resetlog.txt 2009-09-11 18:11:06 ----D---- C:\ERDNT 2009-09-10 21:36:37 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone 2009-09-10 21:36:32 ----D---- C:\Programme\Vodafone 2009-09-10 19:30:43 ----SHD---- C:\RECYCLER 2009-09-10 19:28:36 ----A---- C:\ComboFix.txt 2009-09-10 19:21:20 ----D---- C:\WINDOWS\temp 2009-09-10 19:13:14 ----A---- C:\Boot.bak 2009-09-10 19:13:08 ----RASHD---- C:\cmdcons 2009-09-10 18:50:02 ----D---- C:\Programme\CCleaner 2009-09-10 16:58:14 ----A---- C:\WINDOWS\zip.exe 2009-09-10 16:58:14 ----A---- C:\WINDOWS\SWXCACLS.exe 2009-09-10 16:58:14 ----A---- C:\WINDOWS\SWSC.exe 2009-09-10 16:58:14 ----A---- C:\WINDOWS\SWREG.exe 2009-09-10 16:58:14 ----A---- C:\WINDOWS\sed.exe 2009-09-10 16:58:14 ----A---- C:\WINDOWS\PEV.exe 2009-09-10 16:58:14 ----A---- C:\WINDOWS\NIRCMD.exe 2009-09-10 16:58:14 ----A---- C:\WINDOWS\grep.exe 2009-09-10 16:51:17 ----D---- C:\WINDOWS\ERDNT 2009-09-08 17:22:40 ----D---- C:\Programme\trend micro 2009-09-08 17:22:37 ----D---- C:\rsit 2009-09-07 21:22:25 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2009-09-07 21:21:36 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-09-07 21:21:36 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-09-06 21:28:01 ----D---- C:\Programme\ICQ6.5 ======List of files/folders modified in the last 1 months====== 2009-10-04 09:17:00 ----D---- C:\WINDOWS\Prefetch 2009-10-04 09:14:50 ----A---- C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem #6.txt 2009-10-04 09:10:09 ----D---- C:\Programme\Mozilla Firefox 2009-10-04 09:04:03 ----D---- C:\WINDOWS\system32\CatRoot2 2009-10-04 09:03:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-10-04 09:03:16 ----D---- C:\WINDOWS 2009-10-04 00:27:26 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-09-22 19:42:01 ----D---- C:\WINDOWS\system32\drivers 2009-09-12 11:58:32 ----D---- C:\Programme 2009-09-11 18:58:15 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe 2009-09-10 21:36:54 ----SHD---- C:\WINDOWS\Installer 2009-09-10 21:36:52 ----D---- C:\Config.Msi 2009-09-10 21:36:34 ----D---- C:\WINDOWS\WinSxS 2009-09-10 21:27:14 ----D---- C:\WINDOWS\SxsCaPendDel 2009-09-10 21:05:54 ----D---- C:\WINDOWS\Help 2009-09-10 19:28:49 ----D---- C:\WINDOWS\system32 2009-09-10 19:24:37 ----A---- C:\WINDOWS\system.ini 2009-09-10 19:21:53 ----D---- C:\WINDOWS\system32\config 2009-09-10 19:17:37 ----D---- C:\WINDOWS\AppPatch 2009-09-10 19:17:32 ----D---- C:\Programme\Gemeinsame Dateien 2009-09-10 19:13:14 ----RASH---- C:\boot.ini 2009-09-10 18:50:25 ----D---- C:\WINDOWS\system32\wbem 2009-09-10 18:50:23 ----D---- C:\WINDOWS\Registration 2009-09-10 18:50:02 ----D---- C:\Programme\ICQ6Toolbar 2009-09-10 18:49:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-09-10 18:22:43 ----D---- C:\Programme\ICQ6 2009-09-06 21:33:49 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ 2009-09-06 20:15:44 ----A---- C:\WINDOWS\system32\TUKernel.exe ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2004-08-04 41472] R1 klif;Klif; \??\C:\WINDOWS\system32\drivers\klif.sys [] R1 PCLEPCI;PCLEPCI; \??\C:\WINDOWS\system32\drivers\pclepci.sys [] R1 PQNTDrv;PQNTDrv; C:\WINDOWS\system32\drivers\PQNTDrv.sys [2002-09-16 4228] R1 sscdbhk5;sscdbhk5; C:\WINDOWS\system32\drivers\sscdbhk5.sys [2003-02-05 5589] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-05-05 21248] R1 ssrtln;ssrtln; C:\WINDOWS\system32\drivers\ssrtln.sys [2003-02-05 23059] R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys [] R2 drvnddm;drvnddm; C:\WINDOWS\system32\drivers\drvnddm.sys [2003-02-05 40416] R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2005-04-21 10624] R2 tfsnboio;tfsnboio; C:\WINDOWS\system32\dla\tfsnboio.sys [2003-02-07 23957] R2 tfsncofs;tfsncofs; C:\WINDOWS\system32\dla\tfsncofs.sys [2003-02-07 34773] R2 tfsndrct;tfsndrct; C:\WINDOWS\system32\dla\tfsndrct.sys [2003-02-07 4053] R2 tfsndres;tfsndres; C:\WINDOWS\system32\dla\tfsndres.sys [2003-02-07 2201] R2 tfsnifs;tfsnifs; C:\WINDOWS\system32\dla\tfsnifs.sys [2003-02-07 55540] R2 tfsnopio;tfsnopio; C:\WINDOWS\system32\dla\tfsnopio.sys [2003-02-07 14133] R2 tfsnpool;tfsnpool; C:\WINDOWS\system32\dla\tfsnpool.sys [2003-02-07 6293] R2 tfsnudf;tfsnudf; C:\WINDOWS\system32\dla\tfsnudf.sys [2003-02-07 96596] R2 tfsnudfa;tfsnudfa; C:\WINDOWS\system32\dla\tfsnudfa.sys [2003-02-07 99029] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-04-19 2317504] R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-08-03 1681920] R3 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2007-01-31 127376] R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2005-05-03 27392] R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5b.sys [2004-04-15 42496] R3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2008-03-07 101120] R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 24592] R3 PCAlertDriver;PCAlertDriver; \??\C:\Programme\MSI\Core Center\NTGLM7X.sys [] R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2003-03-21 9856] R3 RushTopDevice;RushTopDevice; \??\C:\Programme\MSI\Core Center\RushTop.sys [] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-04 26624] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-04 57600] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480] S3 catchme;catchme; \??\C:\ComboFix\catchme.sys [] S3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys [2004-08-23 821760] S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2007-01-18 5275] S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165] S3 GMSIPCI;GMSIPCI; \??\D:\INSTALL\GMSIPCI.SYS [] S3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128] S3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2004-05-17 33280] S3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2004-05-17 12928] S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM); C:\WINDOWS\system32\DRIVERS\SE27bus.sys [2006-09-18 61600] S3 SE27mdfl;Sony Ericsson Device 039 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\SE27mdfl.sys [2006-09-18 9360] S3 SE27mdm;Sony Ericsson Device 039 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\SE27mdm.sys [2006-09-18 97184] S3 SE27mgmt;Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\SE27mgmt.sys [2006-09-18 88688] S3 se27nd5;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS); C:\WINDOWS\system32\DRIVERS\se27nd5.sys [2006-09-18 18704] S3 SE27obex;Sony Ericsson Device 039 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\SE27obex.sys [2006-09-18 86560] S3 se27unic;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM); C:\WINDOWS\system32\DRIVERS\se27unic.sys [2006-09-18 90800] S3 siusbmod;siusbmod; C:\WINDOWS\system32\DRIVERS\siusbmod.sys [2004-07-08 26880] S3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-04 17024] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104] S3 vsdatant;vsdatant; \??\C:\WINDOWS\system32\vsdatant.sys [] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] S4 mchInjDrv;mchInjDrv; \??\C:\WINDOWS\TEMP\mc21.tmp [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-08-03 401408] R2 AVP;Kaspersky Security Suite CBE; C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe [2008-05-01 221184] R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2007-10-26 1524512] R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2009-06-01 222968] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-01-21 152984] R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120] R2 PrismXL;PrismXL; C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS [2008-06-10 196608] R2 TUWinStylerThemeSvc;TuneUp WinStyler Theme Service; C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe [2005-08-24 118272] R2 VMCService;Vodafone Mobile Connect Service; C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2008-03-13 24576] S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2006-03-17 520192] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824] S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] -----------------EOF----------------- |
04.10.2009, 09:19 | #9 |
| Trojan.Win32.TDSS.ajrr Nun die info.txt: Code:
ATTFilter info.txt logfile of random's system information tool 1.06 2009-10-04 09:17:07 ======Uninstall list====== -->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 -->C:\WINDOWS\system32\\MSIEXEC.EXE /I {09DA4F91-2A09-4232-AB8C-6BC740096DE3} REMOVE=UpdateMgrFeature -->C:\WINDOWS\system32\\MSIEXEC.EXE /x {1206EF92-2E83-4859-ACCB-2048C3CB7DA6} -->C:\WINDOWS\system32\\MSIEXEC.EXE /x {60E971B7-51A0-48CA-8687-C6B8F094A409} -->C:\WINDOWS\system32\\MSIEXEC.EXE /x {8855FF30-19CE-4CB1-A654-87B38369CCE1} -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Flash Player 9 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\UninstFl.exe -q Adobe Reader 8.1.3 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003} Adobe Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log Adobe® Photoshop® Album Starter Edition 3.0-->MsiExec.exe /I{4BDFD2CE-6329-42E4-9801-9B3D1F10D79B} ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe ATI Catalyst Control Center-->MsiExec.exe /I{34566374-6C4D-419F-A9E0-8B21CA905FD8} ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe" Cisco Systems VPN Client 5.0.02.0090-->MsiExec.exe /X{871DF2BE-41D2-4334-AC33-839AF16FC8FE} CloneCD-->"C:\Programme\SlySoft\CloneCD\ccd-uninst.exe" /D="C:\Programme\SlySoft\CloneCD" C-Media 3D Audio-->C:\WINDOWS\CMIUnInstall.exe Core Center-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\MSI\Core Center\Uninst.isu" Disc2Phone-->MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9} DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC DivX Content Uploader-->C:\Programme\DivX\DivXContentUploaderUninstall.exe /CUPLOADER DivX Converter Mobile-->C:\Programme\DivX\DivXConverterMeUninstall.exe /CONVERTERME DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN doPDF 6.2 printer-->"C:\Programme\Softland\doPDF 6\unins000.exe" eMusic - 50 Free MP3 offer-->"C:\Programme\Winamp\eMusic\Uninst-eMusic-promotion.exe" Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe" Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3} HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall hp deskjet 930c series (nur entfernen)-->C:\Programme\hp deskjet 930c series\hpfiui.exe -c -vdivid=HPF -vpnum=95 -vinstport=LPT1: -vproduct=930c -huninstall HP PrecisionScan LTX-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\Uninst.isu" -c"C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\HPUninstallIs.dll" ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly IrfanView (remove only)-->C:\Programme\IrfanView\iv_uninstall.exe ISIS Draw 2.1.4 Standalone-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\ISIS Draw 2.1.4\uninst.isu" Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} Kaspersky Security Suite CBE-->MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF} Kaspersky Security Suite CBE-->MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF} Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" MDL CrossFire Commander 7.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{AD31D4D6-7154-4AC4-B580-59F28CA331D0}\setup.exe" -l0x9 Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE} Microsoft Office Enterprise 2007-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE} Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE} Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE} Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE} Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE} Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE} Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE} Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE} Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE} Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE} Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE} Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE} Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE} Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE} Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE} Mozilla Firefox (3.5.3)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe MyDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5E835305-63BB-4E55-BBB7-EEBBE67774DB}\Setup.exe" -l0x7 -L0x7 /SMAINT Nero 6 Ultra Edition-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL NVIDIA Drivers-->C:\WINDOWS\system32\NVUNINST.EXE UninstallGUI PowerQuest PartitionMagic 8.0-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{6BE2A4A4-99FB-48ED-AE1E-4E850389F804} QuickTime-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{3868A8EE-5051-4DB0-8DF6-4F4B8A98D083} /l1031 RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE ShowBiz-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{07295ABF-1245-415A-BE06-863271753443}\setup.exe" -l0x7 Sonic DLA-->MsiExec.exe /I{1206EF92-2E83-4859-ACCB-2048C3CB7DA6} Sonic RecordNow DX-->MsiExec.exe /I{8855FF30-19CE-4CB1-A654-87B38369CCE1} Sonic Simple Backup-->MsiExec.exe /I{60E971B7-51A0-48CA-8687-C6B8F094A409} Sonic Update Manager-->MsiExec.exe /I{09DA4F91-2A09-4232-AB8C-6BC740096DE3} Sony Ericsson PC Suite-->MsiExec.exe /I{52809086-618D-4F0B-8BF1-B75A5BB817A4} SUPER © Version 2007.bld.22 (Mar 14, 2007)-->C:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0 TIPP10 Version 2.0.3-->"C:\Programme\Tipp10\unins000.exe" TuneUp Utilities 2006-->MsiExec.exe /I{868D7896-99D4-4513-BC62-2B3AD3E24926} Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe" VideoLAN VLC media player 0.8.5-->C:\Programme\VideoLAN\VLC\uninstall.exe Vodafone Mobile Connect Lite Huawei-->MsiExec.exe /X{F7C0163D-9CD8-4F5F-BAC8-3E45A0000AFF} Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe" Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe" Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe XP Codec Pack-->C:\Programme\XP Codec Pack\Uninstall.exe ======Security center information====== AV: Kaspersky Security Suite CBE FW: Kaspersky Security Suite CBE ======System event log====== Computer Name: PRIVAT-JGZRL8LM Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "RAS-Verbindungsverwaltung" gesendet. Record Number: 30825 Source Name: Service Control Manager Time Written: 20090803215359.000000+120 Event Type: Informationen User: PRIVAT-JGZRL8LM\*** Computer Name: PRIVAT-JGZRL8LM Event Code: 7036 Message: Dienst "Telefonie" befindet sich jetzt im Status "Ausgeführt". Record Number: 30824 Source Name: Service Control Manager Time Written: 20090803215359.000000+120 Event Type: Informationen User: Computer Name: PRIVAT-JGZRL8LM Event Code: 7036 Message: Dienst "Kompatibilität für schnelle Benutzerumschaltung" befindet sich jetzt im Status "Ausgeführt". Record Number: 30823 Source Name: Service Control Manager Time Written: 20090803215359.000000+120 Event Type: Informationen User: Computer Name: PRIVAT-JGZRL8LM Event Code: 7036 Message: Dienst "NLA (Network Location Awareness)" befindet sich jetzt im Status "Ausgeführt". Record Number: 30822 Source Name: Service Control Manager Time Written: 20090803215359.000000+120 Event Type: Informationen User: Computer Name: PRIVAT-JGZRL8LM Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "NLA (Network Location Awareness)" gesendet. Record Number: 30821 Source Name: Service Control Manager Time Written: 20090803215359.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM =====Application event log===== Computer Name: PRIVAT-JGZRL8LM Event Code: 0 Message: VOLUME REMOVAL Record Number: 9949 Source Name: VMCService Time Written: 20090723193322.000000+120 Event Type: Informationen User: Computer Name: PRIVAT-JGZRL8LM Event Code: 0 Message: INFO: dom=<PRIVAT-JGZRL8LM>; usr=<***> Record Number: 9948 Source Name: VMCService Time Written: 20090723193312.000000+120 Event Type: Informationen User: Computer Name: PRIVAT-JGZRL8LM Event Code: 0 Message: RCV: id=2380; type=StartedWithoutGui Record Number: 9947 Source Name: VMCService Time Written: 20090723193311.000000+120 Event Type: Informationen User: Computer Name: PRIVAT-JGZRL8LM Event Code: 0 Message: RCV: id=552; type=Stopped Record Number: 9946 Source Name: VMCService Time Written: 20090723193310.000000+120 Event Type: Informationen User: Computer Name: PRIVAT-JGZRL8LM Event Code: 1000 Message: Fehlgeschlagene Anwendung firefox.exe, Version 1.9.0.3439, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x042b4ca0. Record Number: 9945 Source Name: Application Error Time Written: 20090723184946.000000+120 Event Type: Fehler User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\ATI Technologies\ATI.ACE;C:\Programme\Gemeinsame Dateien\Ulead Systems\MPEG;C:\Programme\QuickTime\QTSystem;C:\Programme\Gemeinsame Dateien\Teleca Shared;C:\Programme\Sonic\MyDVD;;C:\Programme\Gemeinsame Dateien\MDL Shared\ISIS "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 10 Stepping 0, AuthenticAMD "PROCESSOR_REVISION"=0a00 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO "CLASSPATH"=C:\Programme\QuickTime\QTSystem\QTJava.zip "QTJAVA"=C:\Programme\QuickTime\QTSystem\QTJava.zip -----------------EOF----------------- |
04.10.2009, 09:36 | #11 |
/// Helfer-Team | Trojan.Win32.TDSS.ajrr ** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten. |
04.10.2009, 23:48 | #13 |
/// Helfer-Team | Trojan.Win32.TDSS.ajrr hi Ab jetzt sofort gilt, bis zum Ende der Reinigung>: Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. 1. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Code:
ATTFilter R3 - URLSearchHook: (no name) - - (no file) Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung... danach deinstalliere: `Systemsteuerung → Software → Ändern/Entfernen...` Code:
ATTFilter Java(TM) 6 Update 11 Java(TM) 6 Update 3 Java(TM) 6 Update 5 Java(TM) 6 Update 7 3. Reinige dein System mit *SuperAntiSpyware*<- Download & Anleitung |
07.10.2009, 22:46 | #14 |
| Trojan.Win32.TDSS.ajrr Hab alle deine Anweisungen befolgt. Der Scan mit *SuperAntiSpyware* ergab folgenden Log- file: Code:
ATTFilter SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 10/07/2009 at 10:39 PM Application Version : 4.29.1002 Core Rules Database Version : 4152 Trace Rules Database Version: 2080 Scan type : Complete Scan Total Scan Time : 02:08:39 Memory items scanned : 544 Memory threats detected : 0 Registry items scanned : 5942 Registry threats detected : 0 File items scanned : 85953 File threats detected : 1 Unclassified.Unknown Origin J:\OWN DATA\PC\SOFTWARE\BRENNPROGRAMM\NERO\AHEAD.NERO.BURNING.ROM.V6.6.0.6.ULTRA.EDITION.ORION\AHEAD.NERO.BURNING.ROM.V6.6.0.6.ULTRA.EDITION\KEYGEN\KEYGEN.EXE oder ist jetzt alles runter. Danke für deine Mühe. Gruß Gateway |
08.10.2009, 08:09 | #15 |
/// Helfer-Team | Trojan.Win32.TDSS.ajrr hi Code:
ATTFilter J:\OWN DATA\PC\SOFTWARE\BRENNPROGRAMM\NERO\►AHEAD.NERO.BURNING.ROM.V6.6.0.6.ULTRA.EDITION.ORION\AHEAD.NERO.BURNING.ROM.V6.6.0.6.ULTRA.EDITION\►KEYGEN\KEYGEN.EXE Empfehlung: Anleitung: Neuaufsetzen des Systems + Absicherung - USB-Sticks, externe Festplatten miteinbezogen Bei Keygens endet der Support hier. |
Themen zu Trojan.Win32.TDSS.ajrr |
.com, askbar, bho, desktop, downloader, einstellungen, excel, fehler, festplatte, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, malwarebytes anti-malware, nicht gefunden, plug-in, problem, programm, rojaner gefunden, rundll, security, security suite, senden, software, stick, system, trojaner, trojaner gefunden, trojanisches programm, usb- stick, viren, vodafone, windows, windows xp |