Browser öffnet Webseiten im Hintergrund / Rootkit.Agent

swabedoo · 18.11.2009, 08:46

Hallo, liebes Trojaner-Forum,

ich habe mir - wo auch immer - einen lästigen Quälgeist eingefangen.

Symptom: In der Chronik von Firefox tauchen Webseiten (Spam, XXX, etc.) auf, die ich nie geöffnet habe. Vermutlich tut der Browser das im Hintergrund.

Setup: Windows XP SP3, Default-Browser: Firefox, Avira AnitVir, Windows-Firewall

Meine Aktivitäten bisher:
CCleaner hat aufgeräumt (ohne wesentlichen Befund: Caches gelöscht, etc.)

Malwarebytes meldet:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3188
Windows 5.1.2600 Service Pack 3

17.11.2009 19:57:02
mbam-log-2009-11-17 (19-56-30).txt

Scan-Methode: Vollständiger Scan (C:\|R:\|S:\|)
Durchsuchte Objekte: 226160
Laufzeit: 41 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TDSSserv (Rootkit.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

HIJackThis meint:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:35:05, on 18.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188625202062
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220631548562
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://w*w.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe

--
End of file - 7723 bytes

Ergänzung: Start des Rechners im abgesicherten Modus und CWShredder erbrachte keine Funde (und demnach auch keine Veränderung)

Ergänzung II: Interessanter Nebeneffekt: Seit heute früh haben einige Icons (so auch die von MS Office) ihre eigentlichen Icons verloren und werden nur noch mit Standard-Icons angzeigt. Nicht, dass das so fürchterlich störend ist, aber vielleicht hats ja etwas mit dem Virus zu tun?

Ich bin mir bewusst, dass es nicht einfach sein wird, das Rootkit zu entfernen, würde es aber dennoch gern (naja, eher nolens volens) versuchen. Was ist zu tun?

Vielen Dank für Eure Hilfe

swabedoo

cosinus · 18.11.2009, 11:50

Hallo,

Erstell mal bitte Logfiles mit RSIT und poste diese oder lad sie am besten bei file-upload.net hoch und verlink das ganze. Nimm bitte diese umbeannte Version von RSIT!!

Lade dir danach Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

swabedoo · 18.11.2009, 18:20

Hallo Arne,

sehr gerne. RSIT-Log ist angehängt.

Btw, ich hatte in MBAM den Rootkit.Agent noch nicht entfernen lassen. Soll ich?

Anbei noch das LodS&D Log:

Code:

ATTFilter

   --------------------\\  Lop S&D 4.2.5-0   XP/Vista

   Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3000+ )
   BIOS : )Phoenix - Award WorkstationBIOS v6.00PG
   USER : Master ( Administrator )
   BOOT : Normal boot
   Antivirus : AntiVir PersonalEdition Classic Virenschutz  7.0.3.142
   (Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:48 Go (Free:26 Go)
   E:\ (CD or DVD)
   F:\ (CD or DVD)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)
   J:\ (USB)
   R:\ (Local Disk) - NTFS - Total:400 Go (Free:136 Go)
   S:\ (Local Disk) - NTFS - Total:146 Go (Free:53 Go)

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
   Option : [1] ( 18.11.2009|18:14 )
 
   --------------------\\  Ordner Verzeichnis unter ANWEND~1

   [14.11.2009|14:26] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{755AC846-7372-4AC8-8550-C52491DAA8BD}
   [13.05.2009|15:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
   [11.11.2009|22:22] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
   [11.12.2005|22:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead
   [08.07.2007|13:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\allTunes
   [30.06.2007|11:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
   [13.01.2007|14:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
   [11.11.2009|22:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
   [22.05.2008|08:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Buhl Data Service GmbH
   [13.08.2006|19:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Creative
   [13.11.2005|21:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink
   [02.12.2007|18:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVRMSToolbox
   [07.08.2009|13:27] C:\DOKUME~1\ALLUSE~1\ANWEND~1\hps
   [27.05.2006|12:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ID3-TagIT 3
   [17.09.2008|14:01] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
   [25.10.2008|08:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
   [24.12.2006|17:45] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Office Genuine Advantage
   [14.11.2005|20:33] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Pinnacle
   [10.08.2009|20:11] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SlySoft
   [31.12.2008|14:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sonavis
   [13.11.2009|22:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
   [11.12.2005|18:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SSScanAppDataDir
   [11.12.2005|18:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SSScanWizard
   [25.11.2005|21:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Teledat
   [12.05.2008|15:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
   [13.11.2005|16:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
   [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
   [28|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

   [13.11.2005|11:43] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

   [25.10.2008|08:41] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

   [09.08.2008|08:00] C:\DOKUME~1\Master\ANWEND~1\Adobe
   [09.08.2008|08:51] C:\DOKUME~1\Master\ANWEND~1\allTunes
   [21.08.2009|19:39] C:\DOKUME~1\Master\ANWEND~1\Amazon
   [14.11.2009|14:39] C:\DOKUME~1\Master\ANWEND~1\Apple Computer
   [23.08.2008|16:23] C:\DOKUME~1\Master\ANWEND~1\ArcSoft
   [09.08.2008|17:17] C:\DOKUME~1\Master\ANWEND~1\Buhl Data Service
   [02.11.2008|14:07] C:\DOKUME~1\Master\ANWEND~1\Canneverbe_Limited
   [10.08.2008|17:20] C:\DOKUME~1\Master\ANWEND~1\Canon
   [10.05.2009|13:36] C:\DOKUME~1\Master\ANWEND~1\ConceptDraw MINDMAP 5
   [08.09.2008|12:42] C:\DOKUME~1\Master\ANWEND~1\Cornelsen
   [08.08.2008|15:53] C:\DOKUME~1\Master\ANWEND~1\Creative
   [03.01.2009|19:26] C:\DOKUME~1\Master\ANWEND~1\Cuttermaran
   [02.11.2008|16:52] C:\DOKUME~1\Master\ANWEND~1\CyberLink
   [22.08.2009|13:58] C:\DOKUME~1\Master\ANWEND~1\foobar2000
   [31.12.2008|16:13] C:\DOKUME~1\Master\ANWEND~1\FRITZ!
   [04.10.2008|12:03] C:\DOKUME~1\Master\ANWEND~1\Google
   [24.12.2008|11:50] C:\DOKUME~1\Master\ANWEND~1\Help
   [09.08.2008|09:17] C:\DOKUME~1\Master\ANWEND~1\ID3-TagIT 3
   [30.05.2009|20:40] C:\DOKUME~1\Master\ANWEND~1\ImgBurn
   [30.05.2009|18:23] C:\DOKUME~1\Master\ANWEND~1\InstallShield
   [08.08.2008|15:56] C:\DOKUME~1\Master\ANWEND~1\Macromedia
   [17.09.2008|14:01] C:\DOKUME~1\Master\ANWEND~1\Malwarebytes
   [06.07.2009|13:00] C:\DOKUME~1\Master\ANWEND~1\Microsoft
   [18.08.2008|16:09] C:\DOKUME~1\Master\ANWEND~1\Mozilla
   [20.06.2009|13:24] C:\DOKUME~1\Master\ANWEND~1\Mp3tag
   [15.11.2009|09:14] C:\DOKUME~1\Master\ANWEND~1\Nvu
   [31.10.2008|23:27] C:\DOKUME~1\Master\ANWEND~1\Real
   [13.05.2009|15:17] C:\DOKUME~1\Master\ANWEND~1\SharePod
   [23.12.2008|20:34] C:\DOKUME~1\Master\ANWEND~1\SlySoft
   [31.12.2008|16:02] C:\DOKUME~1\Master\ANWEND~1\Sonavis
   [14.08.2008|21:12] C:\DOKUME~1\Master\ANWEND~1\Sun
   [15.08.2008|16:15] C:\DOKUME~1\Master\ANWEND~1\TuneUp Software
   [25.10.2008|08:37] C:\DOKUME~1\Master\ANWEND~1\Windows Desktop Search
   [26.10.2008|10:17] C:\DOKUME~1\Master\ANWEND~1\Windows Search
   [0|Datei(en)] C:\DOKUME~1\Master\ANWEND~1\Bytes
   [36|Verzeichnis(se),] C:\DOKUME~1\Master\ANWEND~1\Bytes frei

   [13.11.2005|11:46] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei
 
   --------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks

   [13.11.2009 17:15][--a------] C:\WINDOWS\tasks\1-Klick-Wartung.job
   [12.08.2009 21:56][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
   [18.11.2009 08:09][--ah-----] C:\WINDOWS\tasks\SA.DAT
   [10.08.2004 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

   --------------------\\  Ordner Verzeichnis unter C:\Programme

   [05.07.2009|14:51] C:\Programme\7-Zip
   [23.08.2009|11:45] C:\Programme\Adobe
   [02.11.2008|14:52] C:\Programme\Ahead
   [12.05.2008|15:32] C:\Programme\Ahnenblatt
   [16.11.2008|19:24] C:\Programme\allTunes
   [21.08.2009|19:38] C:\Programme\Amazon
   [18.11.2005|20:11] C:\Programme\AMD
   [13.05.2009|15:02] C:\Programme\Apple Software Update
   [11.12.2005|18:52] C:\Programme\ArcSoft
   [23.09.2006|16:19] C:\Programme\ATI
   [16.11.2005|17:46] C:\Programme\ATI Technologies
   [01.01.2008|14:15] C:\Programme\AutoDVRconvert v1.3
   [11.11.2009|22:07] C:\Programme\Avira
   [12.01.2008|16:39] C:\Programme\AviSynth 2.5
   [07.09.2009|06:59] C:\Programme\BFF
   [13.05.2009|15:04] C:\Programme\Bonjour
   [07.07.2009|18:37] C:\Programme\Canon
   [13.11.2005|14:07] C:\Programme\CAPI
   [11.11.2009|22:35] C:\Programme\CCleaner
   [02.11.2008|14:07] C:\Programme\CDBurnerXP
   [14.06.2009|10:12] C:\Programme\CDEX
   [01.01.2008|15:02] C:\Programme\Common Files
   [13.11.2005|11:34] C:\Programme\ComPlus Applications
   [17.11.2005|11:11] C:\Programme\Creative
   [10.05.2009|09:47] C:\Programme\CS Odessa
   [12.01.2008|16:35] C:\Programme\Cuttermaran
   [14.06.2009|10:24] C:\Programme\CyberLink
   [11.02.2007|15:11] C:\Programme\DNA Digital Media Group
   [02.12.2007|18:22] C:\Programme\Dragon Global
   [31.05.2009|17:06] C:\Programme\DVRMSToolbox
   [22.04.2007|17:06] C:\Programme\ElsterFormular2005
   [23.12.2005|11:03] C:\Programme\Everest
   [23.12.2005|14:35] C:\Programme\EVEREST Home Edition
   [15.06.2009|06:48] C:\Programme\FLAC
   [05.07.2009|14:54] C:\Programme\foobar2000
   [10.05.2009|15:25] C:\Programme\FreeMind
   [04.09.2006|20:45] C:\Programme\FRITZ!Box
   [23.08.2009|06:57] C:\Programme\FRITZ!DSL
   [26.02.2006|17:07] C:\Programme\FurnPlan
   [07.07.2009|18:23] C:\Programme\Gemeinsame Dateien
   [25.12.2008|07:37] C:\Programme\Google
   [30.05.2009|20:48] C:\Programme\GUI for dvdauthor
   [27.11.2005|13:02] C:\Programme\Hewlett-Packard
   [12.05.2008|15:32] C:\Programme\hp deskjet 970c series
   [27.05.2006|12:53] C:\Programme\ID3-TagIT 3
   [12.01.2008|20:47] C:\Programme\ImgBurn
   [17.06.2009|17:04] C:\Programme\InstallShield Installation Information
   [11.11.2009|21:40] C:\Programme\Internet Explorer
   [14.11.2009|14:26] C:\Programme\iPod
   [13.06.2009|19:10] C:\Programme\IrfanView
   [13.11.2005|14:06] C:\Programme\ISDN
   [14.11.2009|14:26] C:\Programme\iTunes
   [14.11.2009|14:46] C:\Programme\Java
   [19.09.2007|13:58] C:\Programme\Klett
   [17.11.2009|18:14] C:\Programme\Malwarebytes' Anti-Malware
   [05.09.2008|15:37] C:\Programme\Messenger
   [23.05.2008|14:19] C:\Programme\microsoft frontpage
   [23.05.2008|14:32] C:\Programme\Microsoft Office
   [29.12.2008|16:39] C:\Programme\Microsoft Sync Framework
   [23.05.2008|14:32] C:\Programme\Microsoft Visual Studio
   [23.05.2008|14:34] C:\Programme\Microsoft Works
   [17.11.2005|10:01] C:\Programme\Microsoft.NET
   [09.05.2008|07:18] C:\Programme\Movie Maker
   [18.11.2009|18:07] C:\Programme\Mozilla Firefox
   [02.11.2008|18:56] C:\Programme\mp3DirectCut
   [20.06.2009|13:22] C:\Programme\Mp3tag
   [24.06.2007|09:24] C:\Programme\MSBuild
   [24.12.2008|13:02] C:\Programme\MSECACHE
   [23.12.2005|11:10] C:\Programme\MSI
   [18.12.2005|13:39] C:\Programme\MSI-BIOS
   [13.11.2005|20:23] C:\Programme\MSI-WLAN
   [13.11.2005|13:30] C:\Programme\MSN
   [13.11.2005|11:30] C:\Programme\MSN Gaming Zone
   [19.11.2006|10:01] C:\Programme\MSXML 4.0
   [24.06.2007|08:19] C:\Programme\MSXML 6.0
   [16.07.2008|18:40] C:\Programme\Mueller-Fotoservice
   [07.08.2009|13:20] C:\Programme\Müller Foto
   [01.01.2008|18:12] C:\Programme\MuxMan
   [09.05.2008|07:16] C:\Programme\NetMeeting
   [21.03.2008|18:17] C:\Programme\No23 Recorder
   [14.01.2007|17:09] C:\Programme\Nvu
   [13.11.2005|11:34] C:\Programme\Online Services
   [13.11.2005|11:41] C:\Programme\Online-Dienste
   [16.08.2009|12:54] C:\Programme\Outlook Express
   [04.01.2009|10:57] C:\Programme\Partition Manager
   [08.03.2009|15:18] C:\Programme\PDFCreator
   [14.11.2005|20:42] C:\Programme\Pinnacle
   [11.12.2005|21:49] C:\Programme\Pioneer
   [14.11.2005|21:03] C:\Programme\Plextor
   [01.01.2008|18:14] C:\Programme\ProjectX
   [03.01.2009|21:17] C:\Programme\PVAStrumento
   [12.01.2008|16:25] C:\Programme\QuEnc
   [14.11.2009|14:25] C:\Programme\QuickTime
   [05.02.2006|13:05] C:\Programme\Real
   [24.06.2007|09:21] C:\Programme\Reference Assemblies
   [11.12.2005|18:53] C:\Programme\ScanSoft
   [07.10.2006|14:41] C:\Programme\SlySoft
   [11.12.2005|19:36] C:\Programme\SpeedFan
   [29.12.2008|16:39] C:\Programme\SyncToy 2.0
   [30.06.2007|15:52] C:\Programme\SystemRequirementsLab
   [26.11.2005|18:21] C:\Programme\t-com_update
   [26.11.2005|18:24] C:\Programme\Teledat X120
   [14.11.2005|18:57] C:\Programme\TerraTec
   [10.07.2009|09:29] C:\Programme\The GodFather
   [19.08.2007|15:33] C:\Programme\ThumbsPlus 7x
   [18.11.2009|08:33] C:\Programme\Trend Micro
   [17.09.2008|16:36] C:\Programme\TuneUp Utilities 2007
   [31.12.2008|14:20] C:\Programme\TVsweeper
   [13.11.2005|11:51] C:\Programme\Uninstall Information
   [02.10.2007|15:31] C:\Programme\WDZ2
   [21.09.2008|08:46] C:\Programme\WDZ3
   [11.06.2009|13:25] C:\Programme\Windows Desktop Search
   [24.12.2008|13:02] C:\Programme\Windows Installer Clean Up
   [01.11.2006|18:35] C:\Programme\Windows Media Connect 2
   [09.05.2008|07:16] C:\Programme\Windows Media Player
   [09.05.2008|07:16] C:\Programme\Windows NT
   [13.11.2005|11:33] C:\Programme\Windows Plus
   [13.11.2005|11:41] C:\Programme\WindowsUpdate
   [30.05.2009|18:28] C:\Programme\WISO
   [15.02.2009|13:46] C:\Programme\WISO Sparbuch
   [21.01.2008|21:47] C:\Programme\WW Points Plus
   [13.11.2005|11:43] C:\Programme\xerox
   [03.04.2008|20:16] C:\Programme\XXCLONE
   [0|Datei(en)] C:\Programme\Bytes
   [125|Verzeichnis(se),] C:\Programme\Bytes frei

   --------------------\\  Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

   [11.11.2009|22:21] C:\Programme\Gemeinsame Dateien\Adobe
   [02.11.2008|14:52] C:\Programme\Gemeinsame Dateien\Ahead
   [14.11.2009|14:26] C:\Programme\Gemeinsame Dateien\Apple
   [04.09.2006|20:49] C:\Programme\Gemeinsame Dateien\AVM
   [15.02.2009|13:46] C:\Programme\Gemeinsame Dateien\Buhl Data Service
   [07.07.2009|18:23] C:\Programme\Gemeinsame Dateien\Canon
   [17.11.2005|10:01] C:\Programme\Gemeinsame Dateien\DESIGNER
   [13.11.2005|11:40] C:\Programme\Gemeinsame Dateien\Dienste
   [27.11.2005|17:11] C:\Programme\Gemeinsame Dateien\FotoWire
   [13.11.2005|13:05] C:\Programme\Gemeinsame Dateien\InstallShield
   [21.12.2005|12:29] C:\Programme\Gemeinsame Dateien\Java
   [21.03.2009|09:47] C:\Programme\Gemeinsame Dateien\Microsoft Shared
   [13.11.2005|11:40] C:\Programme\Gemeinsame Dateien\MSSoap
   [12.11.2005|11:17] C:\Programme\Gemeinsame Dateien\ODBC
   [05.02.2006|13:05] C:\Programme\Gemeinsame Dateien\Real
   [11.12.2005|18:53] C:\Programme\Gemeinsame Dateien\ScanSoft Shared
   [31.12.2008|14:20] C:\Programme\Gemeinsame Dateien\Sonavis
   [12.11.2005|11:17] C:\Programme\Gemeinsame Dateien\SpeechEngines
   [09.05.2008|07:16] C:\Programme\Gemeinsame Dateien\System
   [12.05.2008|15:12] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
   [05.02.2006|13:05] C:\Programme\Gemeinsame Dateien\xing shared
   [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
   [23|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

   --------------------\\  Process

   ( 62 Processes )

   ... OK !

   --------------------\\  Ueberpruefung mit S_Lop

   Kein Lop Ordner gefunden !
 
   --------------------\\  Suche nach Lop Dateien - Ordnern

   Kein Lop Ordner gefunden ! 
 
   --------------------\\  Suche innerhalb der Registry
 
   ..... OK !

   --------------------\\  Ueberpruefung der Hosts Datei

   Hosts Datei SAUBER


   --------------------\\  Suche nach verborgenen Dateien mit Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2009-11-18 18:16:08
   Windows 5.1.2600 Service Pack 3 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\\  Suche nach anderen Infektionen

   --------------------\\  ROOTKIT !!

   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TDSSSERV]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_TDSSSERV]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv]



   [F:64][D:3]-> C:\DOKUME~1\Master\LOKALE~1\Temp
   [F:2][D:0]-> C:\DOKUME~1\Master\Cookies
   [F:2][D:0]-> C:\DOKUME~1\Master\LOKALE~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 18.11.2009|18:16 - Option : [1]

   --------------------\\  Scan beendet um 18:16:37

Wie kann ich denn die Prozesse unter C:\Windows\Tasks sehen? Der Browser zeigt mir den SD.dat nicht an...

Thanx 4 your Help

Frank

cosinus · 19.11.2009, 12:26

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

swabedoo · 20.11.2009, 07:27

Hallo und Guten Morgen,

Avenger spricht

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

hmmmmm, no rootkits found?

Beim Neustart sind die Services des AntiVir normal gestartet. Hätte ich die auch für den Neustart stilllegen müssen?

Gruß, Frank

cosinus · 20.11.2009, 10:52

Mach nun nochmal bitte einen Durchlauf mit MalwareBytes (Signauren updaten vorher!!) und lass alle Funde beseitigen. Poste wieder das Log, dann denke gehts an Combofix dran - werden wir aber noch sehen, also bitte nichts voreilig ausführen!

swabedoo · 20.11.2009, 20:19

Hallo Arne,

Signatur aktualisiert, Malwarebytes durchgelaufen.
Ergebnis: 'nur' der gleiche Rootkit.Agent.
Unter Quarantäne gestellt und entfernt.

Das Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3202
Windows 5.1.2600 Service Pack 3

20.11.2009 20:05:18
mbam-log-2009-11-20 (20-05-18).txt

Scan-Methode: Vollständiger Scan (C:\|R:\|S:\|)
Durchsuchte Objekte: 226729
Laufzeit: 44 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TDSSserv (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Frage am Rande: TDSSserv sieht man (so lange aktiv) als Nicht-zugeordneten Treiber bei Arbeitsplatz --> Eigenschaften --> Hardware --> Geräte-Manager --> Ansicht --> Ausgeblendete Geräte anzeigen. Dann sieht man ihn unter Nicht PnP-Treiber. Hätte es eigentlich geholfen, diesen zu deinstallieren?

Einen schönen Abend noch, viele Grüße in den hohen Norden

Frank

swabedoo · 21.11.2009, 10:16

Hallo und guten Morgen Arne,

Bad News :-(( von heute morgen:
Das Symptom ist noch nicht beseitigt. Auch heute morgen (nach den Reinigungsaktionen von gestern und vorgestern) habe ich wieder in der Chronik von Firefox entspreche Webseitenaufrufe gesehen...

Habe ich einen Fehler gemacht?

Der TDSSserv-Treiber ist auf jeden Fall nicht mehr sichtbar... (das lässt mich hoffen).

Grüße, Frank

cosinus · 22.11.2009, 19:56

Mach bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

swabedoo · 23.11.2009, 08:27

Guten Morgen Arne,

anbei das Log.

Code:

ATTFilter

ComboFix 09-11-22.04 - Master 23.11.2009  8:00.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1528 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Master\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00FC-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\kb913800.exe

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV


(((((((((((((((((((((((   Dateien erstellt von 2009-10-23 bis 2009-11-23  ))))))))))))))))))))))))))))))
.

2009-11-18 17:14 . 2009-11-18 17:16	--------	d-----w-	C:\Lop SD
2009-11-18 17:08 . 2009-11-18 17:09	--------	d-----w-	C:\rsit
2009-11-18 07:33 . 2009-11-18 07:33	--------	d-----w-	c:\programme\Trend Micro
2009-11-17 17:14 . 2009-09-10 13:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-17 17:14 . 2009-11-17 17:14	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-11-17 17:14 . 2009-09-10 13:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-11-16 07:57 . 2009-11-16 07:57	--------	d-----w-	c:\windows\system32\URTTemp
2009-11-16 07:40 . 2009-10-29 10:19	290816	----a-w-	C:\cleanup_tool.exe
2009-11-15 08:14 . 2009-11-15 08:14	--------	d-----w-	c:\dokumente und einstellungen\Master\Anwendungsdaten\Nvu
2009-11-14 13:26 . 2009-11-14 13:26	--------	d-----w-	c:\programme\iPod
2009-11-14 13:26 . 2009-11-14 13:26	--------	d-----w-	c:\programme\iTunes
2009-11-14 13:26 . 2009-11-14 13:26	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-11-14 13:22 . 2009-11-14 13:22	79144	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
2009-11-11 21:35 . 2009-11-11 21:35	--------	d-----w-	c:\programme\CCleaner
2009-11-11 21:33 . 2009-11-11 21:33	--------	d-----w-	c:\dokumente und einstellungen\Master\Lokale Einstellungen\Anwendungsdaten\Sun
2009-11-11 21:07 . 2009-07-28 15:33	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-11-11 21:07 . 2009-03-30 09:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-11-11 21:07 . 2009-02-13 11:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-11-11 21:07 . 2009-02-13 11:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-11-11 21:07 . 2009-11-11 21:07	--------	d-----w-	c:\programme\Avira
2009-11-11 21:07 . 2009-11-11 21:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-11-11 20:45 . 2009-11-11 20:45	--------	d-----w-	c:\dokumente und einstellungen\Master\Lokale Einstellungen\Anwendungsdaten\PCHealth
2009-11-11 20:29 . 2009-11-18 06:18	--------	d-sh--w-	c:\windows\Installer
2009-11-11 20:29 . 2009-11-11 21:17	152576	----a-w-	c:\dokumente und einstellungen\Master\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-11 20:29 . 2009-11-11 21:17	79488	----a-w-	c:\dokumente und einstellungen\Master\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-11 20:27 . 2009-06-21 21:45	153088	-c----w-	c:\windows\system32\dllcache\triedit.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-22 19:04 . 2008-08-09 08:11	--------	d-----w-	c:\dokumente und einstellungen\Master\Anwendungsdaten\foobar2000
2009-11-16 21:54 . 2005-11-13 10:59	38856	----a-w-	c:\dokumente und einstellungen\Master\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-16 08:27 . 2004-08-10 12:00	96278	----a-w-	c:\windows\system32\perfc007.dat
2009-11-16 08:27 . 2004-08-10 12:00	488502	----a-w-	c:\windows\system32\perfh007.dat
2009-11-14 13:46 . 2005-12-21 11:29	--------	d-----w-	c:\programme\Java
2009-11-14 13:39 . 2008-08-09 08:10	--------	d-----w-	c:\dokumente und einstellungen\Master\Anwendungsdaten\Apple Computer
2009-11-14 13:26 . 2007-06-30 10:07	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2009-11-14 13:25 . 2008-03-11 13:01	--------	d-----w-	c:\programme\QuickTime
2009-11-13 21:37 . 2007-02-23 18:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-11-11 21:21 . 2005-11-13 12:01	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-10-11 03:17 . 2009-06-13 18:19	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-10-08 13:57 . 2007-10-09 12:03	614912	----a-w-	c:\windows\system32\uiautomationcore.dll
2009-10-08 13:57 . 2004-08-10 12:00	23040	----a-w-	c:\windows\system32\oleaccrc.dll
2009-10-08 13:57 . 2004-08-10 12:00	220160	----a-w-	c:\windows\system32\oleacc.dll
2009-09-11 14:17 . 2004-08-10 12:00	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-04 21:03 . 2004-08-10 12:00	58880	----a-w-	c:\windows\system32\msasn1.dll
2009-08-29 07:54 . 2004-08-10 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2009-08-26 08:00 . 2004-08-10 12:00	247326	----a-w-	c:\windows\system32\strmdll.dll
2008-12-23 19:35 . 2008-12-23 19:35	0	--sh--w-	c:\windows\S06E2F81F.tmp
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"CTDVDDET"="c:\programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE" [2003-06-18 45056]
"RCSystem"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 49152]
"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 49152]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" [2005-07-11 122880]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2009-01-29 57344]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-05 417792]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-10-28 141600]
" Malwarebytes Anti-Malware  (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CtHelper.exe [2006-12-12 19456]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
CoreCenter.lnk - c:\programme\MSI\Core Center\CoreCenter.exe [2005-12-23 924160]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Urteilsmonitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WISO Urteilsmonitor.lnk
backup=c:\windows\pss\WISO Urteilsmonitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"Apple Mobile Device"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"CTxfiHlp"=CTXFIHLP.EXE
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" /s
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"SoundMan"=SOUNDMAN.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [04.01.2009 10:57 39472]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.11.2009 22:07 108289]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [13.11.2005 15:56 59520]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [12.03.2004 01:00 53120]
R3 CX88VID;Cinergy 1400 DVB-T Video Capture;c:\windows\system32\drivers\cxavsvid.sys [14.11.2005 18:31 326528]
R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [03.09.2006 16:29 207424]
R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;c:\windows\system32\drivers\hcw88rc5.sys [03.09.2006 16:29 11841]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [03.09.2006 16:29 299843]
R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [03.09.2006 16:29 497216]
R3 PCAlertDriver;PCAlertDriver;c:\programme\MSI\Core Center\NTGLM7X.sys [23.12.2005 11:10 26624]
S0 AmdAcpi;AmdAcpi Bus Filter Driver;c:\windows\system32\DRIVERS\AmdAcpi.sys --> c:\windows\system32\DRIVERS\AmdAcpi.sys [?]
S1 amdtools;AMD Special Tools Driver;c:\windows\system32\DRIVERS\amdtools.sys --> c:\windows\system32\DRIVERS\amdtools.sys [?]
S3 AVMWAN;NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [16.07.2002 01:00 37568]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [01.07.2007 17:47 264704]
S3 FXUSBASE;Teledat X120 (WinXP/2000);c:\windows\system32\drivers\fxusbase.sys [16.07.2002 01:00 547840]
S3 NETPPPOI;PPP over ISDN;c:\windows\system32\DRIVERS\NETPPPOI.SYS --> c:\windows\system32\DRIVERS\NETPPPOI.SYS [?]
S3 zlportio;zlportio;\??\c:\programme\UltraStar Deluxe\zlportio.sys --> c:\programme\UltraStar Deluxe\zlportio.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - PCALERTDRIVER

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-11-20 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-08-02 10:40]

2009-11-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Master\Anwendungsdaten\Mozilla\Firefox\Profiles\ssco4kfr.default\
FF - prefs.js: browser.startup.homepage - 
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2009-11-23 08:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2000478354-2146918337-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(940)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1956)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\FRITZ!DSL\IGDCTRL.EXE
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\CTsvcCDA.EXE
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\SYSTEM32\CTXFISPI.EXE
c:\windows\system32\SearchIndexer.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\eHome\ehmsas.exe
c:\programme\Creative\ShareDLL\CADI\NotiMan.exe
c:\programme\iPod\bin\iPodService.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-11-23 08:11 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-11-23 07:11

Vor Suchlauf: 10 Verzeichnis(se), 28.800.737.280 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 28.658.925.568 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[Boot Loader]
Timeout=2
Default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[Operating Systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="XXCLONE: (Cloned Volume) [d:0,p:1] \WINDOWS" /fastdetect /NoExecute=OptIn
multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Professional (on Volume 1)"

- - End Of File - - B834954F9A1BA0E9245C6562E0966182

Ich hatte den AntiVir deaktiviert - dennoch tauchen in dem Log Meldungen auf wie *On-access scanning enabled*. Hätte ich den Virenscanner komplett deinstallieren müssen?

Darüberhinaus hatte ich eine Fehlermeldung, das Windows ein Laufwerk nicht finden konnte (da war offensichtlich noch irgendwo eine alte Laufwerkszuordnung, habe vor kurzem "Eigene Dateien" umgezogen... (habe "Weiter" ausgewählt)).

Wiederherstellungskonsole wurde sauber installiert, der Rest von ComboFix lief problemlos durch.

... ich hatte es noch nicht erwähnt... Besten Dank für deine Hilfe so weit schon mal...

Nochmal meine Frage bzgl. C:\Windows\Tasks\SA.dat - wie kann ich die sehen?

Gruß, Frank

cosinus · 23.11.2009, 12:32

TDSS-Rootkit dürfte weg sein, mach mal eine Kontrolle mit Malwarebytes und aktuellen Signaturen.

Zitat:

Ich hatte den AntiVir deaktiviert - dennoch tauchen in dem Log Meldungen auf wie *On-access scanning enabled*.
Hätte ich den Virenscanner komplett deinstallieren müssen?

Normales Deaktivieren reicht, also Regenschirm schließen. Warum AntiVir da mehrere Male auftaucht kann ich jeztzt so auch nicht nachvollziehen...

Zitat:

Nochmal meine Frage bzgl. C:\Windows\Tasks\SA.dat - wie kann ich die sehen?

Was genau willst Du da sehen?

swabedoo · 23.11.2009, 14:40

Hallo Arne,

im Lop S&D war unter

Code:

ATTFilter

--------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks

dieser aufgeführt:

Code:

ATTFilter

   [18.11.2009 08:09][--ah-----] C:\WINDOWS\tasks\SA.DAT

Diesen meinte ich.

MBAM-Scan mache ich heute abend und poste die Ergebnisse. Was muss/kann/sollte ich sonst noch machen (außer abwarten und Daumen drücken, dass die unschicklichen Aufrufe nicht mehr auftreten)?

Klar: Passworte ändern, alte Wiederherstellungen entfernen, neuen Punkte setzen und eine Sicherung wäre auch kein Fehler...

Gruß, Frank

swabedoo · 23.11.2009, 21:20

Hallo Arne,

immerhin das sieht schon mal gut aus

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3218
Windows 5.1.2600 Service Pack 3

23.11.2009 21:16:58
mbam-log-2009-11-23 (21-16-58).txt

Scan-Methode: Vollständiger Scan (C:\|R:\|S:\|)
Durchsuchte Objekte: 227521
Laufzeit: 42 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

'n schönen Abend noch

Frank

cosinus · 24.11.2009, 12:36

Mach nun bitte ein Filelisting mit diesem script:

Script herunterladen, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

swabedoo · 24.11.2009, 18:29

Hi,

ich hoffe, das funktioniert...

listing.txt

Sollte es aber.

Gruß,

Frank

20.11.2009, 10:52	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Browser öffnet Webseiten im Hintergrund / Rootkit.Agent Mach nun nochmal bitte einen Durchlauf mit MalwareBytes (Signauren updaten vorher!!) und lass alle Funde beseitigen. Poste wieder das Log, dann denke gehts an Combofix dran - werden wir aber noch sehen, also bitte nichts voreilig ausführen! __________________ --> Browser öffnet Webseiten im Hintergrund / Rootkit.Agent

Browser öffnet Webseiten im Hintergrund / Rootkit.Agent

Plagegeister aller Art und deren Bekämpfung: Browser öffnet Webseiten im Hintergrund / Rootkit.Agent