Hallo,

meine Browser leiten bei der Google Suche auf andere Seiten, Firefox sowie I-Explorer.
Habe schon diverse Virenscanner sowie Spy- und Malware Scanner laufen lassen. Dr.Web ist der einzige, der immer wieder einen BackDoor.Tdss.565 findet, desinfiziert und löscht, aber der ist bei jedem neuen scan wieder da.?!

Malwarebyte Log reiche ich nach, lasse den gerade zum wiederholten mal durchlaufen, dass er aktuell ist.

Gruss

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:03:09, on 20.12.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\system\BitDefender\BitDefender 2010\bdagent.exe
C:\Windows\Explorer.EXE
C:\system\BitDefender\BitDefender 2010\seccenter.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Windows\Samsung\PanelMgr\SSMMgr.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\System\OO Software\Defrag\oodtray.exe
C:\system\NVIDIA Corporation\nTune\nTuneCmd.exe
C:\System\Ashampoo\Ashampoo HDD Control\HDDControlGuard.exe
C:\System\OO Software\CleverCache\ooccctrl.exe
C:\System\IVT Corporation\BlueSoleil\BtTray.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
D:\System\Security Task Manager\SpyProtector.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\System\Logitech\SetPoint\SetPoint.exe
C:\system\Silicon Image\SiICfg\SiICfg.exe
C:\System\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\System\capidog\CapiDog.exe
C:\Program Files\T-Online\DSL-Manager\DslMgr.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\System\totalcmd\TOTALCMD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\System\Malwarebytes' Anti-Malware\mbam.exe
C:\System\Trend Micro\HijackThis\Hi.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:8080;http=192.168.0.1:8080;https=192.168.0.1:8080;socks=192.168.0.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\windowsProgramme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\system\BitDefender\BitDefender 2010\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [BDAgent] "C:\system\BitDefender\BitDefender 2010\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\system\BitDefender\BitDefender 2010\IEShow.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\system\OO Software\Defrag\oodtray.exe
O4 - HKLM\..\Run: [Ashampoo HDD Control Guard] C:\system\Ashampoo\Ashampoo HDD Control\HDDControlGuard.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ooccctrl.exe] C:\system\OO Software\CleverCache\ooccctrl.exe /tasktray
O4 - HKLM\..\Run: [BtTray] "C:\system\IVT Corporation\BlueSoleil\BtTray.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [Spy Protector] D:\System\Security Task Manager\SpyProtector.exe /autostart
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - .DEFAULT User Startup: DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: CapiDog.lnk = C:\System\capidog\CapiDog.exe
O4 - Startup: DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\DslMgr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\System\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: SiICfg.lnk = ?
O4 - Global Startup: ZDWLan Utility.lnk = C:\System\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O13 - Gopher Prefix:
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O18 - Protocol: fluxhttp - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - C:\Program Files\Common Files\fluxDVD\Lib\XEB\xebnavigation.ax
O20 - Winlogon Notify: !SASWinLogon - C:\System\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: BlueSoleilCS - IVT Corporation - C:\System\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: BsHelpCS - IVT Corporation - C:\System\IVT Corporation\BlueSoleil\BsHelpCS.exe
O23 - Service: BsMobileCS - IVT Corporation - C:\System\IVT Corporation\BlueSoleil\BsMobileCS.exe
O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\system\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\system\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Google Update Service (gupdate1c990118a73ba63) (gupdate1c990118a73ba63) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: MotoConnect Service - Unknown owner - C:\Program Files\Motorola\MotoConnectService\MotoConnectService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\system\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\system\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O CleverCache - O&O Software GmbH - C:\system\OO Software\CleverCache\ooccag.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\system\OO Software\Defrag\oodag.exe
O23 - Service: CHIPDRIVE Smartcard Office Kernel (SCM_Smart_Card_Office_Kernel) - SCM Microsystems - C:\Windows\system32\sokscmnt.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: SyncThru Web Admin Service (SWAS_Core) - Unknown owner - C:\system\Samsung Network Printer Utilities\SyncThru Web Admin Service\SWAS.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Program Files\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: TomTomHOMEService - TomTom - C:\windowsprogramme\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\system\NVIDIA Corporation\System Update\UpdateCenterService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\system\BitDefender\BitDefender 2010\vsserv.exe

--
End of file - 9724 bytes

Hallo,

jetzt noch das Malwarebyte Log.

Der Spy Protector gehört zum Security Task Manager und läuft gerade zum ersten Mal. Erstaunt mich gerade selber, dass der infiziert ist.

Gruss

Zitat:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3398
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865

21.12.2009 00:04:11
mbam-log-2009-12-21 (00-04-11).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|N:\|Z:\|)
Durchsuchte Objekte: 261920
Laufzeit: 1 hour(s), 14 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\spy protector (Rogue.SpyProtector) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hallo,

hat niemand eine Idee für mich? Hab schon diverse Anti-Virenscanner on-& off-line durchlaufen lassen. Ich finde nichts!
Im Firefox funktioniert die Suche einigermassen -> öffnet aber einen weiteren Tab mit Werbung und sonstigen Seiten.
Im I-Explorer leitets direkt um auf so Seiten.

Gruss und schöne Weihnachten.

Hi,

bis auf wenige Scanner findet keiner den TDSS (ist ein sehr intelligentes und gut programmiertes Rootkit, fast nicht zu finden&zu beseitigen... zur Zeit tobt der Kampf darum...)...

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Hast Du eine Boot-CD für Vista? Wahrscheinlich muss die atapi.sys durch eine nicht infizierte ersetzt werden (die finden wir hoffentlich auf der Boot-CD, sonst lass ich Dir eine passende für Vista/SP2 zukommen, die dann unter einen anderen Namen auf die Festplatte kopieren [z.B in c:\test als atapi.txt), dann von CD booten, in die Rettungskonsole wechseln und die Datei dort dann in das Verzeichnis c:\windows\system32\drivers als atapi.sys kopieren. Auf jeden Fall dann noch fixmbr ausführen (da meist auch gleich der Bootblock infiziert wurde))...
Das Ganze muss von der Rettungskonsole aus erfolgen, da die Datei sonst blockiert ist. Passiert beim Bereinigen ein Fehler, dann Bootet Dein PC nicht mehr...

Wichtig ist vor allem der GMER-Report... GMER mit Admin-Rechten laufen lassen...

chris

Hallo,

hier die Log-Files:

gmer.txt
info.txt
log.txt

Bei GMER stürzt der PC ab, aber den scan hat es noch gemacht.
Die Original Vista-DVD habe ich.

Gruss

Hi,

bin grad etwas "eng" in der Zeit...
Gmer findet schon was:

Zitat:

Service C:\system\NVIDIA (*** hidden *** ) [AUTO] nTuneService <-- ROOTKIT !!!
Service C:\system\NVIDIA (*** hidden *** ) [AUTO] UpdateCenterService <-- ROOTKIT !!!

Versuche GMER im abgesicherten Modus zu starten, wir brauchen die Files des Rootkits...
Sonst versuche den Dienst "nTuneService" und "UpdateCenterService" zu lokalisieren und zu beenden... (Start-> in das Suchfeld services.msc eingeben, return, Sicherheitsabfrage abnicken, Dienst suchen, stoppen und dann disablen...)...

chris
Ps.: nach schnelldurchsicht des Logs:
C:\system\NVIDIA Corporation\System Update\UpdateCenterService.exe
C:\system\NVIDIA Corporation\nTune\nTuneService.exe
C:\system\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\Windows\System32\drivers\nvmini.sys
C:\Windows\system32\nvuawy.exe
C:\Windows\system32\NVCOAWY.DLL
Bei virustotal.com prüfen lassen...

Hallo,

kein Problem, bin froh, dass mir überhaupt jemand hilft .

So, die beiden Dienste sind deaktiviert.

gmer1.txt
gmer2.txt

Die Dateien sind laut virustotal.com virenfrei ... nvmini.sys existiert allerdings nicht.

Was mir noch aufgefallen ist: ..\system32\drivers\nvstor32.sys ..wird von drweb gemeldet als Backdoor. Wenn ich die Datei ersetze, dann steht später wieder eine andere Zeit/Datum drin. Also Original-Datei hat 04.08.2009 17:44 und die dann das heutige Datum. Hoffe das war grad verständlich geschrieben .

Gruss

Hi,

lass auch den Treiber "\system32\drivers\nvstor32.sys" bei virustotal prüfen.

Allerdings gibt das Ergebnis nicht viel her, da der Rootkit bei Lesezugriff auf sich selbst die nicht infizierte Datei (die er sich gesichert hat) zurückgibt.

Wie ersetzt Du die Datei? Nur über die Rettungskonsole, wenn der Rootkit läuft, wird er sofort wieder eine verseuchte drüberbügeln...
In der Rettungskonsole unbedingt auch fixmbr ausführen, falls er sich im MBR eingenistet hat...

Zu Gmer: Das Log ist vom Start von Gmer? Mache unbedingt einen vollständigen Scan: http://www.trojaner-board.de/74908-a...t-scanner.html

chris
Ps: die neuen Varianten vom TDSS infizieren auch andere Treiber/Dienste als die atapi.sys, daher ist eine Infektion der von Dir angegebenen Datei möglich!

Hallo,

das gmer-log ist tatsächlich der komplette Scan, wie auf der Seite beschrieben. Hier noch mal ein aktueller von heute mittag, im abgesicherten Modus ausgeführt.

gmer3.txt

Den Treiber erkennt virustotal auch als sauber.
Habe jetzt über die Reparaturkonsole diesen Treiber ersetzt sowie den /fixmbr ausgeführt. An die atapi.sys habe ich nicht gedacht, hole ich noch nach.

Ob sich jetzt am google-verhalten etwas geändert hat, habe ich noch nicht probiert.

Gruss

Hi,

sieht soweit gut aus...
Mittlerweile ist auch ComboFix wieder online...
Bevor wird den ausprobieren, bitte erst Goggle-Verhalten prüfen....
(CF hat in der Vergangenheit einige Systeme unbootbar hinterlassen, da die TDSS-Programmierer das Tool mittlerweile kennen und immer neue Varianten nachschieben die sich mit CF dann in den "Haaren" liegen (wie gesagt, die Schlacht tobt, nix besinnliche Weihnachten...))...


Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris
Ps.: Lass mal den MBR-Scanner von GMER laufen...
MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

Hallo,

die gute Nachricht, das Surf-Verhalten bei Google sieht bei beiden Browsern wieder ok aus, nach ersten Tests.
Hab Combofix und die mbr.exe trotzdem mal laufen lassen:

mbr.log
pend.txt

Im Combofix-Ordner sind noch mehr "logs", brauchst du davon auch noch welche?

Ich hoffe, dass jetzt alles wieder sauber ist und das so bleibt.

Viele Grüsse
thueringer


ps: -wenn die viren-programmierer so "klug" sind, warum machen die dann so´n blödsinn mit google usw. statt versteckt zu bleiben...?

Hi,

poste bitte den Report (C:\ComboFix.txt) von Combofix der nach dem Scannen angezeigt wurde...

chris

Hallo,

ComboFix.txt

Gruss

Hi,

darüber bin ich mir nicht so ganz im Klaren:

c:\programdata\SecTaskMan\icn_8A9C1670A3F861244B7A7BFAFB422AA4.dll
(Das gesamte SecTaskMan-Verzeichniss...)...

Kennst Du das Teil/Verzeichnis?

Das hier hatten wir schon geprüft?:
2009-12-20 14:57 . 2009-07-16 16:28 151552 ----a-w- c:\windows\system32\NVCOAWY.DLL
2009-12-20 14:57 . 2009-07-16 16:28 485920 ----a-w- c:\windows\system32\nvuawy.exe

Abschließen noch Prevx laufen lassen, der neigt zwar zu Fehlalarmen ist aber sonst ganz gut (der scannt nur, die gefundenen Sachen bei virustotal.com prüfen lassen und erst dann ggf. löschen ;o)...

Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

Hallo,

das Verzeichnis gehört laut Namen zum Security Task Manager. Das kenne ich, hab ich vor paar Jahren mal erworben. Die angezeigte dll ist nur 10 byte gross, alles Leerzeichen.

Die beiden anderen Dateien sind laut virustotal sauber.

Prevx-Screenshot:



und virustotal Ergebnis dazu:

Ergebnis: 1/41 (2.44%)
Prevx 3.0 2009.12.26 Medium Risk Malware

Wenn ich das lösche läuft mein Roboter wohl nicht mehr , die Datei kann ich sicher auch noch ersetzen von der Original-CD.

Gruss