BackDoor.Tdss.565 - Google leitet auf andere Seiten, finde aber kein Virus.

thueringer · 20.12.2009, 23:09

Hallo,

meine Browser leiten bei der Google Suche auf andere Seiten, Firefox sowie I-Explorer.
Habe schon diverse Virenscanner sowie Spy- und Malware Scanner laufen lassen. Dr.Web ist der einzige, der immer wieder einen BackDoor.Tdss.565 findet, desinfiziert und löscht, aber der ist bei jedem neuen scan wieder da.?!

Malwarebyte Log reiche ich nach, lasse den gerade zum wiederholten mal durchlaufen, dass er aktuell ist.

Gruss

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:03:09, on 20.12.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\system\BitDefender\BitDefender 2010\bdagent.exe
C:\Windows\Explorer.EXE
C:\system\BitDefender\BitDefender 2010\seccenter.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Windows\Samsung\PanelMgr\SSMMgr.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\System\OO Software\Defrag\oodtray.exe
C:\system\NVIDIA Corporation\nTune\nTuneCmd.exe
C:\System\Ashampoo\Ashampoo HDD Control\HDDControlGuard.exe
C:\System\OO Software\CleverCache\ooccctrl.exe
C:\System\IVT Corporation\BlueSoleil\BtTray.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
D:\System\Security Task Manager\SpyProtector.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\System\Logitech\SetPoint\SetPoint.exe
C:\system\Silicon Image\SiICfg\SiICfg.exe
C:\System\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\System\capidog\CapiDog.exe
C:\Program Files\T-Online\DSL-Manager\DslMgr.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\System\totalcmd\TOTALCMD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\System\Malwarebytes' Anti-Malware\mbam.exe
C:\System\Trend Micro\HijackThis\Hi.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:8080;http=192.168.0.1:8080;https=192.168.0.1:8080;socks=192.168.0.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\windowsProgramme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\system\BitDefender\BitDefender 2010\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [BDAgent] "C:\system\BitDefender\BitDefender 2010\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\system\BitDefender\BitDefender 2010\IEShow.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\system\OO Software\Defrag\oodtray.exe
O4 - HKLM\..\Run: [Ashampoo HDD Control Guard] C:\system\Ashampoo\Ashampoo HDD Control\HDDControlGuard.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ooccctrl.exe] C:\system\OO Software\CleverCache\ooccctrl.exe /tasktray
O4 - HKLM\..\Run: [BtTray] "C:\system\IVT Corporation\BlueSoleil\BtTray.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [Spy Protector] D:\System\Security Task Manager\SpyProtector.exe /autostart
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - .DEFAULT User Startup: DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: CapiDog.lnk = C:\System\capidog\CapiDog.exe
O4 - Startup: DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\DslMgr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\System\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: SiICfg.lnk = ?
O4 - Global Startup: ZDWLan Utility.lnk = C:\System\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O13 - Gopher Prefix:
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O18 - Protocol: fluxhttp - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - C:\Program Files\Common Files\fluxDVD\Lib\XEB\xebnavigation.ax
O20 - Winlogon Notify: !SASWinLogon - C:\System\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: BlueSoleilCS - IVT Corporation - C:\System\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: BsHelpCS - IVT Corporation - C:\System\IVT Corporation\BlueSoleil\BsHelpCS.exe
O23 - Service: BsMobileCS - IVT Corporation - C:\System\IVT Corporation\BlueSoleil\BsMobileCS.exe
O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\system\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\system\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Google Update Service (gupdate1c990118a73ba63) (gupdate1c990118a73ba63) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: MotoConnect Service - Unknown owner - C:\Program Files\Motorola\MotoConnectService\MotoConnectService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\system\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\system\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O CleverCache - O&O Software GmbH - C:\system\OO Software\CleverCache\ooccag.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\system\OO Software\Defrag\oodag.exe
O23 - Service: CHIPDRIVE Smartcard Office Kernel (SCM_Smart_Card_Office_Kernel) - SCM Microsystems - C:\Windows\system32\sokscmnt.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: SyncThru Web Admin Service (SWAS_Core) - Unknown owner - C:\system\Samsung Network Printer Utilities\SyncThru Web Admin Service\SWAS.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Program Files\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: TomTomHOMEService - TomTom - C:\windowsprogramme\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\system\NVIDIA Corporation\System Update\UpdateCenterService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\system\BitDefender\BitDefender 2010\vsserv.exe

--
End of file - 9724 bytes

thueringer · 21.12.2009, 00:23

Hallo,

jetzt noch das Malwarebyte Log.

Der Spy Protector gehört zum Security Task Manager und läuft gerade zum ersten Mal. Erstaunt mich gerade selber, dass der infiziert ist.

Gruss

Zitat:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3398
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865

21.12.2009 00:04:11
mbam-log-2009-12-21 (00-04-11).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|N:\|Z:\|)
Durchsuchte Objekte: 261920
Laufzeit: 1 hour(s), 14 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\spy protector (Rogue.SpyProtector) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

thueringer · 25.12.2009, 10:32

Hallo,

hat niemand eine Idee für mich? Hab schon diverse Anti-Virenscanner on-& off-line durchlaufen lassen. Ich finde nichts!
Im Firefox funktioniert die Suche einigermassen -> öffnet aber einen weiteren Tab mit Werbung und sonstigen Seiten.
Im I-Explorer leitets direkt um auf so Seiten.

Gruss und schöne Weihnachten.

Chris4You · 25.12.2009, 17:00

Hi,

bis auf wenige Scanner findet keiner den TDSS (ist ein sehr intelligentes und gut programmiertes Rootkit, fast nicht zu finden&zu beseitigen... zur Zeit tobt der Kampf darum...)...

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Hast Du eine Boot-CD für Vista? Wahrscheinlich muss die atapi.sys durch eine nicht infizierte ersetzt werden (die finden wir hoffentlich auf der Boot-CD, sonst lass ich Dir eine passende für Vista/SP2 zukommen, die dann unter einen anderen Namen auf die Festplatte kopieren [z.B in c:\test als atapi.txt), dann von CD booten, in die Rettungskonsole wechseln und die Datei dort dann in das Verzeichnis c:\windows\system32\drivers als atapi.sys kopieren. Auf jeden Fall dann noch fixmbr ausführen (da meist auch gleich der Bootblock infiziert wurde))...
Das Ganze muss von der Rettungskonsole aus erfolgen, da die Datei sonst blockiert ist. Passiert beim Bereinigen ein Fehler, dann Bootet Dein PC nicht mehr...

Wichtig ist vor allem der GMER-Report... GMER mit Admin-Rechten laufen lassen...

chris

thueringer · 25.12.2009, 18:06

Hallo,

hier die Log-Files:

gmer.txt
info.txt
log.txt

Bei GMER stürzt der PC ab, aber den scan hat es noch gemacht.
Die Original Vista-DVD habe ich.

Gruss

Chris4You · 25.12.2009, 18:45

Hi,

bin grad etwas "eng" in der Zeit...
Gmer findet schon was:

Zitat:

Service C:\system\NVIDIA (*** hidden *** ) [AUTO] nTuneService <-- ROOTKIT !!!
Service C:\system\NVIDIA (*** hidden *** ) [AUTO] UpdateCenterService <-- ROOTKIT !!!

Versuche GMER im abgesicherten Modus zu starten, wir brauchen die Files des Rootkits...
Sonst versuche den Dienst "nTuneService" und "UpdateCenterService" zu lokalisieren und zu beenden... (Start-> in das Suchfeld services.msc eingeben, return, Sicherheitsabfrage abnicken, Dienst suchen, stoppen und dann disablen...)...

chris
Ps.: nach schnelldurchsicht des Logs:
C:\system\NVIDIA Corporation\System Update\UpdateCenterService.exe
C:\system\NVIDIA Corporation\nTune\nTuneService.exe
C:\system\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\Windows\System32\drivers\nvmini.sys
C:\Windows\system32\nvuawy.exe
C:\Windows\system32\NVCOAWY.DLL
Bei virustotal.com prüfen lassen...

BackDoor.Tdss.565 - Google leitet auf andere Seiten, finde aber kein Virus.

Log-Analyse und Auswertung: BackDoor.Tdss.565 - Google leitet auf andere Seiten, finde aber kein Virus.