Virenfund TDSS + Sinowal

6cylinders · 21.01.2010, 10:20

Hallo zusammen,

vor ca. 3 Wochen konnte ich meinen AVIRA nichtmehr starten und andere kostenlose Scanner konnte ich auch nicht starten.
Habe dann in Google herausgefunden, dass mein Notebook mit dem Rootkit TDSS infiziert war. Als Lösung habe ich das Programm TDSSKiller von Kaspersky ausgeführt, und der Rootkit wurde "gelöscht.

Seitdem funktioniert AVIRA zwar wieder, aber er findet nun immer mal wieder Viren und/oder Trojaner.

Code:

ATTFilter

Avira Berichte (aktuellste oben):

In der Datei 'C:\Dokumente und Einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Temp\H8SRT2dc3.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Alureon.DF.3' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Die Datei 'C:\Dokumente und Einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\jpeg.xmd'
enthielt einen Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baa6573.qua' verschoben!

Die Datei 'C:\Dokumente und Einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.ivd'
enthielt einen Virus oder unerwünschtes Programm 'HTML/Silly.Gen' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aded7ad.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP670\A0301335.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3183' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b786533.qua' verschoben!

Die Datei 'C:\Dokumente und Einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\ceva_vfs.cvd'
enthielt einen Virus oder unerwünschtes Programm 'DOS/PS-MPC-base.182' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbb6567.qua' verschoben!

Die Datei 'C:\Dokumente und Einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.cvd'
enthielt einen Virus oder unerwünschtes Programm 'Trivial-28 (A)' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba66574.qua' verschoben!

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299589.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP670\A0301335.dll
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3183' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP670\A0301315.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3165' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\WINDOWS\system32\H8SRTpvrcqokhie.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3183' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\WINDOWS\system32\H8SRTnwxbufnksj.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3165' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299589.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299589.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299589.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299590.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff 

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299589.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\WINDOWS\system32\H8SRTkuplwnhnqt.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Fehler in der ARK Library.
Die Datei wurde zum Löschen nach einem Neustart markiert.

In der Datei 'C:\WINDOWS\system32\H8SRTkuplwnhnqt.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.Ausgeführte Aktion: Datei löschen

Gestern hatte ich GMER gestartet und den Virus Sinowal gefunden.
Habe dann von XP-CD gebootet und mit fixmbr den MBR neu beschrieben.
Danach Malwarebytes und GMER laufen lassen -> keine neuen Funde.

Laut Anleitung aus diesem Forum habe ich heute Ccleaner, danach Malwarebytes und zum Schluss RSIT laufen lassen.
anbei die Textdatei. (konnte die Dateien nicht einzeln hochladen)

Ausserdem hatte ich während der Virus aktiv war, diverse Externe Datenträger dranhängen.
Wie kann ich feststellen, ob die infiziert sind, und wie kann ich diese - ohne Formatierung - bereinigen.

Hoffe, ihr könnt mir helfen
Viele Grüße
Six Cylinders

cosinus · 21.01.2010, 12:52

Hallo und

Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

files to delete:
C:\WINDOWS\system32\drivers\mailKmd.sys
C:\WINDOWS\system32\6.tmp

drivers to delete:
mailKmd
CrystalSysInfo
h8srtd.sys
MEMSWEEP2

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

6cylinders · 21.01.2010, 16:41

Hallo Cosinus,

danke für die schnelle Antwort. Hab Avenger ausgeführt und folgendes Logfile erhalten:

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com



Platform:  Windows XP



*******************



Script file opened successfully.

Script file read successfully.



Backups directory opened successfully at C:\Avenger



*******************



Beginning to process script file:



Rootkit scan active.

No rootkits found!





Error:  file "C:\WINDOWS\system32\drivers\mailKmd.sys" not found!

Deletion of file "C:\WINDOWS\system32\drivers\mailKmd.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist





Error:  file "C:\WINDOWS\system32\6.tmp" not found!

Deletion of file "C:\WINDOWS\system32\6.tmp" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist



Driver "mailKmd" deleted successfully.

Driver "CrystalSysInfo" deleted successfully.



Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\h8srtd.sys" not found!

Deletion of driver "h8srtd.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist



Driver "MEMSWEEP2" deleted successfully.



Completed script processing.



*******************



Finished!  Terminate.

VG
Six

cosinus · 21.01.2010, 22:21

Mach nun bitte ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

6cylinders · 22.01.2010, 01:17

Hallo Arne,

hier das CF Logfile:

Code:

ATTFilter

ComboFix 10-01-21.01 - XXX 22.01.2010   0:43.2.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.502.199 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\XXX.NOTEBOOK\Desktop\cofi.exe

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

.



((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.



C:\data

c:\windows\regedit.com

c:\windows\system32\H8SRTwyqxvnvufo.dat

c:\windows\system32\krl32mainweq.dll

c:\windows\system32\srcr.dat

c:\windows\system32\taskmgr.com



.

(((((((((((((((((((((((   Dateien erstellt von 2009-12-21 bis 2010-01-21  ))))))))))))))))))))))))))))))

.



2010-01-21 08:00 . 2010-01-21 08:00	--------	d-----w-	C:\rsit

2010-01-21 06:16 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys

2010-01-21 06:16 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys

2010-01-21 06:16 . 2010-01-21 06:16	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware

2010-01-21 05:53 . 2010-01-21 05:53	--------	d-----w-	c:\programme\CCleaner

2010-01-20 17:21 . 2010-01-20 17:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Panda Security

2010-01-20 17:21 . 2010-01-20 17:21	--------	d-----w-	c:\programme\Panda USB Vaccine

2010-01-20 17:18 . 2010-01-20 17:18	--------	d---a-w-	c:\windows\VDLL.DLL

2010-01-20 17:18 . 2010-01-20 17:18	--------	d---a-w-	c:\windows\system32\runouce.exe

2010-01-20 17:18 . 2010-01-20 17:18	--------	d---a-w-	c:\windows\rundll16.exe

2010-01-20 17:18 . 2010-01-20 17:18	--------	d---a-w-	c:\windows\RUNDL132.EXE

2010-01-20 17:18 . 2010-01-20 17:18	--------	d---a-w-	c:\windows\logo1_.exe

2010-01-20 17:18 . 2010-01-20 17:18	--------	d---a-w-	c:\windows\logo_1.exe

2010-01-20 17:10 . 2010-01-20 17:10	632064	----a-w-	c:\windows\system32\msvcr80.dll

2010-01-20 17:10 . 2010-01-20 17:10	554240	----a-w-	c:\windows\system32\msvcp80.dll

2010-01-20 17:10 . 2010-01-20 17:10	34048	----a-w-	c:\windows\system32\eEmpty.exe

2010-01-20 17:10 . 2008-04-14 02:23	140800	----a-w-	c:\windows\system32\T.COM

2010-01-20 17:10 . 2008-04-14 02:22	153600	----a-w-	c:\windows\R.COM

2010-01-20 17:10 . 2010-01-20 17:10	--------	d-----w-	c:\programme\Gemeinsame Dateien\MicroWorld

2010-01-20 17:10 . 2010-01-20 17:10	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld

2010-01-20 17:01 . 2010-01-20 17:02	--------	d--h--w-	c:\windows\system32\GroupPolicy

2010-01-06 17:32 . 2010-01-06 17:32	--------	d-----w-	c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Malwarebytes

2010-01-06 17:32 . 2010-01-06 17:32	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-01-05 19:07 . 2010-01-05 19:07	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten

2010-01-05 06:01 . 2010-01-02 23:26	789320	----a-w-	c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Mozilla\Firefox\Profiles\8bebwa6k.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll

2010-01-05 06:01 . 2010-01-02 23:26	697672	----a-w-	c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Mozilla\Firefox\Profiles\8bebwa6k.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll

2010-01-05 05:23 . 2009-06-30 08:37	28552	----a-w-	c:\windows\system32\drivers\pavboot.sys

2010-01-05 05:22 . 2010-01-05 05:22	--------	d-----w-	c:\programme\Panda Security

2010-01-05 03:43 . 2010-01-05 03:43	--------	d-sh--w-	c:\dokumente und einstellungen\XXX.NOTEBOOK\PrivacIE

2010-01-04 06:16 . 2010-01-04 06:16	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache

2010-01-04 06:03 . 2010-01-04 06:03	--------	d-sh--w-	c:\dokumente und einstellungen\XXX.NOTEBOOK\IETldCache

2010-01-04 05:40 . 2010-01-04 16:59	--------	d-----w-	c:\windows\ie8updates

2010-01-04 05:34 . 2010-01-04 05:38	--------	dc-h--w-	c:\windows\ie8

2010-01-04 05:31 . 2009-10-29 07:40	594432	-c----w-	c:\windows\system32\dllcache\msfeeds.dll

2010-01-04 05:31 . 2009-10-29 07:40	246272	-c----w-	c:\windows\system32\dllcache\ieproxy.dll

2010-01-04 05:31 . 2009-10-29 07:40	55296	-c----w-	c:\windows\system32\dllcache\msfeedsbs.dll

2010-01-04 05:31 . 2009-10-29 07:40	1985536	-c----w-	c:\windows\system32\dllcache\iertutil.dll

2010-01-04 05:31 . 2009-10-29 07:40	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll

2010-01-04 05:31 . 2009-10-29 07:40	11069952	-c----w-	c:\windows\system32\dllcache\ieframe.dll

2010-01-04 05:31 . 2009-10-02 04:44	92160	-c----w-	c:\windows\system32\dllcache\iecompat.dll

2010-01-04 05:19 . 2010-01-04 05:19	--------	d-----w-	c:\programme\MozBackup

2010-01-04 04:39 . 2010-01-04 04:39	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\F-Secure

2010-01-02 16:09 . 2010-01-21 06:09	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2010-01-02 16:09 . 2010-01-02 16:14	--------	d-----w-	c:\programme\Spybot - Search & Destroy

2010-01-02 16:04 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys

2010-01-02 16:04 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys

2010-01-02 16:04 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys

2010-01-02 16:04 . 2010-01-02 16:04	--------	d-----w-	c:\programme\Avira

2010-01-02 16:04 . 2010-01-02 16:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2010-01-02 13:41 . 2010-01-02 13:41	161296	----a-w-	c:\windows\system32\drivers\tmcomm.sys

2010-01-02 12:31 . 2010-01-02 12:31	--------	d-----w-	c:\programme\Sophos

2010-01-02 11:38 . 2010-01-02 11:38	--------	d-----w-	c:\programme\Trend Micro

2010-01-02 04:25 . 2010-01-02 07:11	132	----a-w-	c:\windows\system32\rezumatenoi.dat

2010-01-02 04:10 . 2010-01-02 07:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\BitDefender

2010-01-02 04:10 . 2010-01-02 04:10	--------	d-----w-	c:\programme\BitDefender

2010-01-02 04:08 . 2010-01-02 04:11	--------	d-----w-	c:\programme\Gemeinsame Dateien\BitDefender

2010-01-01 18:24 . 2010-01-05 21:17	--------	d-----w-	c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\QuickScan

2010-01-01 10:30 . 2010-01-01 10:30	172848	----a-w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

2009-12-30 02:19 . 2009-12-30 02:19	--------	d-----w-	c:\dokumente und einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Anwendungsdaten\Mindjet

2009-12-30 02:14 . 2009-12-30 02:14	--------	d-----w-	c:\programme\Mindjet

2009-12-29 11:57 . 2010-01-02 07:06	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe

2009-12-29 11:57 . 2009-12-29 11:58	--------	d-----w-	c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\tipptrainer2

2009-12-29 11:54 . 2009-12-29 11:54	57344	----a-r-	c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Microsoft\Installer\{7036A07A-FE2A-4920-A944-19B73D16F106}\NewShortcut8_7036A07AFE2A4920A94419B73D16F106.exe

2009-12-29 11:54 . 2009-12-29 11:54	57344	----a-r-	c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Microsoft\Installer\{7036A07A-FE2A-4920-A944-19B73D16F106}\NewShortcut2_7036A07AFE2A4920A94419B73D16F106_1.exe

2009-12-29 11:54 . 2009-12-29 11:54	25214	----a-r-	c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Microsoft\Installer\{7036A07A-FE2A-4920-A944-19B73D16F106}\ARPPRODUCTICON.exe

2009-12-29 11:53 . 2009-12-29 11:53	--------	d-----w-	c:\programme\Duden

2009-12-29 04:55 . 2009-12-29 04:55	103424	----a-w-	c:\windows\system32\presenter_nat.dll

2009-12-29 04:54 . 2009-12-29 04:54	--------	d-----w-	c:\programme\Brontes Processing

2009-12-29 04:54 . 2009-12-29 04:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Brontes Processing

2009-12-27 22:04 . 2010-01-03 14:23	--------	d-----w-	c:\programme\Der Schreibtrainer

2009-12-27 09:22 . 2009-12-27 09:22	--------	d-----w-	c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\dBpoweramp

2009-12-26 04:35 . 2009-12-26 04:35	3103	----a-w-	c:\windows\system32\SpoonUninstall-dBpoweramp Monkeys Audio Codec.dat

2009-12-26 04:08 . 2009-12-26 04:08	--------	d-----w-	c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\AccurateRip

2009-12-26 04:07 . 2009-12-26 04:31	413048	----a-w-	c:\windows\system32\SpoonUninstall.exe

2009-12-26 04:07 . 2009-12-26 04:07	15337	----a-w-	c:\windows\system32\SpoonUninstall-dBpoweramp Music Converter.dat

2009-12-26 04:07 . 2009-12-26 04:07	--------	d-----w-	c:\programme\Illustrate

2009-12-25 07:33 . 2009-12-25 07:33	--------	d-----w-	c:\programme\WinDjView

2009-12-23 04:42 . 2010-01-03 14:23	--------	d-----w-	c:\programme\MIBA



.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-21 15:42 . 2009-10-10 08:32	--------	d-----w-	c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Skype

2010-01-21 15:23 . 2009-10-10 08:35	--------	d-----w-	c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\skypePM

2010-01-05 05:12 . 2008-08-13 05:22	--------	d-----w-	c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Thunderbird

2010-01-05 05:08 . 2008-08-13 05:21	--------	d-----w-	c:\programme\Mozilla Thunderbird

2010-01-03 19:48 . 2003-04-02 12:00	85732	----a-w-	c:\windows\system32\perfc007.dat

2010-01-03 19:48 . 2003-04-02 12:00	462906	----a-w-	c:\windows\system32\perfh007.dat

2010-01-03 15:47 . 2009-12-04 17:44	--------	d-----w-	c:\programme\Diagnose-BK

2010-01-03 14:25 . 2008-04-05 22:04	--------	d--h--w-	c:\programme\InstallShield Installation Information

2010-01-03 14:23 . 2008-09-25 16:11	--------	d-----w-	c:\programme\Wortschatz

2010-01-03 14:22 . 2008-05-26 19:28	--------	d-----w-	c:\programme\uTorrent

2010-01-02 17:43 . 2009-08-04 07:49	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys

2010-01-02 11:49 . 2008-08-30 08:53	--------	d-----w-	c:\programme\Hardcopy

2010-01-02 03:33 . 2009-02-08 14:12	--------	d-----w-	c:\programme\StreamDown v6.4.3

2009-12-29 04:55 . 2008-04-06 15:59	73816	----a-w-	c:\dokumente und einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-12-24 05:41 . 2008-04-06 17:42	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe

2009-12-04 05:56 . 2009-11-09 05:02	--------	d-----w-	c:\programme\Garmin

2009-12-04 05:47 . 2009-11-09 05:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\GARMIN

2009-11-21 15:54 . 2003-04-02 12:00	471552	----a-w-	c:\windows\AppPatch\aclayers.dll

2009-11-13 18:37 . 2009-11-13 18:42	1420481	----a-w-	c:\programme\8009267F_UT_20021014_001_mathe1_0001.asf320.asf

2009-11-13 18:36 . 2008-12-28 09:24	156672	----a-w-	c:\windows\system32\rmc_fixasf.exe

2009-11-13 18:36 . 2008-12-28 09:24	237568	----a-w-	c:\windows\system32\rmc_rtspdl.dll

2009-11-13 18:35 . 2008-12-28 09:22	323584	----a-w-	c:\windows\system32\AUDIOGENIE2.DLL

2009-10-29 07:40 . 2003-04-02 12:00	916480	----a-w-	c:\windows\system32\wininet.dll

2009-10-19 17:59 . 2010-01-02 04:21	47104	----a-w-	c:\programme\mozilla firefox\components\FFComm.dll

.



((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-09-02 25623336]

"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PRONoMgr.exe"="c:\programme\Intel\NCS\PROSet\PRONoMgr.exe" [2005-07-07 135168]

"AGRSMMSG"="AGRSMMSG.exe" [2003-02-14 88107]

"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2002-11-15 126976]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2002-11-18 561152]

"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2002-12-02 32768]

"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2003-01-09 57418]

"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2002-10-23 163840]

"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2003-01-09 53248]

"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-02-10 1190632]

"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-02-10 1966928]

"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-02-09 149024]

"ZCfgSvc.exe"="c:\windows\system32\ZCfgSvc.exe" [2006-08-03 639040]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-11-04 413696]

"iTunesHelper"="g:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 49152]

"HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]

"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2008-09-11 339240]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-05-21 148888]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-02-07 94208]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-02-07 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-02-07 118784]

"Adobe Reader Speed Launcher"="g:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]



c:\dokumente und einstellungen\XXX.NOTEBOOK\Startmen\Programme\Autostart\

Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]



c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Hardcopy.LNK - c:\programme\Hardcopy\hardcopy.exe [2008-8-30 1281536]

HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2003-9-16 237568]



[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]

2006-08-03 01:20	188482	----a-w-	c:\windows\system32\LgNotify.dll



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\Microsoft Games\\Age of Empires\\Empires.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"g:\\Programme\\mIRC\\mirc.exe"=

"c:\\Programme\\Java\\jre1.6.0_07\\bin\\java.exe"=

"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=

"c:\\WINDOWS\\system32\\java.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=

"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Programme\\Java\\jre6\\bin\\java.exe"=

"c:\\Programme\\ICQ6.5\\ICQ.exe"=

"g:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"g:\\Programme\\Nero\\Nero 9\\Nero ShowTime\\ShowTime.exe"=

"g:\\Programme\\SoulseekNS\\slsk.exe"=

"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=



R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [05.01.2010 06:23 28552]

R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [27.07.2007 09:13 330144]

R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [27.07.2007 11:46 251680]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.01.2010 17:04 108289]

R3 WBMS;Winbond Memory Stick Storage (MS) Device Driver;c:\windows\system32\drivers\wbms.sys [06.04.2008 10:16 30208]

R3 WBSD;Winbond Secure Digital Storage (SD/MMC) Device Driver;c:\windows\system32\drivers\wbsd.sys [06.04.2008 10:16 25600]

S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [20.08.2008 06:08 70336]

S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [10.05.2009 20:34 89256]

S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [10.05.2009 20:34 15016]

S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [10.05.2009 20:34 120744]

S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [10.05.2009 20:34 114216]

S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [10.05.2009 20:34 25512]

S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [10.05.2009 20:34 110632]

S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [10.05.2009 20:34 115752]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = *.local

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Mozilla\Firefox\Profiles\8bebwa6k.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - component: c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Mozilla\Firefox\Profiles\8bebwa6k.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll

FF - component: c:\programme\Mozilla Firefox\components\FFComm.dll

FF - plugin: c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Mozilla\Firefox\Profiles\8bebwa6k.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: g:\programme\Adobe\Reader 9.0\Reader\browser\nppdf32.dll

FF - plugin: g:\programme\iTunes\Mozilla Plugins\npitunes.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -



HKLM-Run-DXDllRegExe - dxdllreg.exe

AddRemove-Tomb Raider - The Last Revelation - g:\tomb\Uninst.isu







**************************************************************************



catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-22 00:51

Windows 5.1.2600 Service Pack 3 NTFS



Scanne versteckte Prozesse... 



Scanne versteckte Autostarteinträge... 



Scanne versteckte Dateien... 



Scan erfolgreich abgeschlossen

versteckte Dateien: 0



**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------



- - - - - - - > 'winlogon.exe'(1044)

c:\windows\system32\LgNotify.dll



- - - - - - - > 'lsass.exe'(1100)

c:\windows\system32\relog_ap.dll

.

Zeit der Fertigstellung: 2010-01-22  00:56:09

ComboFix-quarantined-files.txt  2010-01-21 23:56



Vor Suchlauf: 1.492.221.952 Bytes frei

Nach Suchlauf: 7.209.263.104 Bytes frei



WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn



- - End Of File - - 36AA5DF9DC9827779444A904DD716D2A

VG
Six Cylinders

cosinus · 22.01.2010, 08:24

Bitte mach nochmal einen Durchlauf mit GMER und poste das Log, danach bitte noch einen Kontrollscan: öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

6cylinders · 22.01.2010, 08:31

Guten Morgen,

werde ich gleich machen.
Eine Frage noch vorab:
Habe auf meiner externen Platte einige Musikdateien, PDF-, Word-, und Excel-Dateien, die ich eigentl. nicht löschen möchte.
Wie kann ich feststellen, ob die Platte nicht auch infiziert ist?

Gruß
Six

cosinus · 22.01.2010, 08:33

Zitat:

Wie kann ich feststellen, ob die Platte nicht auch infiziert ist?

Malwarebytes?

Eine "Platte" kann man scheklcht infizieren, wenn sind da schädöliche Dateien drauf. Es kann aber sein, dass da ein Schädling die Autorunfunktion missbraucht, deswegen abschalten!!

Autostart auf allen Laufwerken deaktivieren
Ich empfehle, den Autostart grundsätzlich zu deaktivieren. Falls Du einen verseuchten Stick dransteckst und der Virenscanner erkennt das nicht hast Du den Salat.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist der Autostart auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

6cylinders · 22.01.2010, 12:27

Hallo,

bei beiden Anwendungen wieder Funde!

Gmer

Code:

ATTFilter

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-22 11:13:27
Windows 5.1.2600 Service Pack 3
Running: qcinxwiq.exe; Driver: C:\DOKUME~1\XXX~1.NOT\LOKALE~1\Temp\kxrdqpow.sys


---- System - GMER 1.0.15 ----

SSDT            F8B683BE                                  ZwCreateKey
SSDT            F8B683B4                                  ZwCreateThread
SSDT            F8B683C3                                  ZwDeleteKey
SSDT            F8B683CD                                  ZwDeleteValueKey
SSDT            F8B683D2                                  ZwLoadKey
SSDT            F8B683A0                                  ZwOpenProcess
SSDT            F8B683A5                                  ZwOpenThread
SSDT            F8B683DC                                  ZwReplaceKey
SSDT            F8B683D7                                  ZwRestoreKey
SSDT            F8B683C8                                  ZwSetValueKey
SSDT            F8B683AF                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.reloc          C:\WINDOWS\system32\drivers\acehlp10.sys  section is executable [0xF7F64B80, 0x37FC7, 0xE0000060]
.reloc          C:\WINDOWS\system32\drivers\acedrv10.sys  section is executable [0xEE4B0000, 0x459C1, 0xE0000060]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0   SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0   mouclass.sys (Mausklassentreiber/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1   SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1    timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2    timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)

---- EOF - GMER 1.0.15 ----

Malwarebytes:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3614
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.01.2010 12:06:08
mbam-log-2010-01-22 (12-06-08).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 205916
Laufzeit: 47 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP678\A0306495.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP678\A0306583.sys (Malware.Trace) -> Quarantined and deleted successfully.

Gruß
Six

cosinus · 22.01.2010, 12:36

Das GMER Log ist okay, MBAM hat nur Dateien in der SWH gefunden

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

6cylinders · 22.01.2010, 12:45

OK, habe die Systemwiederherstellung deaktiviert.
Ist mein Rechner jetzt frei von Viren?

Gruß
Six

cosinus · 22.01.2010, 12:46

Ja, ich denke man kann Dich entlassen

6cylinders · 22.01.2010, 14:06

OK, vielen Dank für deine Hilfe

VG
Six

22.01.2010, 08:24	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Virenfund TDSS + Sinowal Bitte mach nochmal einen Durchlauf mit GMER und poste das Log, danach bitte noch einen Kontrollscan: öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten. __________________ --> Virenfund TDSS + Sinowal

22.01.2010, 12:46	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Virenfund TDSS + Sinowal Ja, ich denke man kann Dich entlassen __________________ Logfiles bitte immer in CODE-Tags posten

Virenfund TDSS + Sinowal

Plagegeister aller Art und deren Bekämpfung: Virenfund TDSS + Sinowal