Virenfund TDSS + Sinowal

6cylinders · 21.01.2010, 10:20

Hallo zusammen,

vor ca. 3 Wochen konnte ich meinen AVIRA nichtmehr starten und andere kostenlose Scanner konnte ich auch nicht starten.
Habe dann in Google herausgefunden, dass mein Notebook mit dem Rootkit TDSS infiziert war. Als Lösung habe ich das Programm TDSSKiller von Kaspersky ausgeführt, und der Rootkit wurde "gelöscht.

Seitdem funktioniert AVIRA zwar wieder, aber er findet nun immer mal wieder Viren und/oder Trojaner.

Code:

ATTFilter

Avira Berichte (aktuellste oben):

In der Datei 'C:\Dokumente und Einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Temp\H8SRT2dc3.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Alureon.DF.3' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Die Datei 'C:\Dokumente und Einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\jpeg.xmd'
enthielt einen Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baa6573.qua' verschoben!

Die Datei 'C:\Dokumente und Einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.ivd'
enthielt einen Virus oder unerwünschtes Programm 'HTML/Silly.Gen' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aded7ad.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP670\A0301335.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3183' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b786533.qua' verschoben!

Die Datei 'C:\Dokumente und Einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\ceva_vfs.cvd'
enthielt einen Virus oder unerwünschtes Programm 'DOS/PS-MPC-base.182' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbb6567.qua' verschoben!

Die Datei 'C:\Dokumente und Einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.cvd'
enthielt einen Virus oder unerwünschtes Programm 'Trivial-28 (A)' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba66574.qua' verschoben!

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299589.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP670\A0301335.dll
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3183' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP670\A0301315.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3165' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\WINDOWS\system32\H8SRTpvrcqokhie.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3183' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\WINDOWS\system32\H8SRTnwxbufnksj.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3165' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299589.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299589.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299589.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299590.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff 

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299589.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\WINDOWS\system32\H8SRTkuplwnhnqt.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Fehler in der ARK Library.
Die Datei wurde zum Löschen nach einem Neustart markiert.

In der Datei 'C:\WINDOWS\system32\H8SRTkuplwnhnqt.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.Ausgeführte Aktion: Datei löschen

Gestern hatte ich GMER gestartet und den Virus Sinowal gefunden.
Habe dann von XP-CD gebootet und mit fixmbr den MBR neu beschrieben.
Danach Malwarebytes und GMER laufen lassen -> keine neuen Funde.

Laut Anleitung aus diesem Forum habe ich heute Ccleaner, danach Malwarebytes und zum Schluss RSIT laufen lassen.
anbei die Textdatei. (konnte die Dateien nicht einzeln hochladen)

Ausserdem hatte ich während der Virus aktiv war, diverse Externe Datenträger dranhängen.
Wie kann ich feststellen, ob die infiziert sind, und wie kann ich diese - ohne Formatierung - bereinigen.

Hoffe, ihr könnt mir helfen
Viele Grüße
Six Cylinders

Virenfund TDSS + Sinowal

Plagegeister aller Art und deren Bekämpfung: Virenfund TDSS + Sinowal

Virenfund TDSS + Sinowal

Ähnliche Themen: Virenfund TDSS + Sinowal