|
Plagegeister aller Art und deren Bekämpfung: TR/Aleuron.EC und BDS/TDSS.TF.1Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.09.2010, 18:41 | #16 |
| TR/Aleuron.EC und BDS/TDSS.TF.1 das logfile von GMER GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-09-30 19:40:30 Windows 5.1.2600 Service Pack 3 Running: 3de10dsl.exe; Driver: C:\DOKUME~1\Thomas\LOKALE~1\Temp\uwdoafoc.sys ---- System - GMER 1.0.15 ---- SSDT FB17BB8E ZwCreateKey SSDT FB17BB84 ZwCreateThread SSDT FB17BB93 ZwDeleteKey SSDT FB17BB9D ZwDeleteValueKey SSDT FB17BBA2 ZwLoadKey SSDT FB17BB70 ZwOpenProcess SSDT FB17BB75 ZwOpenThread SSDT FB17BBAC ZwReplaceKey SSDT FB17BBA7 ZwRestoreKey SSDT FB17BB98 ZwSetValueKey SSDT FB17BB7F ZwTerminateProcess ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- |
30.09.2010, 18:56 | #17 | |
| TR/Aleuron.EC und BDS/TDSS.TF.1 Logfile von OSAM
__________________Zitat:
|
30.09.2010, 19:12 | #18 |
| TR/Aleuron.EC und BDS/TDSS.TF.1 Auszug aus dem remover.exe Text
__________________unknown boot code has been found on some of your physical disks To inspect the boot code manually, dump the master boot sector: remover.exe dump device name output_file To disinfect the master boot sector, use the following command: remover.exe fix device name |
30.09.2010, 19:35 | #19 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Aleuron.EC und BDS/TDSS.TF.1 Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
30.09.2010, 20:23 | #20 | |
| TR/Aleuron.EC und BDS/TDSS.TF.1 hier das file Zitat:
|
30.09.2010, 20:31 | #21 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Aleuron.EC und BDS/TDSS.TF.1 Gehe auf die Mircosoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12 Wähle den Download, der für dein Betriebssystem bestimmt ist: Hinweis: Für WinXP Sp3 wähle die Sp2 Version. Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab. Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.
__________________ --> TR/Aleuron.EC und BDS/TDSS.TF.1 |
30.09.2010, 21:03 | #22 |
| TR/Aleuron.EC und BDS/TDSS.TF.1 hier das log.txt Combofix Logfile: Code:
ATTFilter ComboFix 10-09-27.05 - Thomas 30.09.2010 21:49:13.2.1 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.41.1031.18.191.98 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Thomas\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Thomas\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-FFA4-00EB-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00FC-0D24-347CA8A3377C} . ((((((((((((((((((((((( Dateien erstellt von 2010-08-28 bis 2010-09-30 )))))))))))))))))))))))))))))) . 2010-09-30 10:56 . 2010-09-30 10:56 -------- d-----w- C:\_OTL 2010-09-27 18:30 . 2010-09-27 18:30 -------- d-----w- c:\windows\system32\NtmsData 2010-09-14 20:21 . 2010-09-14 20:21 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Malwarebytes 2010-09-14 19:43 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-09-14 19:41 . 2010-09-14 19:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-09-14 19:41 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-09-14 19:40 . 2010-09-14 19:40 -------- d-----w- C:\Malwarebytes' Anti-Malware 2010-09-13 16:44 . 2010-09-13 16:44 -------- d-----w- c:\windows\BDOSCAN8 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-08-17 13:17 . 1979-12-31 22:00 58880 ----a-w- c:\windows\system32\spoolsv.exe 2010-07-22 15:48 . 1979-12-31 22:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll 2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll 2005-10-23 09:59 . 2005-10-23 09:59 16384 ------w- c:\programme\ltmoh . ((((((((((((((((((((((((((((( SnapShot@2010-09-28_20.16.29 ))))))))))))))))))))))))))))))))))))))))) . + 2010-09-30 16:32 . 2010-09-30 16:32 16384 c:\windows\Temp\Perflib_Perfdata_134.dat + 2007-01-29 07:58 . 2010-06-21 14:46 46080 c:\windows\system32\tzchange.exe - 2007-01-29 07:58 . 2010-04-21 13:28 46080 c:\windows\system32\tzchange.exe + 2006-12-14 20:06 . 2010-02-22 14:22 18808 c:\windows\system32\spmsg.dll - 2006-12-14 20:06 . 2009-05-26 09:01 18808 c:\windows\system32\spmsg.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "preload"="c:\windows\RUNXMLPL.exe" [2004-04-20 40960] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576] "LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2004-08-06 32768] "PowerKey"="c:\program files\Launch Manager\PowerKey.exe" [2002-08-30 94208] "LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2004-07-15 49152] "CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2004-01-28 184320] "LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-09-08 245760] "Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2004-08-13 73728] "VTTrayp"="VTtrayp.exe" [2004-06-22 143360] "VTTimer"="VTTimer.exe" [2004-09-01 53248] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-13 4141056] "AGRSMMSG"="AGRSMMSG.exe" [2003-07-25 88363] "PCMService"="c:\program files\Arcade\PCMService.exe" [2004-08-27 81920] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-05-18 149280] "RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-06-28 32768] "{1290A33C-85F5-4164-A1BE-7DD299D4986A}"="c:\programme\CyberLink\PowerBackup\PBKScheduler.exe" [2004-06-08 69721] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2008-08-08 524288] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\System32\\javaw.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\eMule\\eMule.exe"= "c:\\Programme\\Microsoft Games\\Age of Empires II\\age2_x1\\AGE2_X1.ICD"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4662:TCP"= 4662:TCP:Emule "4672:UDP"= 4672:UDP:Emule2 R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.03.2009 18:33 108289] R3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [01.01.2003 23:29 2343] S1 mailKmd;mailKmd; [x] S2 Ca533av;Polaroid Digital Cam Video;c:\windows\system32\Drivers\Ca533av.sys --> c:\windows\system32\Drivers\Ca533av.sys [?] S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?] S3 IPN2220;acer IPN2220 Wireless LAN Card Driver;c:\windows\system32\drivers\i2220ntx.sys [16.09.2004 18:58 140288] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - UWDOAFOC *Deregistered* - uwdoafoc . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.bluewin.ch/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uDefault_Search_URL = hxxp://www.google.com/ie uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: &HTPE - c:\programme\hattriX\HTPE.htm IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} - hxxp://chkr-web.ifolor.net/ORDERINGGENERAL/LowRes/app_support/ActiveX/IfolorUploader_chkr.cab DPF: {DBC4B41E-1BEE-4FC3-A27D-5CF30D11056C} - hxxps://hpt.sso.bluewin.ch/res/js/thirdparty/imageuploader/CM4allUploader.cab . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2010-09-30 21:56 Windows 5.1.2600 Service Pack 3 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(2564) c:\programme\CyberLink\Shared Files\CLRCEngine.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2010-09-30 22:00:12 ComboFix-quarantined-files.txt 2010-09-30 20:00 ComboFix2.txt 2010-09-28 20:19 Vor Suchlauf: 3'633'053'696 Bytes frei Nach Suchlauf: 3'661'561'856 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect - - End Of File - - E109C5ED57B3761ECA1A18538BBFF5A6 |
01.10.2010, 08:00 | #23 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Aleuron.EC und BDS/TDSS.TF.1 Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.
__________________ Logfiles bitte immer in CODE-Tags posten |
01.10.2010, 19:49 | #24 |
| TR/Aleuron.EC und BDS/TDSS.TF.1 jetzt ist das MBR in Ordnung |
03.10.2010, 12:07 | #25 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Aleuron.EC und BDS/TDSS.TF.1 Hast mit MBRCheck nachgeprüft? Wenn ja => Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
04.10.2010, 15:31 | #26 | |
| TR/Aleuron.EC und BDS/TDSS.TF.1 ja, MBRCheck ist in Ordnung,aber Malwarebytes hat leider wieder was gefunden Zitat:
|
04.10.2010, 17:59 | #27 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Aleuron.EC und BDS/TDSS.TF.1 Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.
__________________ Logfiles bitte immer in CODE-Tags posten |
04.10.2010, 20:16 | #28 |
| TR/Aleuron.EC und BDS/TDSS.TF.1 ok, das hab ich gemacht. Wie gehts weiter und wann soll ich die Systemwiederherstellung wieder einschalten? Danke |
05.10.2010, 07:47 | #29 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Aleuron.EC und BDS/TDSS.TF.1 Der Scan mit SUPERAntiSpyware steht doch noch aus!
__________________ Logfiles bitte immer in CODE-Tags posten |
05.10.2010, 19:30 | #30 | |
| TR/Aleuron.EC und BDS/TDSS.TF.1 sorry hier das Logfile nur Adware cookies wurden gefunden Zitat:
|
Themen zu TR/Aleuron.EC und BDS/TDSS.TF.1 |
anti-malware, antivir, aufrufe, avira, avira antivir, data, dateien, diverse, diverse seiten, explorer, gelöscht, infizierte, internet, keine viren, malwarebytes, nicht mehr, not, problem, quarantäne, seite, seiten, services, system, trojan.dnschanger, update, version, viren, weitergeleitet |