Hi,

darauf kann ich mir noch keinen Reim machen....
Bezüglich Avira. Muss mal nachschauen, aber früher gab es eine Option um Avira bereits beim Systemstart zu laden, das dauert dann halt länger (dann werden alle Treiber etc. beim Laden gescannt)...

chris

Hi,

also seit ich die beiden durch den defogger geblockten Dateien (die ich auch bei virustotal.com habe prüfen lassen) nicht wieder re-enabled habe, meldet der TDSS-Killer keine threats mehr.

die startverzögerung von avira beim systemstart sowie die sache mit der firewall treten allerdings immer noch auf.

was kann ich denn nun tun? gibts da eine lösung? will diesen sch*** trojaner samt rootkit schnellstmöglich loswerden, is ja klar ...

anyway, vielen dank schonmal

Hi,

das Rootkir sollte ebenso wie der Trojaner elemeniert sein, hast du diesbezüglich noch Meldungen?

Das Avira langsam startet kann mehrer Gründe hben...

Prüfe mal ob die Rootkitsuche aktiviert ist:
Antivir Konfiguration aufrufen
Expertenmodus, Scanner, Suche und dort "Rootkit-Suche bei Systemstart" deaktivieren!

Die Bindung der Netzwerkkarte an TCP/IP mal aufheben:
XP
Lösung: Startmenü->Verbinden mit->Alle Verbindungen->Eigenschaften von LAN->TCP/IP deaktivieren.

chris

Hi Chris,

habe die Rootkitsuche deaktiviert (hieß allerdings "Rootkitsuche bei Suchstart" nicht "... bei Systemstart" - war das trotzdem das richtige?!) und beim nächsten Hochfahren war Antivir sofort da mit geöffnetem Regenschirm. Werde das aber erstmal weiter beobachten, ob es auch so bleibt...

Habe gleichzeitig das TCP/IP deaktiviert. Die Firewall hat fast 3 Minuten gebraucht, bis ich darauf zugreifen konnte und sie als aktiv angezeigt wurde

Bezüglich des Rootkits und des Trojaners:

TDSS zeigt auch weiterhin keine threats mehr an. Heißt das, dass jetzt alles wieder ok ist und ich das Internet ohne Bedenken nutzen kann?!

Grüße,

killalenin

Hi,

sollte soweit ok sein...

chris

Hi,

danke! Habe leider jetzt ein neues Problem. Hab heute nochmal einen Systemcheck mit Avira gemacht und da hat es einen neuen Fund angezeigt:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 26. Oktober 2010 18:44

Es wird nach 2970784 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ROMAN

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:56:58
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 07:57:01
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 07:57:08
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 07:57:13
VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 07:57:13
VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 07:57:13
VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 07:57:13
VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 07:57:13
VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 07:57:13
VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 07:57:14
VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 07:57:14
VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 07:57:14
VBASE017.VDF : 7.10.12.38 146944 Bytes 27.09.2010 07:57:14
VBASE018.VDF : 7.10.12.64 133120 Bytes 29.09.2010 07:57:15
VBASE019.VDF : 7.10.12.99 134144 Bytes 01.10.2010 07:57:15
VBASE020.VDF : 7.10.12.122 131584 Bytes 05.10.2010 07:57:15
VBASE021.VDF : 7.10.12.148 119296 Bytes 07.10.2010 07:57:15
VBASE022.VDF : 7.10.12.175 142848 Bytes 11.10.2010 07:36:55
VBASE023.VDF : 7.10.12.198 131584 Bytes 13.10.2010 07:36:56
VBASE024.VDF : 7.10.12.216 133120 Bytes 14.10.2010 07:36:56
VBASE025.VDF : 7.10.12.238 137728 Bytes 18.10.2010 07:11:53
VBASE026.VDF : 7.10.12.254 129536 Bytes 20.10.2010 07:46:33
VBASE027.VDF : 7.10.13.22 137728 Bytes 22.10.2010 07:46:33
VBASE028.VDF : 7.10.13.23 2048 Bytes 22.10.2010 07:46:33
VBASE029.VDF : 7.10.13.24 2048 Bytes 22.10.2010 07:46:33
VBASE030.VDF : 7.10.13.25 2048 Bytes 22.10.2010 07:46:33
VBASE031.VDF : 7.10.13.37 123392 Bytes 25.10.2010 18:24:51
Engineversion : 8.2.4.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 09.10.2010 07:57:22
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 09.10.2010 07:57:21
AESCN.DLL : 8.1.6.1 127347 Bytes 09.10.2010 07:57:21
AESBX.DLL : 8.1.3.1 254324 Bytes 09.10.2010 07:57:22
AERDL.DLL : 8.1.9.2 635252 Bytes 09.10.2010 07:57:21
AEPACK.DLL : 8.2.3.11 471416 Bytes 15.10.2010 07:37:00
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 09.10.2010 07:57:20
AEHEUR.DLL : 8.1.2.36 2974072 Bytes 24.10.2010 07:46:35
AEHELP.DLL : 8.1.14.0 246134 Bytes 15.10.2010 07:36:57
AEGEN.DLL : 8.1.3.23 401779 Bytes 09.10.2010 07:57:17
AEEMU.DLL : 8.1.2.0 393588 Bytes 09.10.2010 07:57:17
AECORE.DLL : 8.1.17.0 196982 Bytes 09.10.2010 07:57:17
AEBB.DLL : 8.1.1.0 53618 Bytes 09.10.2010 07:57:16
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, I:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 26. Oktober 2010 18:44

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag08.00.00.01workstation
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdateChecker.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodag.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '154' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '382' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <XPsystem>
C:\Dokumente und Einstellungen\billistdoof\Lokale Einstellungen\Anwendungsdaten\Temp\{7D0E7632-2035-476E-AF7D-2283EFDF1F8A}
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\System Volume Information\_restore{11108D33-BED3-4E67-84EF-5842B9AE37FD}\RP529\A0112066.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.345
Beginne mit der Suche in 'D:\' <Programme>
Beginne mit der Suche in 'E:\' <Daten>
Beginne mit der Suche in 'F:\' <Spiele>
F:\Age of Empires 2\Extras\crack\MYTAECO1-MS Zone-\MYTAECO1-MS Zone-.ZIP
[0] Archivtyp: ZIP
--> MYTAECO1.ACE
[1] Archivtyp: ACE
--> age2_x1.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> data\empires2_x1_p1.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> data\gamedata_x1_p1.drs
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> language_x1_p1.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Canals_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Capricious_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Dingos_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Graveyards_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Metropolis_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Moats_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@ParadiseIsland_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Pilgrims_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Prairie_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Seasons_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Sherwood_Forest_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Sherwood_Heroes_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Shipwreck_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Team_Glaciers_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@The_Unknown_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> ReadmeX_a.rtf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> setupenu.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> SetupReg.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
F:\Age of Empires 2\Extras\crack\MYTAOEC1\MYTAOEC1.ZIP
[0] Archivtyp: ZIP
--> MYTAOEC1.ACE
[1] Archivtyp: ACE
--> age2_x1\age2_x1.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> age2_x1\dplayerx.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> age2_x1\drvmgt.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> age2_x1\clcd16.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> age2_x1\clcd32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> age2_x1\mcp.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> age2_x1\clokspl.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> age2_x1\secdrv.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> data\empires2_x1_p1.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> data\gamedata_x1_p1.drs
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> language_x1_p1.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Canals_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Capricious_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Dingos_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Graveyards_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Metropolis_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Moats_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@ParadiseIsland_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Pilgrims_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Prairie_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Seasons_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Sherwood_Forest_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Sherwood_Heroes_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Shipwreck_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@Team_Glaciers_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> random\ES@The_Unknown_v2.rms
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> ReadmeX_a.rtf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
--> setupenu.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'I:\' <XPgames>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{11108D33-BED3-4E67-84EF-5842B9AE37FD}\RP529\A0112066.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.345
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f7baa90.qua' verschoben!


Ende des Suchlaufs: Dienstag, 26. Oktober 2010 19:20
Benötigte Zeit: 34:18 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

12838 Verzeichnisse wurden überprüft
422794 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
422793 Dateien ohne Befall
3111 Archive wurden durchsucht
51 Warnungen
1 Hinweise
295450 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

Kann damit die Verzögerung der Windows-Firewall zusammenhängen? Und wie werde ich den nun wieder los? Mann mann mann, kaum hat man ein Problem gelöst, taucht ein neues auf

Danke,

killalenin

Hi,

der Fund liegt in der Systemwiederherstellung und wurde irgenwann mal mitgesichert, dher Systemwiederherstellung ausschalten, booten und dann wieder einschalten, dann sollte das Problem gelöst sein...

Der Rest liegt daran, dass Du verbotene Sw einsetzt, damit endet dann auch unser Support hier...

Zitat:

F:\Age of Empires 2\Extras\crack\MYTAECO1-MS Zone-\MYTAECO1-MS Zone-.ZIP

chris&out