BDS/Agent.rfw ; BDS/Agent.rfv ; TR/Agent.wyn ; TR/Dldr.FraudLoad.vbxt Seit Gestern Abend geht mein Internet nicht. Das hat mich dann misstrauisch gemacht da ich perfekt mit meinem Router verbunden war. Habe einen AntiVir scan gemacht mit folgendem Ergebnis: Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 12. Oktober 2009 14:49
Es wird nach 1784793 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir Personal - FREE Antivirus
Seriennummer: 0000149996-ADJIE-0000001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: RONNY
Versionsinformationen:
BUILD.DAT : 8.2.0.353 17048 Bytes 15.05.2009 12:02:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 20:22:14
AVSCAN.DLL : 8.1.4.0 48897 Bytes 21.07.2008 05:24:39
LUKE.DLL : 8.1.4.5 164097 Bytes 21.07.2008 05:24:39
LUKERES.DLL : 8.1.4.0 12545 Bytes 21.07.2008 05:24:39
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 21:15:35
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 16:18:47
ANTIVIR2.VDF : 7.1.6.50 4333568 Bytes 29.09.2009 19:43:32
ANTIVIR3.VDF : 7.1.6.90 375296 Bytes 08.10.2009 19:43:43
Engineversion : 8.2.1.35
AEVDF.DLL : 8.1.1.2 106867 Bytes 27.09.2009 15:37:18
AESCRIPT.DLL : 8.1.2.35 483707 Bytes 08.10.2009 19:45:10
AESCN.DLL : 8.1.2.5 127346 Bytes 27.09.2009 15:37:16
AERDL.DLL : 8.1.3.2 479604 Bytes 08.10.2009 19:45:05
AEPACK.DLL : 8.2.0.0 422261 Bytes 27.09.2009 15:37:15
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 20.06.2009 13:09:34
AEHEUR.DLL : 8.1.0.167 2011511 Bytes 08.10.2009 19:44:56
AEHELP.DLL : 8.1.7.0 237940 Bytes 27.09.2009 15:37:13
AEGEN.DLL : 8.1.1.67 364916 Bytes 08.10.2009 19:43:52
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.10.2009 19:43:47
AECORE.DLL : 8.1.8.1 184693 Bytes 27.09.2009 15:37:10
AEBB.DLL : 8.1.0.3 53618 Bytes 21.10.2008 21:05:15
AVWINLL.DLL : 1.0.0.12 15105 Bytes 21.07.2008 05:24:39
AVPREF.DLL : 8.0.2.0 38657 Bytes 21.07.2008 05:24:39
AVREP.DLL : 8.0.0.3 155688 Bytes 23.04.2009 16:39:30
AVREG.DLL : 8.0.0.1 33537 Bytes 21.07.2008 05:24:39
AVARKT.DLL : 1.0.0.23 307457 Bytes 19.04.2008 09:55:49
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 21.07.2008 05:24:39
SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.04.2008 09:55:49
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 21.07.2008 05:24:40
NETNT.DLL : 8.0.0.1 7937 Bytes 19.04.2008 09:55:49
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 21.07.2008 05:24:37
RCTEXT.DLL : 8.0.52.0 86273 Bytes 21.07.2008 05:24:37
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Montag, 12. Oktober 2009 14:49
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemOptimizer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinStylerThemeSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '47' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NeoN\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jvmimpro.jar-51fad18-484f1120.zip
[0] Archivtyp: ZIP
--> vmain.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Gimsh.A.41
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Gimsh.A.41
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\NeoN\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jvmimpro.jar-5286af48-6da526a0.zip
[0] Archivtyp: ZIP
--> vmain.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Gimsh.A.41
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Gimsh.A.41
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\TDSSevri.dll
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfw
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\TDSShpue.dll
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfv
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\TDSSjjsm.dll
[FUND] Ist das Trojanische Pferd TR/Agent.wyn
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\TDSSl.dll
[FUND] Ist das Trojanische Pferd TR/Agent.wyn
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\TDSSrsls.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.vbxt
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd0925.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Ende des Suchlaufs: Montag, 12. Oktober 2009 16:47
Benötigte Zeit: 1:57:50 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
8357 Verzeichnisse wurden überprüft
219992 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
7 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
5 Dateien konnten nicht durchsucht werden
219978 Dateien ohne Befall
6759 Archive wurden durchsucht
6 Warnungen
7 Hinweise Habe alle Viren "erfolgreich" gelöscht, zumindest tauchten sie beim letzten scan nicht mehr auf. Dann habe ich noch Malewarebytes Anti-Malware laufen lassen, mit folgendem Ergebnis: Code:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1049
Windows 5.1.2600 Service Pack 2
13:05:26 13.10.2009
mbam-log-10-13-2009 (13-05-26).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 104128
Laufzeit: 58 minute(s), 10 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully. Auch hier habe ich alles gefundene gelöscht und zu guter letzt noch einen Hijack durchgeführt: |