Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Ständig neue Browserfenster und CPU-Auslastung bei 100% (https://www.trojaner-board.de/80136-staendig-neue-browserfenster-cpu-auslastung-100-a.html)

Chris4You 09.12.2009 13:41
Hi,

ja, auch in einem anderen Fall hat Dr. Web/Cureit Erfolg gegen TDSS gehabt.
Poste auf jeden Fall das Log von Dr. Web und ein neues GMER log (Rootkitscann). Falls Dr. Web es nicht schafft, machen wir es "händisch"...

chris

Betroffener 09.12.2009 19:31
Hallo,

der Scan mit DrWeb lief ewig aber das Log sieht doch vielversprechend aus.

Code:
Speichervorgang: C:\Dokumente und Einstellungen\gogoli\Desktop\drweb-cureit.exe:276;;BackDoor.Tdss.565;Beseitigt.;
ComboFix.exe\32788R22FWJFW\FIND3M.bat;C:\Dokumente und Einstellungen\gogoli\Desktop\ComboFix.exe;Wahrscheinlich BATCH.Virus;;
ComboFix.exe\32788R22FWJFW\List-C.bat;C:\Dokumente und Einstellungen\gogoli\Desktop\ComboFix.exe;Wahrscheinlich BATCH.Virus;;
ComboFix.exe;C:\Dokumente und Einstellungen\gogoli\Desktop;Archiv enthält infizierte Objekte;Verschoben.;
baureg.exe;C:\Programme\MEINHAUSPLANER\PROG\CADAVA;BackDoor.Bifrost.origin;Nicht desinfizierbar.Verschoben.;
A0071113.bat;C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP370;Wahrscheinlich BATCH.Virus;;
A0071125.bat;C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP370;Wahrscheinlich BATCH.Virus;;
A0071201.bat;C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP370;Wahrscheinlich BATCH.Virus;;
A0071243.bat;C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP370;Wahrscheinlich BATCH.Virus;;
iaStor.sys;C:\WINDOWS\system32\drivers;BackDoor.Tdss.565;Desinfiziert.;
Aber Gmer ist nicht so begeistert, ich sehe schon zu Beginn des Scans die gleichen Zeilen wie vordem. Ich poste, wenns fertig ist.

Chris4You 09.12.2009 20:50
Hi,

wenn das wirklich zutrifft:
C:\Programme\MEINHAUSPLANER\PROG\CADAVA;BackDoor.Bifrost.origin;
dann solltest Du Neuaufsetzen...
Hast Du das Programm gekauft oder ist das eine gecrackte Version?

chris
Ps.: Du solltest zwischen dem Dr.Web-Lauf und GMER u. U. mindestens einmal booten...

Betroffener 09.12.2009 22:58
Der Hausplaner ist gratis. Wäre ja der Hammer, wenn die Schadsoftware darin verpacken würden. Habe das direkt von deren Seite geladen. War mir aber zu murksig, ich habe es nie richtig benutzt und nun wieder deinstalliert.

Chris4You 10.12.2009 08:58
Hi,

Poste bitte das GMER-Log...

chris

Betroffener 10.12.2009 09:39
Hallo,

hier ist das GMER-Log. Bis auf die Zeile mit iaStor.sys gleicht es wohl dem ersten. Es geht aber wirklich kein einziges ungebetenes Fenster mehr auf. Wobei ich auch nie herausfinden konnte, was der Auslöser war. Es war aber teilweise so, dass sich Fenster geöffnet haben, während ich in das Google-Suchfeld etwas eingetippt habe, aller zwei drei Buchstaben war es soweit. Deshalb dachte ich erst, es wäre ein javascript-Problem.


Code:
GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-12-10 01:01:38
Windows 5.1.2600 Service Pack 3
Running: d0hcrddt.exe; Driver: C:\DOKUME~1\gogoli\LOKALE~1\Temp\uxtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT            9AFE396E                                                                                                                                                                  ZwCreateKey
SSDT            9AFE3964                                                                                                                                                                  ZwCreateThread
SSDT            9AFE3973                                                                                                                                                                  ZwDeleteKey
SSDT            9AFE397D                                                                                                                                                                  ZwDeleteValueKey
SSDT            9AFE3982                                                                                                                                                                  ZwLoadKey
SSDT            9AFE3950                                                                                                                                                                  ZwOpenProcess
SSDT            9AFE3955                                                                                                                                                                  ZwOpenThread
SSDT            9AFE398C                                                                                                                                                                  ZwReplaceKey
SSDT            9AFE3987                                                                                                                                                                  ZwRestoreKey
SSDT            9AFE3978                                                                                                                                                                  ZwSetValueKey
SSDT            9AFE395F                                                                                                                                                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

init            C:\WINDOWS\system32\drivers\tifm21.sys                                                                                                                                    entry point in "init" section [0xF5C4DEBF]

---- User code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!GetSysColor                                                                                                              7E368E78 5 Bytes  JMP 00418ED0 C:\WINDOWS\SMINST\Scheduler.exe
.text          C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!GetSysColorBrush                                                                                                          7E368EAB 5 Bytes  JMP 00418F40 C:\WINDOWS\SMINST\Scheduler.exe
.text          C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!SetScrollInfo                                                                                                            7E369056 7 Bytes  JMP 00418DC0 C:\WINDOWS\SMINST\Scheduler.exe
.text          C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!GetScrollInfo                                                                                                            7E37DFE2 7 Bytes  JMP 00418D10 C:\WINDOWS\SMINST\Scheduler.exe
.text          C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!ShowScrollBar                                                                                                            7E37F2F2 5 Bytes  JMP 00418E90 C:\WINDOWS\SMINST\Scheduler.exe
.text          C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!GetScrollPos                                                                                                              7E37F704 5 Bytes  JMP 00418D50 C:\WINDOWS\SMINST\Scheduler.exe
.text          C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!SetScrollPos                                                                                                              7E37F750 5 Bytes  JMP 00418E00 C:\WINDOWS\SMINST\Scheduler.exe
.text          C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!GetScrollRange                                                                                                            7E37F787 5 Bytes  JMP 00418D80 C:\WINDOWS\SMINST\Scheduler.exe
.text          C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!SetScrollRange                                                                                                            7E37F99B 5 Bytes  JMP 00418E40 C:\WINDOWS\SMINST\Scheduler.exe
.text          C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!EnableScrollBar                                                                                                          7E3B8005 7 Bytes  JMP 00418CD0 C:\WINDOWS\SMINST\Scheduler.exe

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                                                                    SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                                                                    eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)

Device          \FileSystem\Cdfs \Cdfs                                                                                                                                                    DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\ControlSet001\Services\tdssserv@start                                                                                                                          1
Reg            HKLM\SYSTEM\ControlSet001\Services\tdssserv@type                                                                                                                          1
Reg            HKLM\SYSTEM\ControlSet001\Services\tdssserv@imagepath                                                                                                                      \systemroot\system32\drivers\tdssserv.sys
Reg            HKLM\SYSTEM\ControlSet002\Services\tdssserv@start                                                                                                                          1
Reg            HKLM\SYSTEM\ControlSet002\Services\tdssserv@type                                                                                                                          1
Reg            HKLM\SYSTEM\ControlSet002\Services\tdssserv@imagepath                                                                                                                      \systemroot\system32\drivers\tdssserv.sys
Reg            HKLM\SOFTWARE\Classes\CLSID\{90C9B227-00E9-ED2B-D8335C00663422E2}\{BA143829-6513-6AB3-17B76E63BBBF825B}\{B7811D8F-B091-6828-D848878685722533}                             
Reg            HKLM\SOFTWARE\Classes\CLSID\{90C9B227-00E9-ED2B-D8335C00663422E2}\{BA143829-6513-6AB3-17B76E63BBBF825B}\{B7811D8F-B091-6828-D848878685722533}@LBML3FZBDBDV3BUIEQZJ1CU1HB1  0x01 0x00 0x01 0x00 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{AB53ABC9-60C7-8B2C-A2AB126EB1F03A59}\{6511FF0A-0202-CA71-9BBA47A5377501DE}\{CE12CB05-B8C7-0E6B-6DC342F04A20B600}                             
Reg            HKLM\SOFTWARE\Classes\CLSID\{AB53ABC9-60C7-8B2C-A2AB126EB1F03A59}\{6511FF0A-0202-CA71-9BBA47A5377501DE}\{CE12CB05-B8C7-0E6B-6DC342F04A20B600}@LBML3FZBDBDV3BUIEQZJ1CU1HB1  0x01 0x00 0x01 0x00 ...

---- EOF - GMER 1.0.15 ----

Chris4You 10.12.2009 11:27
Hi,

sieht gut aus.
Die iaStor.sys war verseucht und wurde bereinigt.
Es sind noch die Regeinträge vom TDSS da, sollte aber nichts machen.
Code:
HKLM\SYSTEM\ControlSet001\Services\tdssserv@start                                                                                                                          1
HKLM\SYSTEM\ControlSet001\Services\tdssserv@type                                                                                                                          1
HKLM\SYSTEM\ControlSet001\Services\tdssserv@imagepath                                                                                                                      \systemroot\system32\drivers\tdssserv.sys
HKLM\SYSTEM\ControlSet002\Services\tdssserv@start                                                                                                                          1
HKLM\SYSTEM\ControlSet002\Services\tdssserv@type                                                                                                                          1
HKLM\SYSTEM\ControlSet002\Services\tdssserv@imagepath
Wenn Du Dich in RegEdit aus kennst, kannst Du die rauslöschen (ist eine schönheitssache, einfach unter den Services bzw. drivers den Unterschlüssel tdssserv löschen...

chris

Betroffener 10.12.2009 12:40
Hallo,

du meinst also, alles wäre wieder o.K.? Wäre ja prima.

Ich würde die Schlüssel gern löschen, aber es klappt nicht. Löschen und bearbeiten ist nicht möglich. "Nicht alle angegebenen Werte können gelöscht werden". Unter "Berechtigungen" ist bei den beiden Schlüsseln übrigens alles blank.

Ich habe mal in der Registrierung nach anderen Schlüsseln mit "tdssserv" gesucht und folgendes gefunden. Ist das noch irgendwie von Belang?

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\tdssserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\tdssserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV

Vielen Dank

Chris4You 10.12.2009 16:18
Hi,

können auch raus, damit stellt der Rootkit sicher, dass er auch im Safemode läuft und nicht ausgehebelt werden kann...

Intressehabler, MAM updaten und noch mal laufen lassen ...

chris

Betroffener 11.12.2009 12:09
Hallo,

habe die Schlüssel noch rausbekommen. MAM hat nichts gefunden. Dann hoffe ich mal, der Albtraum ist damit vorbei.

Vielen Dank für die Hilfe.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:18 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19