Trojaner-Board - win32.tdss.rtk eingefangen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - win32.tdss.rtk eingefangen (https://www.trojaner-board.de/74952-win32-tdss-rtk-eingefangen.html)

win32.tdss.rtk eingefangen

Hallo

anscheinend hab ich mir auch dieses win32.tdss.rtk eingefangen. Spybot meldet den immer wieder. Malwarebytes hingegen nicht grummel.

Ich habe gmer laufen lassen und meldet das er skynet gefunden hat.

Ich habe danach die mbr laufen lassen wie von Euch beschrieben das log sieht aber immer noch so aus

Code:

tealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: error reading MBR 

kernel: MBR read successfully

Bekomme das irgendwie nicht hin. herje wo sind die netten Männer die mir helfen?

Nachtrag:
Obwohl ich die Option "versteckte Dateien anzeigen" angeklickt habe, sehe ich nicht im windows Verzeichnis von diesen skynet Dateien.

Hallo und :hallo:

Zitat:

Obwohl ich die Option "versteckte Dateien anzeigen" angeklickt habe, sehe ich nicht im windows Verzeichnis von diesen skynet Dateien.

Das sind Rootkits, die sind nicht sichtbar. Du brauchst ein spezielles Programm, um Rootkits anzeigen zu können. :)

Zitat:

Ich habe danach die mbr laufen lassen

Versuche es im abgesicherten Modus oder deaktiviere den Wächter deines Antivirenprogrammes. Warum kontrollierst du den MBR? Möchtest du Neuaufsetzen? Das ist die schnellste und sicherste Lösung bei dem fiesen Teil.

Solltest du eine Säuberung vorziehen, dann fange damit an:

1.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

2.) Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt hier in den Thread.

ciao, andreas

werde ich gleich mal machen.
Ich habe nur den thread durchgelesen deshalb das mit mbr.

Hier mal ein Bild von prev

http://i401.photobucket.com/albums/p...bbi/malvir.jpg

So habe combofix nach Anweisung laufen lassen.
Es hat während der Anzeige die Meldungen rausgerbracht dass es die entsprechenden Dateien gelöscht hat.

RSIT kann ich zwar starten bricht aber mit der Meldung:

Code:

Line-1 Error: Variable used without declared

ab.

Der log von combofix:

Code:

mboFix 09-07-06.A0 - Tabbi 07.07.2009 19:23.1 - NTFSx86

ausgeführt von:: c:\dokumente und einstellungen\Tabbi\Desktop\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\$recycle.bin\S-1-5-21-1527924303-1878343274-3240998404-1000

C:\cleanup.exe

c:\windows\Installer\1315b.msi

c:\windows\Installer\2ac23.msi

c:\windows\Installer\5f237.msi

c:\windows\Installer\WMEncoder.msi

c:\windows\system32\404Fix.exe

c:\windows\system32\Agent.OMZ.Fix.exe

c:\windows\system32\drivers\SKYNETyxddxuhg.sys

c:\windows\system32\Drivers\tqqpjj.sys

c:\windows\system32\dumphive.exe

c:\windows\system32\IEDFix.C.exe

c:\windows\system32\IEDFix.exe

c:\windows\system32\o4Patch.exe

c:\windows\system32\Process.exe

c:\windows\system32\SKYNETapqjwxrs.dat

c:\windows\system32\SKYNETbxjgeles.dat

c:\windows\system32\SKYNETidtipobr.dll

c:\windows\system32\SKYNETkbefndot.dll

c:\windows\system32\SKYNETxtcorvju.dll

c:\windows\system32\SrchSTS.exe

c:\windows\system32\tmp.reg

c:\windows\system32\VACFix.exe

c:\windows\system32\VCCLSID.exe

c:\windows\system32\WS2Fix.exe
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Service_SKYNETmpktadba
 
 

(((((((((((((((((((((((   Dateien erstellt von 2009-06-07 bis 2009-07-07  ))))))))))))))))))))))))))))))

.
 

2009-07-07 16:44 . 2009-07-07 16:44        --------        d-----w-        c:\programme\FileASSASSIN

2009-07-07 16:07 . 2009-07-07 16:07        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-07-07 16:07 . 2009-06-17 09:27        38160        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-07-07 16:07 . 2009-06-17 09:27        19096        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-07-07 16:01 . 2009-07-07 16:01        --------        d-----w-        c:\programme\Trend Micro

2009-07-04 12:19 . 2009-05-06 12:23        372736        ----a-w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll

2009-07-04 12:19 . 2008-09-03 08:56        151552        ----a-w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\NativeComponent.dll

2009-07-04 12:19 . 2007-10-25 22:12        55296        ----a-w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\FFMpegBridge.dll

2009-07-04 12:19 . 2007-09-05 22:18        798720        ----a-w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\ImageMagicResize.dll

2009-07-04 12:19 . 2007-01-29 22:59        7165440        ----a-w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\avcodec-51.dll

2009-07-04 12:19 . 2007-01-29 22:59        490496        ----a-w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\avformat-51.dll

2009-07-04 12:19 . 2007-01-29 22:59        142848        ----a-w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\swscale-0.dll

2009-07-04 12:19 . 2007-01-29 22:59        19968        ----a-w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\avutil-49.dll

2009-07-04 12:19 . 2006-12-16 17:24        53248        ----a-w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\2kPrerequisite.dll

2009-07-04 12:19 . 2006-11-14 17:00        258048        ----a-w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\SDL.dll

2009-07-04 12:19 . 2003-02-21 01:42        348160        ----a-w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\msvcr71.dll

2009-07-04 11:01 . 2009-07-04 11:01        --------        d-----w-        c:\dokumente und einstellungen\Tabbi\Lokale Einstellungen\Anwendungsdaten\Activision

2009-07-04 10:47 . 2009-07-04 10:47        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple

2009-07-04 10:44 . 2009-07-04 10:44        --------        d-----w-        C:\Games

2009-07-02 18:55 . 2009-07-02 18:55        41808        ----a-w-        c:\windows\system32\xfcodec.dll

2009-06-18 17:53 . 2009-06-18 17:53        971552        ----a-w-        c:\windows\system32\drivers\tdrpm174.sys

2009-06-18 17:53 . 2009-06-18 17:53        540000        ----a-w-        c:\windows\system32\drivers\timntr.sys

2009-06-18 17:53 . 2009-06-18 17:53        44704        ----a-w-        c:\windows\system32\drivers\tifsfilt.sys

2009-06-18 17:53 . 2009-06-18 17:53        134272        ----a-w-        c:\windows\system32\drivers\snman380.sys

2009-06-18 17:52 . 2009-06-18 17:52        --------        d-----w-        c:\programme\Acronis

2009-06-18 17:52 . 2009-06-18 17:52        --------        d-----w-        c:\programme\Gemeinsame Dateien\Acronis

2009-06-16 16:59 . 2009-06-16 16:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\wondertouch

2009-06-16 16:20 . 2009-06-16 16:20        --------        d-----w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Apple Computer

2009-06-16 16:19 . 2009-06-16 16:19        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer

2009-06-16 16:19 . 2009-06-16 16:19        --------        d-----w-        c:\programme\Apple Software Update

2009-06-16 16:19 . 2009-06-16 16:19        --------        d-----w-        c:\dokumente und einstellungen\Tabbi\Lokale Einstellungen\Anwendungsdaten\Apple

2009-06-16 16:19 . 2009-06-16 16:19        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple

2009-06-16 16:19 . 2009-06-16 16:19        --------        d-----w-        c:\dokumente und einstellungen\Tabbi\Lokale Einstellungen\Anwendungsdaten\Apple Computer

2009-06-16 15:50 . 2009-06-16 15:50        75        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_F2004B65C1764F9489C47C06EF83605B.dll

2009-06-16 15:50 . 2009-06-16 15:50        170        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_D64F86DB28A84664E8868FC755DBFE4D.dll

2009-06-16 15:50 . 2009-06-16 15:50        1175        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_6F9E66FF7E38E3A3FA41D89E8A906A4A.dll

2009-06-13 17:25 . 2009-06-13 17:27        6853096        ----a-w-        C:\SpyHunter-Compact-OS.exe

2009-06-13 17:25 . 2009-06-13 17:25        --------        d-----w-        c:\programme\Enigma Software Group

2009-06-13 17:04 . 2009-06-13 17:15        --------        d-----w-        c:\programme\Security Task Manager

2009-06-12 07:43 . 2009-06-12 07:43        --------        d-----w-        c:\programme\Microsoft.NET

2009-06-12 07:43 . 2009-06-12 07:43        --------        d-----w-        c:\programme\MSXML 6.0

2009-06-12 07:41 . 2009-06-14 07:56        --------        d-----w-        c:\programme\Microsoft SQL Server

2009-06-12 07:41 . 2009-06-12 07:41        --------        d-----w-        c:\programme\Sony Setup

2009-06-10 21:09 . 2009-06-12 21:41        107208        ----a-w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

2009-06-10 21:04 . 2009-06-10 21:04        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google

2009-06-10 21:04 . 2009-06-10 21:08        --------        d-----w-        c:\dokumente und einstellungen\Tabbi\Lokale Einstellungen\Anwendungsdaten\Google

2009-06-10 21:04 . 2009-06-10 21:08        --------        d-----w-        c:\programme\Google

2009-06-10 21:04 . 2009-06-10 21:04        --------        d-----w-        c:\programme\Gemeinsame Dateien\DivX Shared

2009-06-10 10:42 . 2009-06-16 17:11        --------        d-----w-        c:\programme\particleIllusion_3

2009-06-10 10:42 . 2009-06-10 10:42        --------        d-----w-        c:\programme\particleView 3.2

2009-06-10 10:30 . 2009-06-10 10:35        --------        d-----w-        C:\update_cache

2009-06-10 10:29 . 2001-12-31 22:01        --------        d-----w-        c:\programme\megui

2009-06-10 10:26 . 2009-06-10 10:26        --------        d-----w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Desktopicon

2009-06-10 10:26 . 2009-06-10 10:26        --------        d-----w-        c:\programme\FormatFactory

2009-06-10 09:50 . 2009-06-10 09:50        --------        d-----w-        c:\windows\system32\windows media

2009-06-10 09:50 . 2009-06-10 09:50        --------        d-----w-        c:\programme\Windows Media Components

2009-06-10 05:34 . 2009-06-10 05:34        --------        d-----w-        c:\programme\VirtualDub-1.8.8
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-07-07 17:05 . 2008-03-13 17:55        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2009-07-07 16:55 . 2009-04-05 09:05        117760        ----a-w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL

2009-07-07 16:55 . 2008-01-18 17:25        --------        d-----w-        c:\programme\Xfire

2009-07-07 16:19 . 2008-01-18 17:25        --------        d-----w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Xfire

2009-07-06 16:39 . 2008-01-18 17:10        189800        ----a-w-        c:\windows\system32\PnkBstrB.exe

2009-07-06 16:01 . 2008-01-18 17:11        138608        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys

2009-07-06 15:48 . 2008-01-24 19:59        --------        d-----w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\teamspeak2

2009-07-06 15:42 . 2007-07-27 12:00        97990        ----a-w-        c:\windows\system32\perfc007.dat

2009-07-06 15:42 . 2007-07-27 12:00        495508        ----a-w-        c:\windows\system32\perfh007.dat

2009-06-24 09:04 . 2008-08-24 06:19        --------        d-----w-        c:\programme\SUPERAntiSpyware

2009-06-21 20:12 . 2009-06-06 12:23        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2009-06-19 21:01 . 2008-01-18 15:55        20040        ----a-w-        c:\dokumente und einstellungen\Tabbi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-06-19 20:55 . 2008-04-05 08:05        737280        ----a-w-        c:\windows\iun6002.exe

2009-06-18 15:01 . 2008-01-18 16:11        --------        d--h--w-        c:\programme\InstallShield Installation Information

2009-06-18 14:14 . 2009-03-17 14:02        --------        d-----w-        c:\programme\NCalc5

2009-06-16 16:19 . 2008-06-14 23:58        --------        d-----w-        c:\programme\QuickTime

2009-06-16 15:51 . 2009-06-13 17:05        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan

2009-06-13 16:47 . 2008-02-16 07:01        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe

2009-06-12 14:08 . 2009-06-06 14:23        --------        d-----w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Sony

2009-06-12 07:45 . 2009-06-06 13:27        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony

2009-06-10 21:04 . 2008-08-27 16:14        --------        d-----w-        c:\programme\DivX

2009-06-10 11:36 . 2009-06-06 13:27        --------        d-----w-        c:\programme\Sony

2009-06-06 14:23 . 2009-06-06 14:23        --------        d-----w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Publish Providers

2009-06-06 13:27 . 2009-06-06 13:27        --------        d-----w-        c:\programme\Vstplugins

2009-05-17 07:35 . 2009-05-17 07:24        --------        d-----w-        c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\vlc

2009-05-09 11:24 . 2009-05-09 11:24        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\CaptainSim

2009-05-07 15:32 . 2007-07-27 12:00        348160        ----a-w-        c:\windows\system32\localspl.dll

2009-05-01 21:02 . 2009-05-01 21:02        90112        ----a-w-        c:\windows\system32\dpl100.dll

2009-05-01 21:02 . 2009-05-01 21:02        823296        ----a-w-        c:\windows\system32\divx_xx0c.dll

2009-05-01 21:02 . 2009-05-01 21:02        823296        ----a-w-        c:\windows\system32\divx_xx07.dll

2009-05-01 21:02 . 2009-05-01 21:02        815104        ----a-w-        c:\windows\system32\divx_xx0a.dll

2009-05-01 21:02 . 2009-05-01 21:02        811008        ----a-w-        c:\windows\system32\divx_xx16.dll

2009-05-01 21:02 . 2009-05-01 21:02        802816        ----a-w-        c:\windows\system32\divx_xx11.dll

2009-05-01 21:02 . 2009-05-01 21:02        685056        ----a-w-        c:\windows\system32\DivX.dll

2009-04-27 17:24 . 2009-03-19 17:25        96104        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2009-04-27 17:24 . 2009-03-19 17:25        55640        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2009-04-25 06:26 . 2009-04-04 17:18        286720        ----a-w-        c:\windows\iun506.exe

2009-04-19 19:46 . 2007-07-27 12:00        1847296        ----a-w-        c:\windows\system32\win32k.sys

2009-04-15 14:51 . 2007-07-27 12:00        585216        ----a-w-        c:\windows\system32\rpcrt4.dll

2009-04-13 15:40 . 2008-01-18 16:36        664        ----a-w-        c:\windows\system32\d3d9caps.dat

2009-04-13 10:22 . 2009-04-13 10:22        0        ----a-w-        c:\windows\ativpsrm.bin

2009-05-01 21:02 . 2009-05-01 21:02        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll

2008-02-17 13:50 . 2008-02-17 13:50        119        --sh--w-        c:\windows\cnerolf.dat

2006-05-03 09:06 . 2008-11-22 10:29        163328        --sh--r-        c:\windows\system32\flvDX.dll

2007-02-21 10:47 . 2008-11-22 10:29        31232        --sh--r-        c:\windows\system32\msfDX.dll

2008-03-16 12:30 . 2008-11-22 10:29        216064        --sh--r-        c:\windows\system32\nbDX.dll

.

Teil2

Code:

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]

2008-11-18 11:58        333192        ----a-w-        c:\programme\AskBarDis\bar\bin\askBar.dll
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-06-24 1830128]

"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]

"SpybotSnD"="c:\programme\Spybot - Search & Destroy\SpybotSD.exe" [2009-01-26 5365592]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13684736]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 86016]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]

"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-11-21 4352832]

"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-11-21 960528]

"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2008-11-21 165144]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-09-24 16859648]

"CTxfiHlp"="CTXFIHLP.EXE" - c:\windows\system32\Ctxfihlp.exe [2008-07-11 19968]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-03-27 1657376]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2008-6-15 295606]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-01-02 09:10        356352        ----a-w-        c:\programme\SUPERAntiSpyware\SASWINLO.DLL
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           autocheck autochk *\0OODBS
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Tabbi^Startmenü^Programme^Autostart^Secunia PSI (RC3).lnk]

path=c:\dokumente und einstellungen\Tabbi\Startmenü\Programme\Autostart\Secunia PSI (RC3).lnk

backup=c:\windows\pss\Secunia PSI (RC3).lnkStartup
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"nHancer"="c:\programme\nHancer\nHancer.exe" /tray
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"OODefragTray"=c:\windows\system32\oodtray.exe

"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" -lang 1033
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Programme\\Xfire\\xfire.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=

"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=

"c:\\Programme\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Game.exe"=

"c:\\Programme\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Launcher.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=

"c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=

"c:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=

"c:\\Programme\\Zattoo\\zattood.exe"=

"c:\\Programme\\Zattoo\\Zattoo.exe"=

"c:\\Programme\\Ratajik Software\\StationRipper\\StationRipperConsole.exe"=

"f:\\download\\FSMetar155Beta\\FSMetar.exe"=

"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"c:\\Programme\\FSFDT\\FWInn\\FWINN.exe"=

"c:\\Programme\\IVAO\\IvAp\\ivapnetint.exe"=

"c:\\Programme\\IVAO\\IvAi\\IvAi.exe"=

"c:\\Programme\\Java\\jdk1.6.0_07\\bin\\java.exe"=

"c:\\Games\\Call of Duty 5\\CoDWaW.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server

"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server

"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server

"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)
 

R3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [2008-08-30 79360]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-06-10 108289]

S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\atl01_xp.sys [2007-03-15 38656]
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bdx        REG_MULTI_SZ           scan
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

Inhalt des "geplante Tasks" Ordners
 

2009-06-12 c:\windows\Tasks\1-Klick-Wartung.job

- c:\programme\TuneUp Utilities 2008\OneClick.exe [2008-01-08 11:19]
 

2009-07-04 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

Notify-AtiExtEvent - (no file)
 
 

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = *.local

IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

FF - ProfilePath - c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\

FF - component: c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll

FF - component: c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\Mozilla\Firefox\Profiles\rdt8gt38.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\NativeComponent.dll

FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0015-0000-0016-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
 

---- FIREFOX Richtlinien ----

  .
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-07-07 19:30

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  CTxfiHlp = CTXFIHLP.EXE? 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

"OODEFRAG10.00.00.01WORKSTATION"="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"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(936)

c:\programme\SUPERAntiSpyware\SASWINLO.DLL

.

Zeit der Fertigstellung: 2009-07-07 19:32

ComboFix-quarantined-files.txt  2009-07-07 17:32
 

Vor Suchlauf: 15 Verzeichnis(se), 128.528.977.920 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 128.444.903.424 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

;

;Warning: Boot.ini is used on Windows XP and earlier operating systems.

;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.

;

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /NOEXECUTE=OPTIN /FASTDETECT
 

296        --- E O F ---        2009-06-14 07:58

1.) ZHPDiag von Nicolas Coolman

http://pic.leech.it/i/acb6d/65dd45eazhpdiag2.jpg

Klicke auf Téléchargement de ZHPDiag
Klicke auf der Seite auf FTP Zebulon.fr N°1.
Entpacke die geladene Datei auf den Desktop und starte ZHPDiag.exe mit Doppelklick.
Klicke auf http://pic.leech.it/i/91e55/da3d575tours.jpg
Klicke auf http://pic.leech.it/i/a42a2/a0e0aeddlupe.jpg
Klicke auf http://pic.leech.it/i/57150/662ea50kamera.jpg
Klicke auf http://pic.leech.it/i/ac133/edfd27ddesktop.jpg
Klicke auf http://pic.leech.it/i/41b81/a4f7648speichern.jpg
Lade die Datei bei einem Filehoster hoch (z.B. www.materialordner.de) und poste hier den Link.

2.) Erstelle ein Log mit DDS => http://download.bleepingcomputer.com/sUBs/dds.scr

ciao, andreas
ciao, andreas

Hallo Andreas,

werde ich gleich noch schnell machen.

Aber die bisherigen Programme finden nix mehr. Dachte combofix hat alles gelöscht?

Du sollst nicht mit anderen Programmen suchen, sondern nur mit denen, die hier stehen. :)

ciao, andreas

Der Link zu ZHPDiag funktioniert nicht, bitte nocheinmal hochladen. Adobe Master Collection. Sony Vegas Pro. :(

Hätte ich das vorher gesehen, dann hätte ich dich nicht übernommen.

1.) Deinstalliere (man kann einen Rechner auf kaputtinstallieren):

Foxit Toolbar (Adware)
J2SE Runtime Environment 5.0 Update 16
Java(TM) 6 Update 7
Spybot - Search & Destroy
SUPERAntiSpyware Free Edition

2.) Installiere:

Java-Downloads für alle Betriebssysteme - Sun Microsystems

3.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"=-

"SUPERAntiSpyware"=-

"SpybotSD TeaTimer"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UpdReg"=-

"SpybotSnD"=-

"QuickTime Task"=-

"nwiz"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
 

Folder::

c:\programme\AskBarDis

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

c:\dokumente und einstellungen\Tabbi\Anwendungsdaten\SUPERAntiSpyware.com

c:\programme\SUPERAntiSpyware
 

File::

c:\windows\Tasks\AppleSoftwareUpdate.job

c:\windows\system32\config\systemprofile\lokale einstellungen\verlauf\history.ie5\mshist012008051320080514\index.dat
 

DirLook::

C:\update_cache

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Habe alles gelöscht und java neuinstalliert.

Mit dem Junior hab ich auch nen ernstes Wort geredet.

Hier die log Dateien, hoffe es klappt nun.

ZHPdiag
http://www.materialordner.de/3bQ40rD...xbBeHaJ42C.html

ComboFix
Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

Ich sollte spy bot etc. löschen. Aber welches Programm soll ich denn als Schutz installieren? Nur Antivrenprogramm allein reicht doch nicht?

Start => Ausführen => combofix /u => OK

Zitat:

Aber welches Programm soll ich denn als Schutz installieren?

Kein Programm schützt dich vor Download. Ein eingeschränktes Konto könnte Hilfe bringen, doch meist haben die Kinder eh mehr Ahnung und werden es aushebeln. Der Rechner ist voll mit vermutlich geklauter Software und die ist nunmal sehr häufig verseucht.

Selbstredend kannst du Spybot, AdAware, Spyware Terminator, Prevx, Online Armor und weitere "Sicherheitsprogramme" installieren. Nur, ausser das der Rechner noch langsamer wird, wird es keine Sicherheit bringen. Lies dir die letzten beiden Links in meiner Signatur durch, dann wirst du vielleicht verstehen.

Wenn du Sicherheit möchtest, dann halte deinen Sohn vom Rechner fern oder installiere ein alternatives BS wie Linux (ist kostenlos). Dort gibt es keine Probleme mit Schädlingen. Die Software für Linux ist auch (überwiegend) kostenlos, eine echte Alternative und eben keine Probleme mit Schädlingen.

Wie geht es dem Rechner?

ciao, andreas

Ich bin froh das ich mich dem Flugsimulator auskenne zumindest ein wenig und meine Fotos auf den PC bekomme.

Meinem PC geht es gut würde ich sagen.

Kein bluescreen beim runterfahren, kein pop up unvorhergesehen.

Antivir sagt mir gerade alle paar Minuten:

Code:

n der Datei 'C:\System Volume Information\_restore{D28075DE-FE32-409B-8471-2B5FE0BA1B77}\RP1\A0001001.sys'

wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.

Ausgeführte Aktion: Zugriff verweigern

Obwohl ich nur gerade diese board Seite geöffnet habe und sonst nichts mache.

Linux wäre eine gute Idee, aber bis auf den Namen kenne ich das nicht.
Grummel mit 40 ist man heute wohl schon zu alt für solche Dinge.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

Zitat:

Grummel mit 40 ist man heute wohl schon zu alt für solche Dinge.

Da bin ich älter und habe auch Linux(neben 5 anderen Betriebssystemen) auf dem Rechner, das Argument zieht nicht. :D

Es gibt auch jede Menge Live-CDs (dann brauchst du nicht installieren und kannst einfach mal schauen).
Download Ubuntu | Ubuntu

Du bist entlassen. :)

ciao, andreas

Habe ich gestern leider nicht mehr geschafft, daher heute:

http://i401.photobucket.com/albums/p...abbi/bild4.jpg