Brauche mal eure hilfe
 

Hi,
Pc-erfahrung hab ich genung, allerding 0 auf diesem gebiet da ich nie Probleme hatte. Zum Problem: Antivir Guard hat nen win32.tdss gefunden (ca. 8x) und ich habe immer auf löschen geklickt. Dann habe ich nen Systemtest gemacht und Antivir hat sich mit nem Win-Blue screen verabschiedet:mad: Dann hab ich das System mit Spybot durchsuchen lassen und er hat Win32.tdss.reg (13x) und Win32.tdss.rtk (8x) gefunden und ich habe es beheben lassen. Beim erneuten suchlauf waren die .reg weg aber die .rtk nicht. Darauf hin hab ich mich im I-Net mal auf die suche begeben und bin hier im forum gelandet und hab mal bissel gelesen. Daraufhin hab ich mir dann Malwarebytes geladen und laufen lassen (LOG ist unten drin). Er hat auch was gefunden und es "Quarantined and deleted successfully" Quarantäne gestellt, von da hab ich es dann gelöscht. Dann hab ich spypot wieder laufen lassen, nix. Malwarebytes nochmal, nix (2er LOG). Dann war ich 1x im I-Net und hab Malwarebytes ein update verpasst und es nochmal laufen lassen (3er LOG). Nun hat er neue sachen gefunden, die ich aber nicht für gefährlich halte und ich habe sie aus der Quarantäne wiederhergestellt. Habe ich da recht? Und kann ich davon ausgehen das der Win32.tdss.rtk nun weg ist?

LOG 1

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2659
Windows 5.1.2600 Service Pack 3

20.08.2009 02:45:45
mbam-log-2009-08-20 (02-45-45).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 142834
Laufzeit: 12 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 8
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingb3309 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingd7821 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingb1519 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingd4125 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletinga6575 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingc1183 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletinga9208 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingc7709 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot.


LOG 2

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2659
Windows 5.1.2600 Service Pack 3

20.08.2009 09:56:57
mbam-log-2009-08-20 (09-56-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 146265
Laufzeit: 21 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


LOG 3

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2661
Windows 5.1.2600 Service Pack 3

20.08.2009 11:08:03
mbam-log-2009-08-20 (11-08-03).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 146312
Laufzeit: 21 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\MSN\MSNCoreFiles\Install\msnsusii.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Programme\MSN\MSNCoreFiles\Install\MSN9Components\Digcore.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Programme\MSN\MSNCoreFiles\Install\MSN9Components\Msncli.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\netsetup.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wextract.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\ServicePackFiles\i386\msncli.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\ServicePackFiles\i386\msnsusii.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\ServicePackFiles\i386\wextract.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\ServicePackFiles\i386\netsetup.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\ServicePackFiles\i386\digcore.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\SoftwareDistribution\Download\97cb99aa729a3e84c1961060d22d93aab9a0c576 (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\$NtServicePackUninstall$\netsetup.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\$NtServicePackUninstall$\wextract.exe (Worm.Autorun) -> Quarantined and deleted successfully.
D:\Download\software\TweakPower.exe (Worm.Autorun) -> Quarantined and deleted successfully.
D:\Download\software\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe (Worm.Autorun) -> Quarantined and deleted successfully.

Fehlt euch noch irgendwas an infos? Würde echt gerne eure Meinung dazu höhren

Hallo und Herzlich Willkommen! :)

sieht nicht gut aus und befürchte ich so dass die Ergebnisse dich zur Formatierung zwingt :o
um es zu bestätigen, mache ein paar Kontrollscan:

1.
Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus:
im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

2.
Führe dann einen FullSystem Scan mit Nod32 - die Scanergebnis als *.txt Dateien speichern)
- (ESET Online Scanner (Sicherheitseinstellungen wie unter Punkt 1.)
Speichere und Poste bitte das Logfile


gruß
Coverflow

So ich habe die beiden sachen wie beschrieben laufen lassen und beide haben nix gefunden. Der Nod32 hat mir leider nicht die möglichkeit gegeben nen Log anzeigen zu lassen oder zu speichern. AntiVir habe ich auch nochmal laufen lassen, ohne Absturz und ohne Schädliches Ergebnis. Nun bleibt noch die Frage, die sachen die Malwarebytes in Log3 gefunden hab ob die gefählich sind...zumindestens die letzen beiden daten in D:\ sind zu 99% nichts böses.

hi

hmm..finde auch interessant, nämlich sind es Systemdateien...

**Spybot bitte abstellen! Falls "Tea Timer" auch aktiviert:
Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident--> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) > exit.

1.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

2.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

3.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

4.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

5.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

6.
Jedes Speichermedium (wie USB-Sticks/Platten usw ) bitte anschließen und dabei die [SHIFT]-Taste gedrückt halten!
Lade dir FindyKill.exe von hier herunter und speichere die Datei auf dem Desktop.

• Doppelklick auf die Datei, um FindyKill -> installieren
• akzeptiere die Nutzungsbedingungen (I agree with the above terms and conditions anhaken) und installiere das Programm in den vorgegebenen Pfad (C:\Programme\FindyKill).
• Beantworte die Frage, ob dort der Ordner FindyKill angelegt werden soll mit Ja und starte die Installation.
• Doppelklicke das FindyKill-Icon auf dem Desktop.
• Vista-User starten mit Rechtsklick und als Administrator!
• Es öffnet sich ein DOS-Fenster.
• Wähle "F" + Entertaste,
• im nächsten Screen die "2" + Entertaste, um die Bereinigung der Infektionen zu starten.
• Wenn der Scan beginnt, wird FindyKill eine Warnung anzeigen, dass Windows evtl. neu gestartet werden muss, akzeptiere das mit OK.
• Es wird eine Datenträgerbereinigung durchgeführt.
• Wenn der Suchlauf beendet ist, siehst Du (ggfs. nach Neustart) im DOS-Fenster den Hinweis "Nettoyage effetuee!".
• Das Fenster schließen.
• Poste den Bericht, der unter C:\FindyKill.txt zu finden ist, hier in den Thread.

:eek: das schaut nicht gut aus

Hier nochmal nen Aktueller Malwarebytes scan. Findet wie auch spybot, antivir und die beiden Online scanner nichts. Nur Gmer meldet das da noch was ist. Bekommt man den denn überhaubt noch weg? Ich meine ohne Neuaufsetzung des systems?

tja..das ist ein Rootkit/wikipedia.org
Da eine 100%ige Erkennung von Rootkits unmöglich ist, ist die beste Methode wäre zur Entfernung die komplette Neuinstallation.

können wir ja versuchen, aber "Voller" Erfolg nicht garantiert
Falls Du dein System doch reinigen möchtest:

1.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\
2.
→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

3.
dann Punkt 6. weiter-> http://www.trojaner-board.de/76584-b...tml#post458134

4.
lass dan Gmer nochmal laufen (laut Anleitung)

so hab´s nach besten wissen ausgeführt. Bei FindyKill sollte ich ja "F" auswählen, ist das wichtig oder könnte man auch "E" für englich nehmen?

Kann es sein das eins der Tool´s Avenger oder FindKill Dienste anschaltet, die aus wahren? z.b. Sicherheitscenter oder Automatisches Update?

hi

nein.. ;)
an erster Stelle ein Rootkit war dafür dafür verantwortlich!

Jetzt erst mal noch ein bisschen aufräumen:

1.
- Leere bitte alle Quarantäne Ordner (Antivirus bzw Anti-Spy-Programm etc)
- Entferne Gmer
- C:\avenger\backup.zip löschen– (mit den Inhalt der gelöschten Dateien) → Papierkorb leeren
- FindyKill kannst auch entfernen
- Kaspersky Online Scanner deinstallieren

2.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.

• Start → ausführen "cleanmgr" reinschreiben ohne "" → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
• [b]Start → ausführen → %temp% reinschreiben ohne ""→ "Ok"
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

3.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

4.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

5.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...
danach deinstalliere:
`Systemsteuerung → Software → Ändern/Entfernen...`
** wie läuft dein system nun?

Malwarebytes, Spybot, SuperAntiSpyware suchen doch nun alle nach dem gleichen oder sind für´s gleiche da. Welches von denen ist den nun das "beste" oder ist das von fall zu fall verschieben? Weil ich würde dann nämlich gerne 2 der 3 wieder löschen und mich nur mit einem auseinander setzen.

Das verstehe ich nicht soganz

- "von fall zu fall verschieden", jedes Programm hat seine Besonderheiten bzw "Gebiet" ;)
Spybot ist eher für die allgemeine Nutzung für "Otto-Normal-Surfer"...:)

- was verstehst Du bitte nicht?
gehe auf `Start→ Systemsteuereung→ Java→ Aktualisierung...
die neusten Updates für das Java ziehen
wenn das alte Update existiert noch:
"Java(TM) 6 Update 2"
dann unter `Systemsteuerung → Software → Ändern/Entfernen...` einfach deinstallieren
wenn nach einem Neustart nicht mehr da, dann ist gut

- Malwarebytes' Anti-Malware und SUPERAntiSpyware kannst Du schon deinstallieren

um sicher gehen kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen:
- Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben
- Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern
Die Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dadurch verbrauchen sie ausser Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet um sich eine zweite Meinung einzuholen.

gibt es bei mir nicht

ok. und welches der 3 ist das beste? oder findet für "Otto-normal-Surfer" am meisten?