Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner legt alles lahm (https://www.trojaner-board.de/76918-trojaner-legt-alles-lahm.html)

Hilfeee123 30.08.2009 00:14

Trojaner legt alles lahm
 
Hallo,

seit heute Abend spinnt bei mir alles.
Ich habe beim Surfen aufeinmal ein Fenster aufploppen sehen, dann hat der Rechner geruckelt und dann war alles vorbei.

Im Anschluss ging die Sauerei dann aber erst los.
Ständig poppt bei mir das AntiVir-Fenster auf meldet Trojaner.

Desweiteren ist es mir nicht möglich Systemwiederherstellungen zu machen.
Der Windows Sicherheitscenter wird von Start an deaktiviert und auch AntiVir startet im passiven Modus.

Ich habe mehrer Virenscanns durchlaufen lassen jedoch ohne Erfolg. Es wird nichts gefunden.

Folgende Trojaner werden gemeldet:

TR/PCK.Tdss.Y.141
TR/PCK.Tdss.Y.33

Ich weiss nicht was ich tun soll.

CCleaner hab ich durchlaufen lassen -> Kein Ergebnis

SuperAntiSpyware -> Die Installation lässt sich nicht starten
Malwarebytes-Anti-Malware -> Die Installation lässt sich nicht starten

Bitte helft mir! :)

Danke für die Mühe im Voraus.

BataAlexander 30.08.2009 00:23

Kannst Du diese Domain auf dem Rechner öffnen?

Lade bitte eine beliebige .exe Datei hoch und prüfe diese, das Ergebnis poste dann hier.

Hilfeee123 30.08.2009 01:04

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.29 -
AhnLab-V3 5.0.0.2 2009.08.29 -
AntiVir 7.9.1.7 2009.08.28 -
Antiy-AVL 2.0.3.7 2009.08.24 -
Authentium 5.1.2.4 2009.08.29 -
Avast 4.8.1335.0 2009.08.29 -
AVG 8.5.0.406 2009.08.29 -
BitDefender 7.2 2009.08.30 -
CAT-QuickHeal 10.00 2009.08.29 -
ClamAV 0.94.1 2009.08.29 -
Comodo 2124 2009.08.30 -
DrWeb 5.0.0.12182 2009.08.30 -
eSafe 7.0.17.0 2009.08.27 -
eTrust-Vet 31.6.6707 2009.08.28 -
F-Prot 4.5.1.85 2009.08.29 -
F-Secure 8.0.14470.0 2009.08.29 -
Fortinet 3.120.0.0 2009.08.29 -
GData 19 2009.08.30 -
Ikarus T3.1.1.68.0 2009.08.29 -
Jiangmin 11.0.800 2009.08.29 -
K7AntiVirus 7.10.831 2009.08.29 -
Kaspersky 7.0.0.125 2009.08.30 -
McAfee 5724 2009.08.29 -
McAfee+Artemis 5724 2009.08.29 -
McAfee-GW-Edition 6.8.5 2009.08.30 -
Microsoft 1.5005 2009.08.29 -
NOD32 4380 2009.08.30 -
Norman 2009.08.29 -
nProtect 2009.1.8.0 2009.08.29 -
Panda 10.0.2.2 2009.08.29 -
PCTools 4.4.2.0 2009.08.29 -
Prevx 3.0 2009.08.30 -
Rising 21.44.40.00 2009.08.28 -
Sophos 4.45.0 2009.08.30 -
Sunbelt 3.2.1858.2 2009.08.29 -
Symantec 1.4.4.12 2009.08.29 -
TheHacker 6.3.4.3.391 2009.08.29 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.29 -
ViRobot 2009.8.28.1907 2009.08.28 -
VirusBuster 4.6.5.0 2009.08.29 -
weitere Informationen
File size: 241664 bytes
MD5...: 8c1158b45a2f9f602349a8f56c4bdbf4
SHA1..: 05ce2c8737d0eea64a40b63c76825239ebb7143f
SHA256: e57ae58445c4e04908a9c5b17cea82a28be69c825a20147f4c8162b10a8be061
ssdeep: 3072:atLbrc+TVW67L6jON3I4yzq2AwJezVYzpv4Ir0vyJ61mgbXGXO86FT/xyTb
:atDL6jOdIVm2AwsYzpvPr0vO67F/xy
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9d6f
timedatestamp.....: 0x46ce754e (Fri Aug 24 06:06:06 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9e82 0xa000 6.05 a5aee698ad8f335ee9125b17afeafac2
.rdata 0xb000 0x3082 0x4000 4.39 3821cd814c5b1bda6fb9af6b911dd957
.data 0xf000 0xdb8 0x1000 4.45 cc5a09e14103a8a94bce79e98f76aa5a
.rsrc 0x10000 0x2a748 0x2b000 6.46 045ffc10cc8b4c946cccb8f470e34c83

( 13 imports )
> WINMM.dll: mciSendCommandA
> KERNEL32.dll: GlobalUnlock, GetPrivateProfileStringA, GetPrivateProfileIntA, CreateThread, WritePrivateProfileStringA, RemoveDirectoryA, GetDriveTypeA, GlobalFree, FindResourceA, SizeofResource, LoadResource, LockResource, GlobalAlloc, GlobalLock, SearchPathA, LoadLibraryA, GetProcAddress, FreeLibrary, lstrlenA, lstrcmpiA, GetCurrentProcess, GetLocalTime, OpenProcess, GetExitCodeProcess, TerminateProcess, MultiByteToWideChar, GetStartupInfoA, GetModuleHandleA, InterlockedDecrement, GetModuleFileNameA, FindFirstFileA, FindClose, CloseHandle, CreateMutexA, GetLastError, GetWindowsDirectoryA, CreateProcessA, WaitForSingleObject, Sleep, GetVersionExA, LocalFree
> AlchemyXML.dll: _LoadXMLFile@CAtomXML@@QAEHPAD@Z, _GetRoot@CAtomXML@@QAEHAAV_$_com_ptr_t@V_$_com_IIID@UIXMLDOMElement@MSXML@@$1__GUID_2933bf86_7b36_11d2_b20e_00c04f983e60@@3U__s_GUID@@A@@@@@Z, _GetChild@CAtomXML@@QAEHV_$_com_ptr_t@V_$_com_IIID@UIXMLDOMNode@MSXML@@$1__GUID_2933bf80_7b36_11d2_b20e_00c04f983e60@@3U__s_GUID@@A@@@@PADAAV2@@Z, _GetNodeText@CAtomXML@@QAEHV_$_com_ptr_t@V_$_com_IIID@UIXMLDOMNode@MSXML@@$1__GUID_2933bf80_7b36_11d2_b20e_00c04f983e60@@3U__s_GUID@@A@@@@PAD@Z, _GetChildNum@CAtomXML@@QAEJV_$_com_ptr_t@V_$_com_IIID@UIXMLDOMNode@MSXML@@$1__GUID_2933bf80_7b36_11d2_b20e_00c04f983e60@@3U__s_GUID@@A@@@@@Z, __0CAtomXML@@QAE@XZ, __1CAtomXML@@UAE@XZ, _SetNodeText@CAtomXML@@QAEHV_$_com_ptr_t@V_$_com_IIID@UIXMLDOMNode@MSXML@@$1__GUID_2933bf80_7b36_11d2_b20e_00c04f983e60@@3U__s_GUID@@A@@@@PAD@Z, _GetChildNum@CAtomXML@@QAEJV_$_com_ptr_t@V_$_com_IIID@UIXMLDOMElement@MSXML@@$1__GUID_2933bf86_7b36_11d2_b20e_00c04f983e60@@3U__s_GUID@@A@@@@@Z, _GetChild@CAtomXML@@QAEHV_$_com_ptr_t@V_$_com_IIID@UIXMLDOMNode@MSXML@@$1__GUID_2933bf80_7b36_11d2_b20e_00c04f983e60@@3U__s_GUID@@A@@@@JAAV2@@Z, _GetNodeName@CAtomXML@@QAEHV_$_com_ptr_t@V_$_com_IIID@UIXMLDOMNode@MSXML@@$1__GUID_2933bf80_7b36_11d2_b20e_00c04f983e60@@3U__s_GUID@@A@@@@PAD@Z, _GetNodeAttribute@CAtomXML@@QAEHV_$_com_ptr_t@V_$_com_IIID@UIXMLDOMNode@MSXML@@$1__GUID_2933bf80_7b36_11d2_b20e_00c04f983e60@@3U__s_GUID@@A@@@@PAD1@Z, _RemoveChild@CAtomXML@@QAEHV_$_com_ptr_t@V_$_com_IIID@UIXMLDOMNode@MSXML@@$1__GUID_2933bf80_7b36_11d2_b20e_00c04f983e60@@3U__s_GUID@@A@@@@PAD@Z, _GetXMLFileName@CAtomXML@@QAE_AVCString@@XZ, _Save@CAtomXML@@QAEHPAD@Z
> gdiplus.dll: GdipFree, GdipCloneImage, GdipGetImageHeight, GdipGetImageWidth, GdipDrawImageRectI, GdipDeleteGraphics, GdiplusStartup, GdipAlloc, GdipDisposeImage, GdipCreateBitmapFromStreamICM, GdipCreateFromHDC, GdipCreateBitmapFromStream
> GDI32.dll: GetObjectA, SelectObject, GetTextExtentPoint32A, CreateCompatibleDC, BitBlt, CreateFontA
> PSAPI.DLL: GetModuleBaseNameA, EnumProcessModules, GetModuleFileNameExA, EnumProcesses
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCRT.dll: _controlfp, _setmbcp, _strnicmp, _stricmp, _CxxThrowException, __CxxFrameHandler, _mbscmp, sprintf, strrchr, _atoi64, _mbsicmp, atoi, _itoa, _unlink, strcspn, fclose, fgets, fopen, __dllonexit, _onexit, _exit, _XcptFilter, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, __1type_info@@UAE@XZ
> USER32.dll: ExitWindowsEx, PostMessageA, DestroyMenu, RegisterWindowMessageA, SetTimer, DrawTextA, GetSystemMetrics, KillTimer, EnableWindow, InvalidateRect, LoadBitmapA, UpdateWindow, GetWindowRect
> ADVAPI32.dll: LookupPrivilegeValueA, RegOpenKeyExA, RegOpenKeyA, RegQueryValueExA, RegCloseKey, OpenProcessToken, AdjustTokenPrivileges
> SHELL32.dll: ShellExecuteExA
> ole32.dll: CreateStreamOnHGlobal, CoSetProxyBlanket, CoCreateInstance, CoUninitialize, CoInitializeEx, CoInitializeSecurity
> OLEAUT32.dll: -, -, -, -

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)

P.S.:

AntiVir zeigt mir immer an, dass .dll-Dateien befallen seien. Ich denke mal deswegen ging dieser Test auch negativ aus.

BataAlexander 30.08.2009 01:17

Poste doch mal die Namen der Funde.

Versuche dann einen Online Scan.

Hilfeee123 30.08.2009 10:51

Meldung:

Ist das Trojanische Pferd TR/PCK.Tdss.Y.33 unter C:\Windows\...\UACwanhcmmmpx.dll

Meldung:

Ist das Trojanische Pferd TR/PCK.Tdss.Y.141 unter C:\Windows\...\UACntvonrbfix.dll

Hilfeee123 30.08.2009 16:07

Der Onlinescan hat 13 Threats erkannt.

Und AdAware hat nach einem Durchgang folgendes erkannt:

Win32Trojan.Tdss
Kategorie: Malware

BataAlexander 30.08.2009 16:31

Zitat:

Zitat von raman
Ja, das ist ein tdss Rootkit... Du hast 2 Moeglichkeiten, entweder den Rechner neuaufsetzen, oder wir versuchen zu bereinigen.

Solltest du bereinigen wollen, nutze bitte Combofix:
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

schau mal was Du machen willst.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131