Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   atapi.sys-Rootkit (TDSS) und weiterer Befall (https://www.trojaner-board.de/86335-atapi-sys-rootkit-tdss-weiterer-befall.html)

Todestakt 21.05.2010 23:08
atapi.sys-Rootkit (TDSS) und weiterer Befall
 
:hallo: damit begrüß ich mich mal eben selber ^^.
Um nicht lange drum rum zu reden, ich hab mir wohl nen hässlichen Schnupfen eingefangen wie der Titel des Threads schon aussaugt. Ich habe mir zuerst ein paar threads im Internet durchgelesen aber keine wirkliche Lösung gefunden.

in diesem Thread hab ich mich mal informiert und das mit PartedMagic probiert leider erfolglos.

Format C: wollt ich zwar anfangs vermeiden aber da ich bei weiterer Google Suche das, als einzig effektive Lösung sah dacht ich mir "naja jetzt Wochende, da setz ich mich halt hin und setze C: neu auf.
Dann kam ich aber auf die schlaue Idee vorher mal meine andere Festplatte (E: intern) mit GMER zu scannen und traf auf einige nicht sehr freundlich aussehende Ergebnisse.

werde das Ergebniss gleich mal posten, jedoch editier ich lieber weil mein PC dazu neigt sich aufzuhängen nach einem Scan.
(liegt wohl vermutlich an nem Virus)

-// Ich denke immernoch daran C: zu formatieren allerdings will ich zumindest E: sauber haben

Ich hoffe ihr könnt mir helfen und ein dickes :dankeschoen: im voraus.

Todestakt 22.05.2010 06:10
hier der Link zu dem thread (der Leider irgendwie vorher so nicht wollte)
h**p://www.trojaner-board.de/82985-rootkit-problem-wie-krieg-ich-de-dreck-weg-4.html
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:18:37, on 22.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
E:\Treiber & Updates\Razer\Lachesis\razerhid.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Tools\Spybot - Search & Destroy\TeaTimer.exe
E:\Tools\Square Free\a2service.exe
C:\Programme\avmwlanstick\WlanNetService.exe
e:\Tools\Tobit ClipInc\Server\ClipInc-Server.exe
E:\Tools\Hamachi\hamachi-2.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
E:\Tools\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
E:\Tools\Tunngle\TnglCtrl.exe
E:\Treiber & Updates\Razer\Lachesis\OSD.exe
E:\Treiber & Updates\Razer\Lachesis\razertra.exe
E:\Treiber & Updates\Razer\Lachesis\razerofa.exe
C:\Programme\Tools\Mozilla Firefox 3.5\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Tools\Trend Micro (Hijack)\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\Tools\SPYBOT~1\SDHelper.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [Lachesis] E:\Treiber & Updates\Razer\Lachesis\razerhid.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\Tools\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [Norman Malware Cleaner] "C:\Dokumente und Einstellungen\***\Desktop\Downloads\Norman_TDSS_Cleaner.exe" /paramfile:"C:\DOKUME~1\***~1\LOKALE~1\Temp\0000424b.tmp" /run
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Tools\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Tools\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Tools\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - E:\Tools\Square Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - e:\Tools\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - E:\Tools\Hamachi\hamachi-2.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Tools\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TunngleService - Tunngle.net GmbH - E:\Tools\Tunngle\TnglCtrl.exe

--
End of file - 6038 bytes
>,< Wieso hat das... mein GMER log gelöscht ???
ich verwende übrigens den ein oder anderen Crack und XP Antispy;)

Angel21 22.05.2010 08:46
Zitat:
ich verwende übrigens den ein oder anderen Crack und XP Antispy
Na dann wundert mich dein Befall nicht mehr, wegen den Cracks, Keygens und Serials.
Da hast du dir selber Wasser in den Ofen gekippt.

Da Cracks, Keygens und Serials illegal sind wird hier nicht mehr supportet.
Da Cracks, Keygens und Serials eh zu nem besonders großen Teil versifft sind und verseucht hat du dir selber deine Sicherheit zunichte gemacht.

Folge dieser Anleitung: http://www.trojaner-board.de/51262-a...sicherung.html

Ändere danach deine Passwörter.
Danach würde ich dir für den weiteren Weg von solch zeugs abraten.

Todestakt 22.05.2010 17:49
Zitat:
Na dann wundert mich dein Befall nicht mehr, wegen den Cracks, Keygens und Serials.
Da hast du dir selber Wasser in den Ofen gekippt.
das würd ich nicht 100% sagen, ich überprüfe dateien (ála cracks) und Datenträger nach jedem download, und habe nichts dergleichen gefunden, zudem ist es schon min ein viertel Jahr her als ich sowas gezogen hab.

Da Cracks, Keygens und Serials illegal sind wird hier nicht mehr supportet. soweit ich weiß ist ein crack nur dann illegal wenn man ihn dafür verwendet um ein spiel das man nicht besitzt trotzdem spielen zu können, (Raupkopie...)

und den einen Keygen den ich hab, hab ich nur für nen spiel bei dem ich die Hülle irgendwann weggeschmissen hab (vll ist sie einfach auch verloren gegangen) und tjoa, war halt der code drin.

--natürlich kann letzteres jeder behaupten aber, was soll ich machen, euch die original disks zuschicken xD--

trotzdem danke für alles, aber wenn es irgendwie möglich ist würd ich die formatierung von E: vermeiden, also wenn doch noch jemand so frei sein und mir etwas Helfen... dickes danköö. (Die logs poste ich dann)


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131