Trojaner-Board - rootkit.win32.tdss.d lässt sich nicht löschen oder desinfizieren!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - rootkit.win32.tdss.d lässt sich nicht löschen oder desinfizieren! (https://www.trojaner-board.de/87582-rootkit-win32-tdss-d-laesst-loeschen-desinfizieren.html)

hier die andere:

url:

hxxp://www.virustotal.com/de/analisis/2ce7dc464723c427c88e6ffb086330719dfe57f9ef0fe31ae9e0d8d0c910c388-1277746619

und kopie der seite:

Srpski | Македонски | العربية | Suomi | ihMdI | | עברית | | Slovenščina | Dansk | Русский | Română | Türkçe | Nederlands | Ελληνικά | Français | Svenska | Português | Italiano | | | Magyar | Česky | Polski | Español | English
Virustotal analysiert verdächtige Dateien und erleichtert die schnelle Erkennung von Viren, Würmern, Trojanern und jeglicher Art von Malware, welche von den Antivirus-Engines festgestellt werden. Weitere Informationen...

Datei MEMIO.SYS empfangen 2010.06.28 17:36:59 (UTC)
Status: Beendet
Ergebnis: 0/41 (0%)
Filter
Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis
a-squared 5.0.0.30 2010.06.22 -
AhnLab-V3 2010.06.22.00 2010.06.22 -
AntiVir 8.2.2.6 2010.06.21 -
Antiy-AVL 2.0.3.7 2010.06.22 -
Authentium 5.2.0.5 2010.06.22 -
Avast 4.8.1351.0 2010.06.21 -
Avast5 5.0.332.0 2010.06.21 -
AVG 9.0.0.787 2010.06.21 -
BitDefender 7.2 2010.06.22 -
CAT-QuickHeal 10.00 2010.06.22 -
ClamAV 0.96.0.3-git 2010.06.22 -
Comodo 5180 2010.06.22 -
DrWeb 5.0.2.03300 2010.06.22 -
eSafe 7.0.17.0 2010.06.20 -
eTrust-Vet 36.1.7657 2010.06.22 -
F-Prot 4.6.1.107 2010.06.21 -
F-Secure 9.0.15370.0 2010.06.22 -
Fortinet 4.1.133.0 2010.06.21 -
GData 21 2010.06.22 -
Ikarus T3.1.1.84.0 2010.06.22 -
Jiangmin 13.0.900 2010.06.15 -
Kaspersky 7.0.0.125 2010.06.22 -
McAfee 5.400.0.1158 2010.06.22 -
McAfee-GW-Edition 2010.1 2010.06.22 -
Microsoft 1.5902 2010.06.22 -
NOD32 5216 2010.06.21 -
Norman 6.05.06 2010.06.21 -
nProtect 2010-06-21.01 2010.06.21 -
Panda 10.0.2.7 2010.06.21 -
PCTools 7.0.3.5 2010.06.22 -
Prevx 3.0 2010.06.28 -
Rising 22.53.01.04 2010.06.22 -
Sophos 4.54.0 2010.06.22 -
Sunbelt 6483 2010.06.21 -
Symantec 20101.1.0.89 2010.06.22 -
TheHacker 6.5.2.0.302 2010.06.22 -
TrendMicro 9.120.0.1004 2010.06.22 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.22 -
VBA32 3.12.12.5 2010.06.22 -
ViRobot 2010.6.21.3896 2010.06.22 -
VirusBuster 5.0.27.0 2010.06.21 -
weitere Informationen
File size: 4300 bytes
MD5...: 8a4cb9438571814b128b6dc30d698064
SHA1..: d62d435a5d9b799e36d05fc32237397602b3dd8c
SHA256: 2ce7dc464723c427c88e6ffb086330719dfe57f9ef0fe31ae9e0d8d0c910c388
ssdeep: 96:10rzOx7yxqQvQlwSBEhE9v1eNbsh+8i1T:Wrz87yxq/5EiA/BT
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x536
timedatestamp.....: 0x39a3f999 (Wed Aug 23 16:19:37 2000)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x260 0x3d4 0x3e0 5.56 cff4fa2b6a2447cdaafb75c219574d08
INIT 0x640 0x1c8 0x1e0 4.69 f74ffb39ec6562bc6e4dd88d6efb84a0
.reloc 0x820 0x62 0x80 2.84 83b34193848d7c2bab1ad0d9fee784a4

( 2 imports )
> ntoskrnl.exe: RtlInitUnicodeString, IoCreateDevice, IoCreateSymbolicLink, IofCompleteRequest, IoDeleteDevice, MmUnmapIoSpace, IoDeleteSymbolicLink, MmMapIoSpace
> HAL.dll: READ_PORT_UCHAR, READ_PORT_ULONG, WRITE_PORT_USHORT, HalTranslateBusAddress, READ_PORT_USHORT, WRITE_PORT_UCHAR, WRITE_PORT_ULONG

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate mehrerer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

VirusTotal © Hispasec Sistemas - Blog - Kontakt: info@virustotal.com - Terms of Service & Privacy Policy

Hallo ,

also bei ergebnis stand ja immer nur "-" heißt das, dass mein PC jetzt clean ist?
..................
ich hoffe es doch :D

Danke schon mal bis hierhin :daumenhoc

cpu32

Der is erst clean, wenn ich sage der ist clean :P

Folgendes:

ESET Online Scanner
- Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
- Button "ESET Online Scanner" drücken.
- Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
- Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User müssen das Installieren eines ActiveX Elements erlauben.
- Einen Haken bei "Remove found threads" und "Scan archives" machen.
- Start drücken.
- Der Scan beginnt automatisch.
- Finish drücken.
- Browser schließen.
- Explorer öffnen.
- C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
- Logfile hier posten.
- Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
- Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
- IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
- O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

Hi,

is wol doch noch net clean....... :( Wie kann das nur sein???? Hab nen Virenscanner und der ist auch immer aktuell

hier die Logfile:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6211

# api_version=3.0.2

# EOSSerial=b48e730a9fcbdd4b8c95ffde28c1c120

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2010-06-29 10:51:16

# local_time=2010-06-30 12:51:16 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=512 16777215 100 0 29721460 29721460 0 0

# compatibility_mode=1281 16774485 100 100 12545096 36742506 0 0

# compatibility_mode=4096 16777215 100 0 0 0 0 0

# compatibility_mode=8192 67108863 100 0 291 291 0 0

# scanned=235893

# found=2

# cleaned=2

# scan_time=21134

C:\Dokumente und Einstellungen\***\Desktop\CoreAVC.H.264.Video.Codec.Pro.2.0.0.rar        NSIS/TrojanDownloader.FakeAlert.DC trojan (deleted - quarantined)        00000000000000000000000000000000        C

C:\Programme\Free Download Manager\uninst.exe        a variant of Win32/Adware.Agent.NMZ application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

Ähm... kann ich den ESET-Scanner jetzt wieder deinstallieren?

danke

cpu32

Gut, sieht ja schonmal viel freundlicher aus.
Downloade dir Superantispyware und führe es laut Anleitung aus. Updaten nicht vergessen und das Log posten.

ok,

kann ich den eset deinstallieren?

danke

cpu32

Wenn du magst, aber eigentlich macht man das Aufräumen immer gegen Ende der Bereinigung ;)

Nein ... nur weil das in der anleitung stand dachte ich, dass man das sofort machen sollte... aus welchem grund auch immer ;) aber dann is ja egal

cpu32

Hi,

ich habe zwei externe Festplatten. Ich lasse die jetzt mitscannen ... aber bin ich dann sicher, dass sich da kein Virus drauf übertragen hat?

danke

cpu32

Schließe die extrernen Medien mit der Shift Taste gedrückt an den Rechner an, dies verhindert den Autorun.

Hallo,

Ok,.... aber wie kann ich überprüfen, ob sich nicht schon ein Virus auf die Festplatten übertagen hat..... ????

---------------

Außerdem: Kann sich ein virus auf einen PC ohne Internetanschluss per externer festplatte übertragen? - Wenn ja ... wäre dann nicht folgendes möglich ??? :

- virenscanner instellieren
- pc mit dem internet verbinden
- virenscanner scannen lassen
- die andere scanner, die ich installieren sollte, ebenfalls dort installieren
- scanner updaten und scannen lassen
- pc wieder vom internet trennen
- ausweten (lassen :P)

aber mal ernsthaft - weil der pc ist nicht ohne grund nicht mit dem internet verbunden.....

vielen dank für die viele mühe !!!!!

cpu32

Du kannst die extrernen Medien prüfen indem du diese beim Scan mit der Shift Taste gedrückt an den PC anschließt. Das Shift Taste drücken verhindern den Autorun und somit kann sich keine Malware drauf übertragen. Und bitte mach noch den Scan dann mit Superantispyware (kannste auch ohne Internet machen, nur beim Installieren wills n Update, das bitte draufziehen - Inetverbindung muss dann bestehen).

Hi,

danke für die antwort, ich meinte aber eigentlich mit welchen programmen ich die festplatten scannen soll .... und mit welchen programmen den anderen pc ???

sry .. wenn ich so unerfahren bin...

cpu32

Hi,

hier das Log

hoffe is so in ordnung..

cpu32

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 06/30/2010 at 11:59 PM
 

Application Version : 4.39.1002
 

Core Rules Database Version : 5136

Trace Rules Database Version: 2948
 

Scan type       : Complete Scan

Total Scan Time : 08:04:15
 

Memory items scanned      : 740

Memory threats detected   : 0

Registry items scanned    : 10727

Registry threats detected : 0

File items scanned        : 258624

File threats detected     : 5
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\***\Cookies\***@atwola[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@ar.atwola[1].txt
 

Adware.Vundo/Variant-MSFake

        C:\PROGRAMME\MICROSOFT VISUAL STUDIO 9.0\MICROSOFT VISUAL BASIC 2008 EXPRESS EDITION WITH SP1 - DEU\SETUPRES.DLL

        C:\PROGRAMME\MICROSOFT VISUAL STUDIO 9.0\MICROSOFT VISUAL BASIC 2008 EXPRESS EDITION WITH SP1 - DEU\VS70UIMGR.DLL
 

Rogue.Agent/Gen-Nullo[DLL]

        C:\WINDOWS\SYSTEM32\MSCC2DE.DLL