Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.10.2008, 23:39   #1
brainfood74
 
infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung - Standard

infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung



hallo erstmal zusammen,

bin ganz neu on board und muß mal eure hilfe beanspruchen, hatte am we ein heftigen befall von einigen schädlingen, konnte das system auch nicht mehr zurückstellen bzw auch nicht mehr in den abgesicherten modus bekommen.

mein system war nicht abgesichert, ja ich weiß jetzt werden die ersten leute schreien"selber schuld" allerdings bin ich kein laie komme selber aus der it-welt und kenne mich gut mit netzwerken-datenbanken-usw. aus......
allerdings bei der auswertung und genauen beseitigung von gewissen plagekeistern eher unsicher......

um mal kurz das problem und die umstände zu beschreiben, winxpprof. servicepack3 hinter einem router mit firewall....beim installieren und testen einer software war es dann soweit, explorer fenster öffneten sich alleine, komische adaware/maleware warnungen kamen, desktop hintergrund weiß/rot mit trojaner meldung,system sehr langsam geworden, immer wieder auf virus/trojanremover geleitet worden automatisch usw.....

dann versucht systemherstellungspunkt zumachen,kein erfolg, dann angefangen trojan remover zu installieren,ausgeführt,etliche meldungen, versucht zu beheben, neustart gleiche problem!!!!
dann systemwiederherstellung ausgeschaltet,trojan remover wieder gestartet,alles versucht zubehen, neustart.....ohne erfolg,!!!!
die scheiß dinger haben die systemwiederherstellung wieder eingeschaltet.

avast installiert durchlaufen lassen,mehrer meldungen, mußte system neustarten und avast scannte im bootmodus......einiges gefunden und in quarantaine gepackt......neustart system zeigte schon besserung, start menue war wieder da,sorry vergass ich eben zu erwähnen war nämlich auch weg, "wie ausführen,programme, usw."

als nächstes adaware drüber laufen lassen 30 einträge , bereinigen lassen, wieder ein wenig besserung.....
dann trojan remover wieder gestartet und immer noch meldung ""TDSSser.sys -- .dll usw und RESTRICTIVE WINDOWS EXPLORER POLICIES FOUND--- DISABLE SR ALL USERS DISABLE SYTEM RESTORE ON ALL DRIVES"""" und tdssl.dll

würde gerne wissen wie ich das auch noch weg bekomme und dann natürlich ob mein system dann wieder wirklich sauber ist, und nicht vielleicht noch was schlummert!!!!!!!! will mein system nicht neu aufsetzen!!!!muß auch so gehen,erstmal zumindestens.......

wäre dankbar für jede hilfe

thx vorab

Alt 14.10.2008, 18:23   #2
undoreal
/// AVZ-Toolkit Guru
 
infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung - Standard

infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung



Hallio hallo.

Du solltest wissen, dass man eine Rootkit Infektion nicht auf die leichte Schulter nehmen sollte. Ich würde den Rechner neuaufsetzten!

Wenn du eine Bereinigung versuchen möchtest gehe vor wie folgt.

Deinstalliere alle zusätzlich installierten Anti-Programme wie den Trojan Remover und Ad-Aware!

Räume mit dem CCleaner auf [Punkte 1&2]


1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

4) GMER - Rootkit Detection
  • Lade GMER von hier
  • entpacke es auf den Dektop
  • Dopperlklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.
__________________

__________________

Alt 14.10.2008, 22:02   #3
brainfood74
 
infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung - Standard

infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung



ja ich weiß das man rootkits nicht unterschätzen sollte, bin mir meiner gefahr auch bewusst allerdings kann ich momentan das system nicht neu aufsetzen,erst zu einem späteren zeitpunkt, bin aber momentan auf meinem laptop angewiesen.....werde natürlich keinerlei risiko arbeiten auf dem pc ausführen.....

ok dann werde ich mal zur tat schreiten alles deinstallieren und dann nach dem cleanen die logs hier posten.....

habe im moment kaspersky internet security auch laufen.....sollte der auch deinstalliert werden????

thx vorab
__________________

Alt 14.10.2008, 22:47   #4
undoreal
/// AVZ-Toolkit Guru
 
infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung - Standard

infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung



Zitat:
sollte der auch deinstalliert werden????
nein. Ein AntiViren Programm sollte installiert bleiben. Als Standard Schutz. Aber darüber hinaus kein weiteres! Egal ob AntiVir AntiMalware AntiSpyware AntiTrojaner oder weiss der Geier wat..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 14.10.2008, 23:08   #5
brainfood74
 
infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung - Standard

infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung



also CCleaner alles bereinigen lassen....
danach blacklight drüber laufen lassen---keine hidden files
dann GMER und hier das aktuelle logfile...mit seuche
wie bekomm ich die scheiße jetzt noch weg....

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-10-14 22:58:00
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT sptd.sys ZwCreateKey [0xBA6BE0D0]
SSDT sptd.sys ZwEnumerateKey [0xBA6C3FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xBA6C4340]
SSDT sptd.sys ZwOpenKey [0xBA6BE0B0]
SSDT sptd.sys ZwQueryKey [0xBA6C4418]
SSDT sptd.sys ZwQueryValueKey [0xBA6C4298]
SSDT sptd.sys ZwSetValueKey [0xBA6C44AA]

Code B10B3E0B pIofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

PAGE ntkrnlpa.exe!ZwFlushWriteBuffer + 59 805ABE33 10 Bytes JMP E260D2F4
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload B9B398AC 5 Bytes JMP 8A8731C8

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6BEAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6BEC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6BEB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6BF748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6BF61E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6D429A] sptd.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 8AB0F1E8
Device \FileSystem\Fastfat \FatCdrom 8A7F81E8
Device \FileSystem\Udfs \UdfsCdRom 895A71E8
Device \FileSystem\Udfs \UdfsDisk 895A71E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{E3F0DBF4-2E27-437B-ADB5-3661D15DED80} 895A81E8
Device \Driver\usbuhci \Device\USBPDO-0 8A8721E8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8AAA31E8
Device \Driver\dmio \Device\DmControl\DmConfig 8AAA31E8
Device \Driver\dmio \Device\DmControl\DmPnP 8AAA31E8
Device \Driver\dmio \Device\DmControl\DmInfo 8AAA31E8
Device \Driver\usbuhci \Device\USBPDO-1 8A8721E8
Device \Driver\usbuhci \Device\USBPDO-2 8A8721E8
Device \Driver\usbuhci \Device\USBPDO-3 8A8721E8
Device \Driver\usbehci \Device\USBPDO-4 8A845790
Device \Driver\Ftdisk \Device\HarddiskVolume1 8AB111E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Ftdisk \Device\HarddiskVolume2 8AB111E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom0 8A80E1E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8AB111E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom1 8A80E1E8
Device \Driver\Ftdisk \Device\HarddiskVolume4 8AB111E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\NetBT \Device\NetBt_Wins_Export 895A81E8
Device \Driver\NetBT \Device\NetbiosSmb 895A81E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{46E73FD4-9494-47E6-8944-642E4A9416A5} 895A81E8
Device \Driver\usbuhci \Device\USBFDO-0 8A8721E8
Device \Driver\usbuhci \Device\USBFDO-1 8A8721E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8958A790
Device \Driver\usbuhci \Device\USBFDO-2 8A8721E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8958A790
Device \Driver\usbuhci \Device\USBFDO-3 8A8721E8
Device \Driver\usbehci \Device\USBFDO-4 8A845790
Device \Driver\Ftdisk \Device\FtControl 8AB111E8
Device \Driver\VClone \Device\Scsi\VClone1 8A78D1E8
Device \Driver\VClone \Device\Scsi\VClone1Port2Path0Target0Lun0 8A78D1E8
Device \FileSystem\Fastfat \Fat 8A7F81E8
Device \FileSystem\Cdfs \Cdfs 8A7091E8


Teil1!!!!!!!!!!!!! war zulang das logfile


Alt 14.10.2008, 23:09   #6
brainfood74
 
infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung - Standard

infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung



Teil 2 Fortsetzung!!!!!!!



---- Modules - GMER 1.0.14 ----

Module \systemroot\system32\drivers\TDSSserv.sys (*** hidden *** ) B10B2000-B10C3000 (69632 bytes)

---- Threads - GMER 1.0.14 ----

Thread 4:1132 B10B3D68
---- Processes - GMER 1.0.14 ----

Library C:\WINDOWS\system32\TDSSl.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [688] 0x00650000
Library C:\WINDOWS\system32\TDSSl.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [744] 0x00650000
Library C:\WINDOWS\system32\TDSSl.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1788] 0x00650000
Library C:\WINDOWS\system32\TDSSl.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1868] 0x00650000
Library C:\WINDOWS\System32\TDSSl.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1904] 0x00650000
Library C:\WINDOWS\system32\TDSSl.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2168] 0x00650000
Library C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [3068] 0x00990000

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\drivers\TDSSserv.sys (*** hidden *** ) [SYSTEM] TDSSserv <-- ROOTKIT !!!


---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ...
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ...
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ...
Reg HKLM\SYSTEM\ControlSet005\Services\TDSSserv
Reg HKLM\SYSTEM\ControlSet005\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet005\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet005\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet006\Control\SafeBoot\Minimal\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet006\Control\SafeBoot\Minimal\TDSSserv.sys@ driver
Reg HKLM\SYSTEM\ControlSet006\Control\SafeBoot\Network\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet006\Control\SafeBoot\Network\TDSSserv.sys@ driver
Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ...
Reg HKLM\SYSTEM\ControlSet006\Services\TDSSserv
Reg HKLM\SYSTEM\ControlSet006\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet006\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet006\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys@ driver
Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSSserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSSserv.sys@ driver
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet008\Control\SafeBoot\Minimal\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet008\Control\SafeBoot\Minimal\TDSSserv.sys@ driver
Reg HKLM\SYSTEM\ControlSet008\Control\SafeBoot\Network\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet008\Control\SafeBoot\Network\TDSSserv.sys@ driver
Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x30 0x3E 0xBE 0xA1 ...
Reg HKLM\SYSTEM\ControlSet008\Services\TDSSserv
Reg HKLM\SYSTEM\ControlSet008\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet008\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet008\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@affid 42
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@subid v2test7
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@control 0x09 0x19 0x1F 0x16 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@prov 10010
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@googleadserver pagead2.googlesyndication.com
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@flagged 1
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88034F29-06DA-BEDA-8CE4-771DFA89AB39}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88034F29-06DA-BEDA-8CE4-771DFA89AB39}@ianpgjbeocgjkeecdb 0x6A 0x61 0x62 0x65 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88034F29-06DA-BEDA-8CE4-771DFA89AB39}@hahpinpiikhnnebk 0x6A 0x61 0x62 0x65 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88034F29-06DA-BEDA-8CE4-771DFA89AB39}@gamaiibajamalj 0x6B 0x61 0x62 0x65 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88DA6DFE-6722-C360-026E-A9F095B78123}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88DA6DFE-6722-C360-026E-A9F095B78123}@iappejkikeflihnkio 0x6B 0x61 0x64 0x65 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88DA6DFE-6722-C360-026E-A9F095B78123}@hajeopogbhhnkcdi 0x6B 0x61 0x64 0x65 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88DA6DFE-6722-C360-026E-A9F095B78123}@gaoaoakcoolphp 0x6B 0x61 0x64 0x65 ...

---- EOF - GMER 1.0.14 ----

Alt 15.10.2008, 06:47   #7
undoreal
/// AVZ-Toolkit Guru
 
infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung - Standard

infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung



Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\TDSSl.dll
C:\WINDOWS\system32\drivers\TDSSserv.sys
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Überprüfe deinen Rechner danach mit Anti-Malware und SUPERAntiSpyware und poste die logs.
Poste danach ein frisches HJT log.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 16.10.2008, 01:25   #8
brainfood74
 
infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung - Standard

infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung



....so da der erste versuch ja nicht 100% geklappt hat hatte ich gestern
nochmal das programm Malwarebytes-Anti-Malware getestet und hatte auch sofortige meldungen bezüglich der besagten rootkits tdssserv siehe logfile...

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1270
Windows 5.1.2600 Service Pack 3

15.10.2008 00:06:13
mbam-log-2008-10-15 (00-06-13).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 55039
Laufzeit: 1 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 34
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 3
Infizierte Dateien: 61

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\karna.dat (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2aabd0c3-1b64-4de0-ae17-bbbe806197f2} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e618364c-d16e-4a8b-9536-e3dd898a2bbd} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c93ea47f-cae8-4e69-8418-2c30fc014070} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0866cb33-1c08-48eb-b3c2-f39f32201917} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.FakeAlert) -> Data: c:\windows\system32\karna.dat -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.FakeAlert) -> Data: system32\karna.dat -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\eagd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xxywVnki.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xxywXOge.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\khfFYQjk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\efcBqqqN.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\geBtUopO.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jkkHArOG.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jkkICstT.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jkkJbyaX.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jlrrip.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mlJApMeb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\usuvdgok.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vbcsis.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\akbovjlp.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ubykhe.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\byXNdaaA.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\byXPIccb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\byXQIBqo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\byXRigDS.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vcqrnqau.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nnnmlKEv.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nnnnMCUl.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\opnonkHA.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pmnkHASK.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pmnlkJyY.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pmnmlkIc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqRIcayw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tuvUMdAP.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tygbkolr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fcccabCV.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awtqnkiI.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awtsPHyx.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cbXPhfEu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cbXPiGwt.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\urqRIxur.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wvUlighg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wvUmnNFV.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ljJCspmM.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ljJCsqPh.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qmerriyf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qoMeFvSi.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qtwnxw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\eindringling\Lokale Einstellungen\Temp\TDSS29e0.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\eindringling\Lokale Einstellungen\Temp\TDSSe0d5.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Delete on reboot.
C:\services.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\BM1f7790d2.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM1f7790d2.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\olnmraew.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\lfstbwvd.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\qkeftmxn.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\karna.dat (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\wini104552664.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\eindringling\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSerrors.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSl.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSserv.sys (Rootkit.Agent) -> Delete on reboot.

Danach bereinigen lassen

2 Logfile

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1270
Windows 5.1.2600 Service Pack 3

15.10.2008 00:23:06
mbam-log-2008-10-15 (00-23-06).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 54896
Laufzeit: 3 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\eindringling\Lokale Einstellungen\Temp\TDSS3f2f.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\eindringling\Lokale Einstellungen\Temp\TDSSa9f6.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

ERNEUTE BEREINIGUNG

3 Logfile

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1270
Windows 5.1.2600 Service Pack 3

15.10.2008 01:06:01
mbam-log-2008-10-15 (01-06-01).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 54881
Laufzeit: 3 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Das sah für mich ja schonmal sehr positiv aus, pc verhielt sich auch ab sofort wieder relativ normal, leistungszuwachs,keine popup´s, keine desktop warnungen usw. allerdings wie gesagt immer noch sehr vorsichtig....

Jetzt habe ich heute deine anleitung gesehen wie ich vorgehen soll, frage nun auch nach dem stand der dinge jetzt ( logfile) immer noch genauso vorgehen???????? weil das proggi combofix ja wie ich gelesen habe auch mit vorsicht zu genießen ist.....

danke schonmal vorab für euren klasse support...

Alt 16.10.2008, 08:18   #9
undoreal
/// AVZ-Toolkit Guru
 
infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung - Standard

infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung



Warum bist du denn nicht so vorgegangen wie ich es dir gepostet habe???
Wo ist das Avenger, CF und SUPERAntiSpyware log?? Wenn du nicht das tust was dir geraten wird kann dir hier keiner vernünftig helfen..

Zitat:
C:\Dokumente und Einstellungen\eindringling\Lokale Einstellungen\Temp\TDSS3f2f.tmp
Existiert der Ordner? Wurde der von dir angelegt??
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 19.10.2008, 20:08   #10
brainfood74
 
infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung - Standard

infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung



Zitat:
Zitat von undoreal Beitrag anzeigen
Warum bist du denn nicht so vorgegangen wie ich es dir gepostet habe???
Wo ist das Avenger, CF und SUPERAntiSpyware log?? Wenn du nicht das tust was dir geraten wird kann dir hier keiner vernünftig helfen..

Existiert der Ordner? Wurde der von dir angelegt??
also der ordner "eindringling" meintest du doch oder?? ist von mir erstellt worden, ist mein anmeldename ... eindringling bei windows....aber den ordner ......\Temp\TDSS3f2f.tmp das habe ich nicht angelegt bzw. nicht bewusst, weiß nicht ob es ein programm erstellt hat oder so....

so und nun hier das log des avenger....

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\TDSSl.dll" not found!
Deletion of file "C:\WINDOWS\system32\TDSSl.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\drivers\TDSSserv.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\TDSSserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Alt 19.10.2008, 20:35   #11
brainfood74
 
infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung - Standard

infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung



so in hier das log vom combo fix:

ComboFix 08-10-18.03 - eindringling 2008-10-19 20:24:39.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.944 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\eindringling\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\eindringling\Anwendungsdaten\Adobe\Player.exe.bak

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-19 bis 2008-10-19 ))))))))))))))))))))))))))))))
.

2008-10-16 02:33 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-10-16 02:32 . 2008-10-16 02:33 <DIR> d-------- C:\Programme\Java
2008-10-16 02:31 . 2008-08-14 15:19 2,191,488 --------- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-16 02:31 . 2008-08-14 15:19 2,147,840 --------- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-16 02:31 . 2008-08-14 15:19 2,068,352 --------- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-16 02:31 . 2008-08-14 15:19 2,026,496 --------- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-16 02:31 . 2008-09-08 12:41 333,824 --------- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-16 02:30 . 2008-09-15 17:24 1,846,528 --------- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-16 02:29 . 2008-10-16 02:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-10-16 01:46 . 2008-07-31 10:40 509,448 --a------ C:\WINDOWS\system32\XAudio2_2.dll
2008-10-16 01:46 . 2008-07-31 10:41 238,088 --a------ C:\WINDOWS\system32\xactengine3_2.dll
2008-10-16 01:46 . 2008-07-31 10:41 68,616 --a------ C:\WINDOWS\system32\XAPOFX1_1.dll
2008-10-16 01:44 . 2008-10-16 01:45 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
2008-10-16 01:43 . 2008-10-16 01:43 <DIR> d-------- C:\WINDOWS\Logs
2008-10-14 23:55 . 2008-10-14 23:55 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-14 23:55 . 2008-10-14 23:55 <DIR> d-------- C:\Dokumente und Einstellungen\eindringling\Anwendungsdaten\Malwarebytes
2008-10-14 23:55 . 2008-10-14 23:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-14 23:55 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-14 23:55 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-14 22:07 . 2008-10-15 00:27 250 --a------ C:\WINDOWS\gmer.ini
2008-10-14 22:05 . 2008-10-14 22:05 <DIR> d-------- C:\Programme\CCleaner
2008-10-14 02:28 . 2008-10-14 02:28 <DIR> d-------- C:\Programme\Trend Micro
2008-10-13 20:44 . 2008-10-13 20:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-12 11:42 . 2008-10-12 11:42 <DIR> d-------- C:\Programme\Alwil Software
2008-10-12 11:09 . 2008-10-14 01:46 476 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-12 11:08 . 2008-10-12 11:15 <DIR> d-------- C:\Dokumente und Einstellungen\eindringling\SmitfraudFix
2008-10-12 04:27 . 2008-10-12 04:27 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-10-12 03:06 . 2008-10-12 11:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xgzujshs
2008-10-12 02:55 . 2008-10-12 11:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kbmnufgn
2008-10-11 22:31 . 2008-10-11 22:31 <DIR> d-------- C:\Dokumente und Einstellungen\eindringling\Anwendungsdaten\ACD Systems
2008-10-11 22:27 . 2008-10-12 00:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ACD Systems
2008-10-11 21:59 . 2008-10-11 21:59 77,824 --a------ C:\WINDOWS\system32\tdssadw.dll.vir
2008-10-11 21:58 . 2008-10-11 21:58 <DIR> d-------- C:\Programme\VSTplugins
2008-10-11 21:58 . 2008-10-11 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\eindringling\Anwendungsdaten\Publish Providers
2008-10-11 21:55 . 2008-10-11 21:55 <DIR> d-------- C:\Dokumente und Einstellungen\eindringling\Anwendungsdaten\Sony
2008-10-11 21:53 . 2008-10-11 22:20 <DIR> d-------- C:\Programme\Sony
2008-10-11 21:51 . 2008-10-11 21:51 <DIR> d-------- C:\Programme\Sony Setup
2008-10-11 21:51 . 2008-10-11 21:51 85 --a------ C:\923.bat
2008-10-11 21:26 . 2008-10-11 21:34 <DIR> d-------- C:\Programme\Native Instruments
2008-10-07 22:28 . 2008-10-12 13:22 <DIR> d-------- C:\WINDOWS\3490736
2008-10-07 22:28 . 2008-10-07 22:28 <DIR> d-------- C:\Programme\ProtectDisc Driver Installer
2008-10-05 12:43 . 2008-10-07 22:14 <DIR> d-------- C:\Programme\IKEA HomePlanner
2008-10-05 11:35 . 2007-11-06 16:59 661,568 --a------ C:\WINDOWS\DBREG.dll
2008-10-05 11:35 . 2007-04-19 10:19 174,144 --a------ C:\WINDOWS\DBReg.exe
2008-10-05 11:35 . 2004-03-09 00:00 132,880 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-10-05 11:35 . 2007-06-04 11:29 16,098 --a------ C:\WINDOWS\German2.ini
2008-10-05 11:34 . 2007-09-26 09:38 2,059,328 --a------ C:\WINDOWS\system32\DBInternetControl.ocx
2008-10-04 01:32 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2008-10-04 01:32 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2008-10-04 00:46 . 2006-09-26 07:44 62,464 --a------ C:\WINDOWS\system32\sevLock.dll
2008-10-04 00:24 . 2008-10-12 13:22 <DIR> d-------- C:\WINDOWS\4028654

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-17 01:11 --------- d-----w C:\Programme\Trillian
2008-10-16 19:57 --------- d-----w C:\Dokumente und Einstellungen\eindringling\Anwendungsdaten\Azureus
2008-10-16 00:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-10-14 20:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-14 20:25 --------- d-----w C:\Programme\XstreamRadio 3.02
2008-10-14 20:23 --------- d-----w C:\Programme\MobiMB Mobile Media Browser
2008-10-14 20:23 --------- d-----w C:\Programme\Gemeinsame Dateien\LogoManager
2008-10-14 20:20 --------- d-----w C:\Programme\Trojan Remover
2008-10-14 01:10 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-13 22:27 --------- d-----w C:\Programme\Opera
2008-10-12 02:53 98,304 ----a-w C:\WINDOWS\DUMP89bc.tmp
2008-10-12 01:01 --------- d-----w C:\Programme\ATI
2008-10-11 20:15 --------- d-----w C:\Programme\UltraVNC
2008-10-07 22:26 --------- d-----w C:\Programme\Network Stumbler
2008-10-07 20:27 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-04 01:16 --------- d-----w C:\Programme\eMule
2008-10-03 22:12 --------- d-----w C:\Programme\QTime
2008-10-03 22:10 --------- d-----w C:\Programme\Nokia
2008-10-03 22:05 --------- d-----w C:\Programme\SmartSniff
2008-10-03 21:39 --------- d-----w C:\Programme\FriendFinder
2008-10-03 21:37 --------- d-----w C:\Programme\Asus
2008-09-15 23:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SF
2008-09-15 23:16 --------- d-----w C:\Programme\SF
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-28 10:47 --------- d-----w C:\Programme\DeTeWe
2008-02-18 11:58 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

((((((((((((((((((((((((((((( snapshot@2008-10-16_ 2.12.58.61 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-14 13:19:42 2,147,840 ------w C:\WINDOWS\Driver Cache\i386\ntkrnlmp.exe
+ 2008-08-14 13:19:48 2,068,352 ------w C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
+ 2008-08-14 13:19:43 2,026,496 ------w C:\WINDOWS\Driver Cache\i386\ntkrpamp.exe
+ 2008-08-14 13:19:48 2,191,488 ------w C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
+ 2008-06-23 16:14:39 124,928 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\advpack.dll
+ 2008-06-23 16:14:40 347,136 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\dxtmsft.dll
+ 2008-06-23 16:14:40 214,528 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\dxtrans.dll
+ 2008-06-23 16:14:40 133,120 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\extmgr.dll
+ 2008-06-23 16:14:40 63,488 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\icardie.dll
+ 2008-06-23 09:20:01 70,656 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\ie4uinit.exe
+ 2008-06-23 16:14:40 153,088 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\ieakeng.dll
+ 2008-06-23 16:14:40 230,400 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\ieaksie.dll
+ 2008-06-21 05:23:54 161,792 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\ieakui.dll
+ 2008-06-23 16:14:40 383,488 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\ieapfltr.dll
+ 2008-06-23 16:14:40 384,512 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\iedkcs32.dll
+ 2008-06-23 16:14:41 6,066,176 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\ieframe.dll
+ 2008-06-23 16:14:41 44,544 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\iernonce.dll
+ 2008-06-23 16:14:42 267,776 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\iertutil.dll
+ 2008-06-23 09:20:26 13,824 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\ieudinit.exe
+ 2008-06-23 09:20:25 625,664 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\iexplore.exe
+ 2008-06-23 16:14:42 27,648 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\jsproxy.dll
+ 2008-06-23 16:14:42 459,264 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\msfeeds.dll
+ 2008-06-23 16:14:42 52,224 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\msfeedsbs.dll
+ 2008-06-24 08:14:44 3,592,192 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\mshtml.dll
+ 2008-06-23 16:14:44 477,696 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\mshtmled.dll
+ 2008-06-23 16:14:44 193,024 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\msrating.dll
+ 2008-06-23 16:14:44 671,232 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\mstime.dll
+ 2008-06-23 16:14:44 102,912 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\occache.dll
+ 2008-06-23 16:14:44 44,544 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\pngfilt.dll
+ 2007-03-06 01:14:17 217,312 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe
+ 2007-03-06 01:15:25 377,568 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\updspapi.dll
+ 2008-06-23 16:14:44 105,984 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\url.dll
+ 2008-06-23 16:14:44 1,159,680 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\urlmon.dll
+ 2008-06-23 16:14:44 233,472 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\webcheck.dll
+ 2008-06-23 16:14:45 826,368 -c----w C:\WINDOWS\ie7updates\KB956390-IE7\wininet.dll
- 2008-09-11 06:45:47 1,165,584 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\accicons.exe
+ 2008-10-16 00:36:21 1,165,584 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\accicons.exe
- 2008-09-11 06:45:47 20,240 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\cagicon.exe
+ 2008-10-16 00:36:22 20,240 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\cagicon.exe
- 2008-09-11 06:45:47 159,504 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\inficon.exe
+ 2008-10-16 00:36:22 159,504 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\inficon.exe
- 2008-09-11 06:45:47 184,080 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\joticon.exe
+ 2008-10-16 00:36:22 184,080 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\joticon.exe
- 2008-09-11 06:45:47 217,864 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\misc.exe
+ 2008-10-16 00:36:22 217,864 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\misc.exe
- 2008-09-11 06:45:47 18,704 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\mspicons.exe
+ 2008-10-16 00:36:22 18,704 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\mspicons.exe
- 2008-09-11 06:45:47 35,088 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\oisicon.exe
+ 2008-10-16 00:36:22 35,088 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\oisicon.exe
- 2008-09-11 06:45:47 845,584 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe
+ 2008-10-16 00:36:22 845,584 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe
- 2008-09-11 06:45:47 922,384 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pptico.exe
+ 2008-10-16 00:36:22 922,384 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pptico.exe
- 2008-09-11 06:45:47 272,648 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pubs.exe
+ 2008-10-16 00:36:22 272,648 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pubs.exe
- 2008-09-11 06:45:47 888,080 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\wordicon.exe
+ 2008-10-16 00:36:22 888,080 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\wordicon.exe
- 2008-09-11 06:45:47 1,172,240 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\xlicons.exe
+ 2008-10-16 00:36:22 1,172,240 ----a-r C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\xlicons.exe
- 2008-06-23 16:14:39 124,928 ----a-w C:\WINDOWS\system32\advpack.dll
+ 2008-08-26 07:57:14 124,928 ----a-w C:\WINDOWS\system32\advpack.dll
- 2008-06-23 16:14:39 124,928 ----a-w C:\WINDOWS\system32\dllcache\advpack.dll
+ 2008-08-26 07:57:14 124,928 ----a-w C:\WINDOWS\system32\dllcache\advpack.dll
- 2008-06-20 11:40:08 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
+ 2008-08-14 10:04:36 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
- 2008-06-23 16:14:40 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
+ 2008-08-26 07:57:15 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
- 2008-06-23 16:14:40 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
+ 2008-08-26 07:57:15 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
- 2008-06-23 16:14:40 133,120 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll
+ 2008-08-26 07:57:15 133,120 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll
- 2008-06-23 16:14:40 63,488 ----a-w C:\WINDOWS\system32\dllcache\icardie.dll
+ 2008-08-26 07:57:15 63,488 ----a-w C:\WINDOWS\system32\dllcache\icardie.dll
- 2008-06-23 09:20:01 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
+ 2008-08-25 08:37:31 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
- 2008-06-23 16:14:40 153,088 ----a-w C:\WINDOWS\system32\dllcache\ieakeng.dll
+ 2008-08-26 07:57:15 153,088 ----a-w C:\WINDOWS\system32\dllcache\ieakeng.dll
- 2008-06-23 16:14:40 230,400 ----a-w C:\WINDOWS\system32\dllcache\ieaksie.dll
+ 2008-08-26 07:57:15 230,400 ----a-w C:\WINDOWS\system32\dllcache\ieaksie.dll
- 2008-06-21 05:23:54 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
+ 2008-08-23 05:54:51 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
- 2008-06-23 16:14:40 383,488 ----a-w C:\WINDOWS\system32\dllcache\ieapfltr.dll
+ 2008-08-26 07:57:15 383,488 ----a-w C:\WINDOWS\system32\dllcache\ieapfltr.dll
- 2008-06-23 16:14:40 384,512 ----a-w C:\WINDOWS\system32\dllcache\iedkcs32.dll
+ 2008-08-26 07:57:15 384,512 ----a-w C:\WINDOWS\system32\dllcache\iedkcs32.dll
- 2008-06-23 16:14:41 6,066,176 ----a-w C:\WINDOWS\system32\dllcache\ieframe.dll
+ 2008-10-03 16:58:14 6,066,176 ----a-w C:\WINDOWS\system32\dllcache\ieframe.dll
- 2008-06-23 16:14:41 44,544 ----a-w C:\WINDOWS\system32\dllcache\iernonce.dll
+ 2008-08-26 07:57:18 44,544 ----a-w C:\WINDOWS\system32\dllcache\iernonce.dll
- 2008-06-23 16:14:42 267,776 ----a-w C:\WINDOWS\system32\dllcache\iertutil.dll
+ 2008-08-26 07:57:18 267,776 ----a-w C:\WINDOWS\system32\dllcache\iertutil.dll
- 2008-06-23 09:20:26 13,824 ----a-w C:\WINDOWS\system32\dllcache\ieudinit.exe
+ 2008-08-25 08:38:00 13,824 ----a-w C:\WINDOWS\system32\dllcache\ieudinit.exe
- 2008-06-23 09:20:25 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
+ 2008-08-23 05:56:15 635,848 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
- 2008-06-23 16:14:42 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
+ 2008-08-26 07:57:18 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
- 2008-06-23 16:14:42 459,264 ----a-w C:\WINDOWS\system32\dllcache\msfeeds.dll
+ 2008-08-26 07:57:19 459,264 ----a-w C:\WINDOWS\system32\dllcache\msfeeds.dll
- 2008-06-23 16:14:42 52,224 ----a-w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
+ 2008-08-26 07:57:19 52,224 ----a-w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
- 2008-06-24 08:14:44 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
+ 2008-08-27 08:57:22 3,593,216 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
- 2008-06-23 16:14:44 477,696 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
+ 2008-08-26 07:57:21 477,696 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
- 2008-06-23 16:14:44 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
+ 2008-08-26 07:57:21 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
- 2008-06-23 16:14:44 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
+ 2008-08-26 07:57:21 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
- 2008-06-23 16:14:44 102,912 ----a-w C:\WINDOWS\system32\dllcache\occache.dll
+ 2008-08-26 07:57:21 102,912 ----a-w C:\WINDOWS\system32\dllcache\occache.dll
- 2008-06-23 16:14:44 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
+ 2008-08-26 07:57:21 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
- 2008-06-23 16:14:44 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll
+ 2008-08-26 07:57:21 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll
- 2008-06-23 16:14:44 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
+ 2008-08-26 07:57:22 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
- 2008-06-23 16:14:44 233,472 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll
+ 2008-08-26 07:57:22 233,472 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll
- 2008-06-23 16:14:45 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
+ 2008-08-26 07:57:22 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
- 2008-06-20 11:40:08 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
+ 2008-08-14 10:04:36 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
- 2008-06-23 16:14:40 347,136 ----a-w C:\WINDOWS\system32\dxtmsft.dll
+ 2008-08-26 07:57:15 347,136 ----a-w C:\WINDOWS\system32\dxtmsft.dll
- 2008-06-23 16:14:40 214,528 ----a-w C:\WINDOWS\system32\dxtrans.dll
+ 2008-08-26 07:57:15 214,528 ----a-w C:\WINDOWS\system32\dxtrans.dll
- 2008-06-23 16:14:40 133,120 ----a-w C:\WINDOWS\system32\extmgr.dll
+ 2008-08-26 07:57:15 133,120 ----a-w C:\WINDOWS\system32\extmgr.dll
- 2008-09-09 17:56:21 267,008 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-10-16 02:45:27 267,008 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
- 2008-06-23 16:14:40 63,488 ----a-w C:\WINDOWS\system32\icardie.dll
+ 2008-08-26 07:57:15 63,488 ----a-w C:\WINDOWS\system32\icardie.dll
- 2008-06-23 09:20:01 70,656 ----a-w C:\WINDOWS\system32\ie4uinit.exe
+ 2008-08-25 08:37:31 70,656 ----a-w C:\WINDOWS\system32\ie4uinit.exe
- 2008-06-23 16:14:40 153,088 ----a-w C:\WINDOWS\system32\ieakeng.dll
+ 2008-08-26 07:57:15 153,088 ----a-w C:\WINDOWS\system32\ieakeng.dll
- 2008-06-23 16:14:40 230,400 ----a-w C:\WINDOWS\system32\ieaksie.dll
+ 2008-08-26 07:57:15 230,400 ----a-w C:\WINDOWS\system32\ieaksie.dll
- 2008-06-21 05:23:54 161,792 ----a-w C:\WINDOWS\system32\ieakui.dll
+ 2008-08-23 05:54:51 161,792 ----a-w C:\WINDOWS\system32\ieakui.dll
- 2008-06-23 16:14:40 383,488 ----a-w C:\WINDOWS\system32\ieapfltr.dll
+ 2008-08-26 07:57:15 383,488 ----a-w C:\WINDOWS\system32\ieapfltr.dll
- 2008-06-23 16:14:40 384,512 ----a-w C:\WINDOWS\system32\iedkcs32.dll
+ 2008-08-26 07:57:15 384,512 ----a-w C:\WINDOWS\system32\iedkcs32.dll
- 2008-06-23 16:14:41 6,066,176 ----a-w C:\WINDOWS\system32\ieframe.dll
+ 2008-10-03 16:58:14 6,066,176 ----a-w C:\WINDOWS\system32\ieframe.dll
- 2008-06-23 16:14:41 44,544 ----a-w C:\WINDOWS\system32\iernonce.dll
+ 2008-08-26 07:57:18 44,544 ----a-w C:\WINDOWS\system32\iernonce.dll
- 2008-06-23 16:14:42 267,776 ----a-w C:\WINDOWS\system32\iertutil.dll
+ 2008-08-26 07:57:18 267,776 ----a-w C:\WINDOWS\system32\iertutil.dll
- 2008-06-23 09:20:26 13,824 ----a-w C:\WINDOWS\system32\ieudinit.exe
+ 2008-08-25 08:38:00 13,824 ----a-w C:\WINDOWS\system32\ieudinit.exe
+ 2008-06-09 23:21:01 135,168 ----a-w C:\WINDOWS\system32\java.exe
+ 2008-06-09 23:21:04 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
+ 2008-06-10 00:32:34 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
- 2008-06-23 16:14:42 27,648 ----a-w C:\WINDOWS\system32\jsproxy.dll
+ 2008-08-26 07:57:18 27,648 ----a-w C:\WINDOWS\system32\jsproxy.dll
- 2008-08-26 20:28:12 16,208,504 ----a-w C:\WINDOWS\system32\MRT.exe
+ 2008-10-07 19:19:40 16,721,856 ----a-w C:\WINDOWS\system32\MRT.exe
- 2008-06-23 16:14:42 459,264 ----a-w C:\WINDOWS\system32\msfeeds.dll
+ 2008-08-26 07:57:19 459,264 ----a-w C:\WINDOWS\system32\msfeeds.dll
- 2008-06-23 16:14:42 52,224 ----a-w C:\WINDOWS\system32\msfeedsbs.dll
+ 2008-08-26 07:57:19 52,224 ----a-w C:\WINDOWS\system32\msfeedsbs.dll
- 2008-06-24 08:14:44 3,592,192 ----a-w C:\WINDOWS\system32\mshtml.dll
+ 2008-08-27 08:57:22 3,593,216 ----a-w C:\WINDOWS\system32\mshtml.dll
- 2008-06-23 16:14:44 477,696 ----a-w C:\WINDOWS\system32\mshtmled.dll
+ 2008-08-26 07:57:21 477,696 ----a-w C:\WINDOWS\system32\mshtmled.dll
- 2008-06-23 16:14:44 193,024 ----a-w C:\WINDOWS\system32\msrating.dll
+ 2008-08-26 07:57:21 193,024 ----a-w C:\WINDOWS\system32\msrating.dll
- 2008-06-23 16:14:44 671,232 ----a-w C:\WINDOWS\system32\mstime.dll
+ 2008-08-26 07:57:21 671,232 ----a-w C:\WINDOWS\system32\mstime.dll
- 2008-04-14 02:00:00 2,068,224 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
+ 2008-08-14 13:19:48 2,068,352 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
- 2008-04-14 02:00:24 2,191,360 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
+ 2008-08-14 13:19:48 2,191,488 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
- 2008-06-23 16:14:44 102,912 ----a-w C:\WINDOWS\system32\occache.dll
+ 2008-08-26 07:57:21 102,912 ----a-w C:\WINDOWS\system32\occache.dll
- 2008-06-23 16:14:44 44,544 ----a-w C:\WINDOWS\system32\pngfilt.dll
+ 2008-08-26 07:57:21 44,544 ----a-w C:\WINDOWS\system32\pngfilt.dll
- 2007-11-30 12:39:14 18,808 ------w C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 11:18:34 18,808 ------w C:\WINDOWS\system32\spmsg.dll
- 2008-06-23 16:14:44 105,984 ----a-w C:\WINDOWS\system32\url.dll
+ 2008-08-26 07:57:21 105,984 ----a-w C:\WINDOWS\system32\url.dll
- 2008-06-23 16:14:44 1,159,680 ----a-w C:\WINDOWS\system32\urlmon.dll
+ 2008-08-26 07:57:22 1,159,680 ----a-w C:\WINDOWS\system32\urlmon.dll
- 2008-06-23 16:14:44 233,472 ----a-w C:\WINDOWS\system32\webcheck.dll
+ 2008-08-26 07:57:22 233,472 ----a-w C:\WINDOWS\system32\webcheck.dll
- 2008-04-14 01:53:16 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys
+ 2008-09-15 15:24:02 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
- 2008-06-23 16:14:45 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
+ 2008-08-26 07:57:22 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

Alt 19.10.2008, 20:38   #12
brainfood74
 
infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung - Standard

infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung



Teil 2 :


-- Snapshot auf jetziges Datum zurückgesetzt --
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-07 68856]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wireless Console 2"="C:\Programme\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-12-03 2622104]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-19 827392]
"SAFE2008 HotKeys"="C:\Programme\Steganos Safe 2008\SteganosHotKeyService.exe" [2007-12-21 25088]
"SAFE2008 File Redirection Starter"="C:\Programme\Steganos Safe 2008\fredirstarter.exe" [2007-12-19 57344]
"RemoteControl"="C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]
"Power_Gear"="C:\Programme\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-14 90112]
"PCMService"="C:\Programme\ASUS\Mobile Theater\PCMService.exe" [2006-01-24 147456]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 802816]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 696320]
"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-04-17 110592]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 59392]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-12-03 911184]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-12-03 140568]
"ACMON"="C:\Programme\ASUS\Splendid\ACMON.exe" [2006-05-30 811008]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\eindringling\Startmen\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

C:\Dokumente und Einstellungen\eindringling\Startmen\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

C:\Dokumente und Einstellungen\eindringling\Startmen\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Bluetooth Manager.lnk - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-06-16 49152]
RAMASST.lnk - C:\WINDOWS\system32\RAMAsst.exe [2008-05-21 163840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax
"msacm.ac3filter"= ac3filter.acm
"VIDC.ACDV"= ACDV.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"=C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
"EPSON Stylus DX5000 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3AE.tmp" /EF "HKCU"
"\\192.168.0.101\EPSON Stylus DX5000 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\DOKUME~1\EINDRI~1\LOKALE~1\Temp\E_S1B.tmp" /EF "HKCU"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TVBroadcast"=C:\Programme\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
"SMSERIAL"=C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
"ACU"=C:\Programme\Atheros\ACU.exe -nogui
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Asus\\Mobile Theater\\PowerCinema.exe"=
"C:\\Programme\\Asus\\Mobile Theater\\PCMService.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\groove.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Opera\\Opera.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\UltraVNC\\repeater.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 psecbdr;psecbdr;C:\WINDOWS\system32\Drivers\psecbdr.sys [2006-09-06 17024]
R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-03-22 368480]
R1 SLEE_16_DRIVER;Steganos Live Encryption Engine 16 [Driver];C:\WINDOWS\system32\drivers\Sleen16.sys [2007-10-11 13:24 79104]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 330144]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 251680]
R2 ITECIRService;ITE Remote Control Service;C:\WINDOWS\system32\RemoteControlService.exe [2006-03-31 656384]
R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-12-03 527464]
R3 AVerM115S;AVerM115S service;C:\WINDOWS\system32\DRIVERS\AVerM115S.sys [2006-05-16 745088]
R3 ITECIR;ITE CIR Driver;C:\WINDOWS\system32\DRIVERS\ITECIR.sys [2004-04-22 7366]
R3 SynMini;USB2.0 1.3M WebCam;C:\WINDOWS\system32\Drivers\SynMini.sys [2006-08-09 1116544]
R3 SynScan;USB2.0 1.3M WebCam Still Image;C:\WINDOWS\system32\Drivers\SynScan.sys [2006-08-09 7808]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 17280]
S3 PRODIGY;PRODIGY;C:\WINDOWS\system32\Drivers\PRODIGY.SYS [2006-08-29 32377]
S3 ulisa;DeTeWe ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [ ]
S4 repeater_service;repeater_service;C:\Programme\UltraVNC\repeater.exe [2006-04-17 176128]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c5aea574-e162-11dc-96c7-0018de793c32}]
\Shell\Auto\command - MSOCache\doWTP_RESTORE.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-19 C:\WINDOWS\Tasks\1-Click Maintenance.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe []
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\eindringling\Anwendungsdaten\Mozilla\Firefox\Profiles\hh9e015d.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.msn.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 20:29:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tsd32.dll
-> C:\WINDOWS\system32\ac3filter.acm
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Asus\Mobile Theater\Kernel\TV\CLCapSvc.exe
C:\Programme\Asus\Mobile Theater\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Asus\Mobile Theater\Kernel\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\ehome\ehRecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Asus\Mobile Theater\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-19 20:33:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-19 18:33:25
ComboFix2.txt 2008-10-16 00:13:42

Vor Suchlauf: 23 Verzeichnis(se), 16.722.518.016 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 16,700,075,520 Bytes frei

451 --- E O F --- 2008-10-19 17:34:39

Alt 20.10.2008, 15:01   #13
undoreal
/// AVZ-Toolkit Guru
 
infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung - Standard

infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung



Zitat:
ist von mir erstellt worden, ist mein anmeldename
Ok, dann bin ich ja beruhigt.. ^^

Dein Rechner sollte es wieder tun. Ich würde noch mit DrWeb scannen.


CureIT Dr.Web
  • Downloade Dr.Web CureIt!
  • Speichere es auf deinem Desktop.
  • Entpacke es in einen eigenen Ordner.
  • Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.
  • Lass alle Malware in den Quarantaene Ordner verschieben.
  • Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
  • Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.
  • Speichere das Logfile - siehe Anleitung - und poste es.

Und lass in Zukunft die Finger vom Torrent und Esel NEtzwerk!!! Sonst geht das irgendwann mal ganz gehörig schief..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung
.dll, abgesicherten modus, aufsetzen, auswertung, banke, beseitigung, desktop, entfernun, explorer, hintergrund, immer wieder, infiziert, langsam, neu, neu aufsetzen, neustart, neustarten, problem, programme, remover, router, scan, schädlinge, sehr langsam, servicepack3, software, system, systemwiederherstellung, trojaner, windows, windows explorer



Ähnliche Themen: infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung


  1. Win7 Prof. Infiziert mit Win32/Packed.Asprotect.DS Trojaner! Entfernung?
    Log-Analyse und Auswertung - 01.10.2014 (9)
  2. Trojan:Win32/Necurs.A unter Windows 7 - Bitte um Hilfe zur Entfernung
    Log-Analyse und Auswertung - 17.05.2014 (33)
  3. Bitte um Hilfe bei Entfernung search.conduit.com
    Plagegeister aller Art und deren Bekämpfung - 06.12.2013 (9)
  4. BKA Trojaner (Mbam findet Trojan.Ransom.ED), bitte um Hilfe bei der Entfernung
    Plagegeister aller Art und deren Bekämpfung - 09.04.2013 (13)
  5. 2 PUP.Blabbers....bitte um Hilfe zur entfernung:(
    Log-Analyse und Auswertung - 09.04.2013 (11)
  6. Smart HDD Virus, Schwarzer Desktop / Bitte um Hilfe bei der Entfernung
    Plagegeister aller Art und deren Bekämpfung - 15.04.2012 (28)
  7. Gema-Trojaner, bitte um Hilfe bei Entfernung
    Plagegeister aller Art und deren Bekämpfung - 30.03.2012 (11)
  8. Bitte um Hilfe bei Entfernung von goingonearth
    Plagegeister aller Art und deren Bekämpfung - 16.07.2011 (21)
  9. Bitte um Hilfe bei der Entfernung von Goingonearth-Virus
    Plagegeister aller Art und deren Bekämpfung - 16.05.2011 (7)
  10. Infiziert ??? ... BItte um Hilfe/Rat
    Log-Analyse und Auswertung - 23.10.2009 (3)
  11. Bin ich infiziert? Hilfe bitte!
    Log-Analyse und Auswertung - 26.08.2009 (5)
  12. Bitte um Hilfe bei Entfernung von Unknown Trojan!!!
    Plagegeister aller Art und deren Bekämpfung - 12.04.2008 (12)
  13. Escan findet 10 viren bitte um Hilfe bei entfernung
    Plagegeister aller Art und deren Bekämpfung - 23.02.2008 (1)
  14. Bitte um Hilfe zur Trojaner Entfernung
    Log-Analyse und Auswertung - 15.02.2008 (5)
  15. 2Trojaner entdeckt; bitte um Hilfe zur Entfernung
    Plagegeister aller Art und deren Bekämpfung - 18.10.2007 (3)
  16. AVG hat 2 Trojaner entdeckt; bitte um Hilfe zur Entfernung!
    Mülltonne - 16.10.2007 (0)
  17. Wurde von einem Trojaner infiziert. Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 11.09.2007 (18)

Zum Thema infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung - hallo erstmal zusammen, bin ganz neu on board und muß mal eure hilfe beanspruchen, hatte am we ein heftigen befall von einigen schädlingen, konnte das system auch nicht mehr zurückstellen - infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung...
Archiv
Du betrachtest: infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.