Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: erster post und leider ein problem

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.11.2008, 23:55   #1
metor
 
erster post und leider ein problem - Standard

erster post und leider ein problem



moin moin, habe mir leider ein/mehrer wiren gefangen. habe im board schon diverse thread dazu gefunden,allerdings immer mit dem hinweis einen eigenne thread zzu erstellen, find ich super.

mein problem:

erkannter backdoor BDS/TDSS.JW und TR/FakeAV.bak2 sind erkannt.

benutze den anti vir von avira.

Folgen sind ich habe ein 2tes sicherheitscenter mit der aufforderung mir msantivir.pro2009 zu landen.

habe hier schon threads mit demselben problem gelesen wollt aber nichts einzeln unternehmen.

wäre super wenn mir jemand helfen könnte.

bzw weitere schritte nennt

regards thomas

Alt 16.11.2008, 00:33   #2
myrtille
/// TB-Ausbilder
 
erster post und leider ein problem - Standard

erster post und leider ein problem



dein betriebssystem bräuchten wir noch und den namen der dateien in denen der befall gefunden wird.

lg myrtille
__________________

__________________

Alt 16.11.2008, 01:12   #3
metor
 
erster post und leider ein problem - Standard

erster post und leider ein problem



betriebssystem ist xp service pack 3.

wie komm ich an die verzeichnisse kann weder aus avira kopiren bzw einen bericht exportieren?
__________________

Alt 16.11.2008, 01:16   #4
myrtille
/// TB-Ausbilder
 
erster post und leider ein problem - Standard

erster post und leider ein problem



Hi,

ein Fundort würde reichen.. ich vermute er sieht etwa wie folgt aus: C:\windows\system32\drivers\tdss*buchstabensalat*.sys

Wenn der Fundort zutrifft, arbeite bitte folgendes ab:

ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 16.11.2008, 01:38   #5
metor
 
erster post und leider ein problem - Standard

erster post und leider ein problem



ComboFix 08-11-13.02 - Cash 2008-11-16 1:29:39.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1660 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Cash\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\karna.dat
c:\windows\msacm32.drv
c:\windows\pi.exe
c:\windows\rasqervy.dll
c:\windows\sdfinacs.dll
c:\windows\sdfixwcs.dll
c:\windows\system32\_scui.cpl
c:\windows\system32\av.dat
c:\windows\system32\DelSelf.bat
c:\windows\system32\karna.dat
c:\windows\system32\wini108014.exe
c:\windows\wuasirvy.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys


((((((((((((((((((((((( Dateien erstellt von 2008-10-16 bis 2008-11-16 ))))))))))))))))))))))))))))))
.

2008-11-14 15:50 . 2008-11-14 15:50 <DIR> d-------- c:\dokumente und einstellungen\Cash\Anwendungsdaten\DivX
2008-11-12 18:33 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 18:33 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-07 15:42 . 2008-11-07 15:42 <DIR> d-------- c:\windows\system32\NtmsData
2008-11-06 14:21 . 2008-11-06 14:21 <DIR> d-------- c:\dokumente und einstellungen\Cash\Anwendungsdaten\InterVideo
2008-11-06 13:05 . 2008-11-06 13:05 <DIR> d-------- c:\programme\Avira
2008-11-06 13:05 . 2008-11-06 13:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-11-06 13:00 . 2006-09-25 04:44 <DIR> d--h----- c:\dokumente und einstellungen\Cash\Vorlagen
2008-11-06 13:00 . 2006-09-25 05:35 <DIR> dr------- c:\dokumente und einstellungen\Cash\Startmenü
2008-11-06 13:00 . 2006-09-25 05:41 <DIR> d--h----- c:\dokumente und einstellungen\Cash\Netzwerkumgebung
2008-11-06 13:00 . 2008-11-06 15:16 <DIR> d--h----- c:\dokumente und einstellungen\Cash\Lokale Einstellungen
2008-11-06 13:00 . 2008-11-06 13:00 <DIR> dr------- c:\dokumente und einstellungen\Cash\Favoriten
2008-11-06 13:00 . 2008-11-14 16:50 <DIR> dr------- c:\dokumente und einstellungen\Cash\Eigene Dateien
2008-11-06 13:00 . 2006-09-25 05:41 <DIR> d--h----- c:\dokumente und einstellungen\Cash\Druckumgebung
2008-11-06 13:00 . 2008-11-14 16:49 <DIR> dr-h----- c:\dokumente und einstellungen\Cash\Anwendungsdaten
2008-11-06 13:00 . 2008-11-06 13:00 <DIR> d-------- c:\dokumente und einstellungen\Cash
2008-11-06 07:28 . 2008-11-06 07:28 19,507 --a------ c:\windows\system32\exeqa.reg
2008-11-06 07:28 . 2008-11-06 07:28 17,905 --a------ c:\windows\ogijihex.dll
2008-11-06 07:28 . 2008-11-06 07:28 16,763 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\mewo.bat
2008-11-06 07:28 . 2008-11-06 07:28 16,303 --a------ c:\windows\ovuxorusi.vbs
2008-11-06 07:28 . 2008-11-06 07:28 14,985 --a------ c:\dokumente und einstellungen\tom\Anwendungsdaten\ydevehanuc.bat
2008-11-06 07:28 . 2008-11-06 07:28 14,549 --a------ c:\programme\Gemeinsame Dateien\acatoqys.pif
2008-11-06 07:28 . 2008-11-06 07:28 13,393 --a------ c:\windows\system32\uhafusaz.bin
2008-11-06 07:28 . 2008-11-06 07:28 13,176 --a------ c:\windows\system32\bacux.dll
2008-11-06 07:28 . 2008-11-06 07:28 12,290 --a------ c:\dokumente und einstellungen\tom\Anwendungsdaten\ibut.scr
2008-11-06 07:28 . 2008-11-06 07:28 12,139 --a------ c:\windows\system32\iwuqecutof.scr
2008-11-06 07:28 . 2008-11-06 07:28 11,508 --a------ c:\windows\system32\ekuxinik.inf
2008-11-06 07:28 . 2008-11-06 07:28 11,050 --a------ c:\programme\Gemeinsame Dateien\felawelyda.bin
2008-11-06 06:33 . 2008-11-06 06:33 19,997 --a------ c:\dokumente und einstellungen\tom\Anwendungsdaten\doqikynyg.bat
2008-11-06 06:33 . 2008-11-06 06:33 19,035 --a------ c:\windows\system32\focure.dat
2008-11-06 06:33 . 2008-11-06 06:33 18,560 --a------ c:\windows\system32\zysyrujo.sys
2008-11-06 06:33 . 2008-11-06 06:33 18,315 --a------ c:\windows\izohyzomy.pif
2008-11-06 06:33 . 2008-11-06 06:33 17,612 --a------ c:\windows\gupymetedo.dll
2008-11-06 06:33 . 2008-11-06 06:33 17,381 --a------ c:\windows\avyby.scr
2008-11-06 06:33 . 2008-11-06 06:33 16,431 --a------ c:\windows\ajivosic.pif
2008-11-06 06:33 . 2008-11-06 06:33 15,854 --a------ c:\programme\Gemeinsame Dateien\irur.pif
2008-11-06 06:33 . 2008-11-06 06:33 15,262 --a------ c:\dokumente und einstellungen\tom\Anwendungsdaten\vamy.pif
2008-11-06 06:33 . 2008-11-06 06:33 15,128 --a------ c:\windows\uhajujola._sy
2008-11-06 06:33 . 2008-11-06 06:33 14,673 --a------ c:\programme\Gemeinsame Dateien\gazofadom.reg
2008-11-06 06:33 . 2008-11-06 06:33 13,838 --a------ c:\windows\system32\arihywy.bat
2008-11-06 06:33 . 2008-11-06 06:33 13,336 --a------ c:\windows\bexony.scr
2008-11-06 06:33 . 2008-11-06 06:33 13,329 --a------ c:\dokumente und einstellungen\tom\Anwendungsdaten\ahetufiti.pif
2008-11-06 06:33 . 2008-11-06 06:33 11,039 --a------ c:\windows\system32\xege.dl
2008-11-06 06:32 . 2008-11-06 06:36 <DIR> d-------- c:\programme\AntivirusPro2009
2008-11-06 06:22 . 2008-11-06 12:39 2,444 --a------ c:\windows\system32\TDSScbqp.dll
2008-11-06 06:22 . 2008-11-06 12:39 679 --a------ c:\windows\system32\TDSSpqxt.dat
2008-10-23 18:46 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-16 17:38 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-10-16 17:37 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-16 17:37 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-16 17:37 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-16 17:37 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-16 17:37 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-06 21:09 --------- d-----w c:\dokumente und einstellungen\tom\Anwendungsdaten\Dreamlords
2008-11-06 13:19 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-06 13:16 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2008-11-06 06:28 14,233 ----a-w c:\programme\Gemeinsame Dateien\abur.lib
2008-11-06 06:28 10,736 ----a-w c:\programme\Gemeinsame Dateien\qowilyx.dl
2008-11-06 05:33 15,699 ----a-w c:\programme\Gemeinsame Dateien\mahuramav.inf
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]
"Muscbrigade"="c:\musicbrigade\Musicbrigade.exe" [2005-12-20 40960]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-10-19 286720]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Antivirus Pro 2009"="c:\programme\AntivirusPro2009\AntivirusPro2009.exe" [2008-11-05 596811]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 c:\windows\RTHDCPL.EXE]
"nwiz"="nwiz.exe" [2006-07-20 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll
"wave1"= c_016341.nls
"midi1"= c_016341.nls
"mixer1"= c_016341.nls
"aux1"= c_016341.nls
"wave2"= c_016341.nls
"midi2"= c_016341.nls
"mixer2"= c_016341.nls
"aux2"= c_016341.nls

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Dreamlords\\dreamlords.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [2006-09-25 1527900]
S3 gUSBSTOi;gUSBSTOi;\??\c:\dokume~1\tom\LOKALE~1\Temp\gUSBSTOi.sys []
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Cash\Anwendungsdaten\Mozilla\Firefox\Profiles\k2881ij7.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-16 01:34:30
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\nvsvc32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-16 1:36:37 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-16 00:36:34

Vor Suchlauf: 29 Verzeichnis(se), 291.471.360.000 Bytes frei
Nach Suchlauf: 29 Verzeichnis(se), 291,632,553,984 Bytes frei

163 --- E O F --- 2008-11-13 20:01:53


Alt 16.11.2008, 01:53   #6
metor
 
erster post und leider ein problem - Standard

erster post und leider ein problem



combofix lief nur unter dem admin hoffe das ist io.

weil ich den nicht nutze für den normalgebrauch.

Alt 16.11.2008, 10:58   #7
myrtille
/// TB-Ausbilder
 
erster post und leider ein problem - Standard

erster post und leider ein problem



Hi,

das Log zeigt Anzeichen von sehr viel mehr als TDSS und Fakealert. Falls du OnlineBanking betreibst, solltest du auf jedenfall sofort deine Passwörter ändern und den Account fürs erste sperren lassen!
Du hast einen Silentbanker an Board, der versucht deine Passwörter auszulesen und an deine TANs zu kommen.
Du solltest außerdem auch alle Passwörter von einem sauberen Rechner aus ändern.

Die sicherste Variante für deinen Rechner ist in diesem Fall das Neuaufsetzen. Wir können gern ein Bereinigen garantieren, aber es gibt am Schluss keine Garantien was die Vertrauenswürdigkeit deines Rechners angeht.

Erstell für mich bitte (unabhängig von deiner Entscheidung) ein FileListing mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

lg myrtille.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 16.11.2008, 11:48   #8
metor
 
erster post und leider ein problem - Standard

erster post und leider ein problem



moin moin, sind ja schlechte nachrichten. allerdings ist auf dem pc nichts wichtiges, also werd ich ihn plattmachen.

hier der link für das log von listing 8

http://www.file-upload.net/download-1256799/listing.txt.html

danke für die schnelle hilfe.

Alt 16.11.2008, 12:12   #9
myrtille
/// TB-Ausbilder
 
erster post und leider ein problem - Standard

erster post und leider ein problem



Hi,

danke für die Logdatei

Befolge am besten die Anleitung zum Neuaufsetzen um die Risiken einer erneuten Infektion zu minimieren.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu erster post und leider ein problem
anti, anti vir, aufforderung, backdoor, board, diverse, einzeln, erstelle, erstellen, gefunde, hinweis, nichts, proble, problem, schritte, sicherheitscenter, thomas, thread, threads



Ähnliche Themen: erster post und leider ein problem


  1. Problem mit Viren, Habe leider schon etwas auf eigene Faust versucht
    Plagegeister aller Art und deren Bekämpfung - 07.09.2014 (5)
  2. GVU Trojaner soweit alles gemacht leider fehlt mir der post
    Plagegeister aller Art und deren Bekämpfung - 29.06.2013 (13)
  3. GUV Problem... Wie wohl leider viele :(
    Plagegeister aller Art und deren Bekämpfung - 29.01.2013 (11)
  4. BOO/TDss.M Problem - leider irgendwie keine Recoverymöglichkeit
    Plagegeister aller Art und deren Bekämpfung - 31.01.2012 (4)
  5. Firefox-Problem besteht weiter, obwohl Trojaner in Quarantäne verschoben (Name leider entfallen)
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (3)
  6. Erster Zero-Day-Exploit für Firefox 3.5
    Nachrichten - 14.07.2009 (0)
  7. Habe ein Problem und kann es leider nich lösen
    Log-Analyse und Auswertung - 23.05.2008 (19)
  8. Hjackthis Post, Habe leider keine Ahnung davon..
    Log-Analyse und Auswertung - 17.03.2008 (4)
  9. Mein 1st Post und schon ein Problem !?
    Plagegeister aller Art und deren Bekämpfung - 09.08.2007 (5)
  10. problem mit trojaner oder spyware (weiss leider selbst nicht genau =( )
    Log-Analyse und Auswertung - 31.05.2007 (19)
  11. Erster post, bitte um Hilfe
    Log-Analyse und Auswertung - 22.02.2007 (4)
  12. pop-up problem und (leider) kein ahnung
    Log-Analyse und Auswertung - 25.01.2006 (1)
  13. Leider... "The Trojan horse TR/StartPage.qr.DLL" - Problem
    Log-Analyse und Auswertung - 27.03.2005 (8)
  14. Mein erster Log!?
    Log-Analyse und Auswertung - 26.10.2004 (23)
  15. mein erster virus
    Plagegeister aller Art und deren Bekämpfung - 15.04.2003 (8)
  16. Erster Teil geschaft :D
    Alles rund um Mac OSX & Linux - 04.11.2002 (4)

Zum Thema erster post und leider ein problem - moin moin, habe mir leider ein/mehrer wiren gefangen. habe im board schon diverse thread dazu gefunden,allerdings immer mit dem hinweis einen eigenne thread zzu erstellen, find ich super. mein problem: - erster post und leider ein problem...
Archiv
Du betrachtest: erster post und leider ein problem auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.