Redirect auf Pornoseiten, Wurm ?? Hilfe !!

keeponrockin · 02.04.2009, 19:20

http://www.file-upload.net/download-1564482/Postingliste.doc.html

Redwulf · 02.04.2009, 19:30

Zitat:

Zitat von keeponrockin

http://www.file-upload.net/download-1564482/Postingliste.doc.html

Auf dem Weg

keeponrockin · 02.04.2009, 19:32

super !

Redwulf · 02.04.2009, 19:52

Na bitte, da haben wir ja was wir brauchen.

Öffne jetzt das Programm Avenger.

Du siehst jetzt ein weißen Scriptfeld.

Kopiere jetzt den Inhalt der Codebox mit Strg +C

Code:

ATTFilter

Drivers to delete:
TDSSserv.sys 

Files to delete:
C:\WINDOWS\system32\drivers\TDSSserv.sys

Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\TDSSserv
HKLM\SYSTEM\ControlSet003\Services\TDSSserv

und füge das ganze mit Strg + V in dieses Scriptfeld ein.
Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst.

Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken.. Selten, aber möglich bootet Windows in einen Bluescreen. Auch dann kein Grund zur Sorge.

Nach Abschluß dieser Sache bekommst du ein Logfile angezeigt. Poste es bitte hier.

Zu diesem Zeitpunkt ist auch möglich, dass sich Avira mit Virenfunden meldet. Lasse diese Viren dann LÖSCHEN, anschließend löscht du die Quarantäne.

Anschließend wirst du das Programm Blacklight ausführen. Reporte das Ergebnis hier.

Weiter geht es dann wieder mit MalwareBytes. Auch hier lässt du eventuelle Funde komplett löschen. Quarantäne ebenfalls. Poste das Ergebnis hier.

Jetzt setzt du nochmals CCleaner ein und zeigst mir ein dann ein frisches Hijack this Log.

Dann gehts ans Aufräumen....

keeponrockin · 02.04.2009, 20:08

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSserv.sys" not found!
Deletion of driver "TDSSserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\TDSSserv.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\TDSSserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

den Rest mach ich gleich noch ...

keeponrockin · 02.04.2009, 21:39

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSserv.sys" not found!
Deletion of driver "TDSSserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\TDSSserv.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\TDSSserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKLM\SYSTEM\ControlSet001\Services\TDSSserv" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet001\Services\TDSSserv" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\ControlSet003\Services\TDSSserv" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Redwulf · 02.04.2009, 21:53

Puhhh, hammern doch erwischt...

Jetzt nochmal mit MalwareBytes ( Updates nicht vergessen ) und dann CCleaner.

Bei Funden alles löschen und dann nochmals ein frisches Hijack this, bitte

keeponrockin · 03.04.2009, 15:01

was mir auffällt ist dass ich nicht mehr weitergeleitet werde, aber irgendwas ist da immer noch ... danke nochmals bis hierhin.

hier der link vom 2. GMER Durchlauf ...

http://www.file-upload.net/download-1565620/gmer_2.log.html

john.doe · 03.04.2009, 16:59

Hallo,

lasse Avenger mit folgendem Skript laufen und poste das Log:

Code:

ATTFilter

Drivers to delete:
TDSSserv

Registry keys to delete:
HKLM\SYSTEM\ControlSet003\Services\TDSSserv

Gleich anschliessend noch ein Gmer-Log. Schliesse diesmal alle Programme, bevor GMER startet.

Danach: Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Redwulf · 02.04.2009, 20:29

Mir ist gerade ein Fehler beim kopieren unterlaufen. Ich weiss jetzt nicht ob du diesen Eintrag

Code:

ATTFilter

Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\TDSSserv
HKLM\SYSTEM\ControlSet003\Services\TDSSserv

in deinem Avenger Script auch mit eingefügt hast. Fall nicht, musst du nochmal Avenger laufen lassen mit dem kompletten Script. Ich habs zwischenzeitlich editiert. Einfach wieder kopieren und einfügen, dann auf Execute
Poste dann das Logfile hier

Redirect auf Pornoseiten, Wurm ?? Hilfe !!

Plagegeister aller Art und deren Bekämpfung: Redirect auf Pornoseiten, Wurm ?? Hilfe !!