Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Rootkit.Win32.TDSS.a

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.05.2009, 12:41   #1
yuriy
 
Rootkit.Win32.TDSS.a - Standard

Rootkit.Win32.TDSS.a



Ich habe die vollständige Suche mit KAV ausgeführt. Es wurde einen Virus Rootkit.Win32.TDSS.a gefunden. KAV ist nicht in der Lage ihn zu desinfizieren. Ich kann auch dei verseuchte Datei nicht finden. Kann mir jemand bitte helfen?

Alt 15.05.2009, 13:48   #2
myrtille
/// TB-Ausbilder
 
Rootkit.Win32.TDSS.a - Standard

Rootkit.Win32.TDSS.a



Hi,

erstelle bitte ein Logfile mit HijackThis und poste es hier.

Scanne deinen Rechner außerdem mit Malwarebytes und poste auch den Bericht hier.

lg myrtile
__________________

__________________

Alt 15.05.2009, 17:35   #3
yuriy
 
Rootkit.Win32.TDSS.a - Standard

Rootkit.Win32.TDSS.a



Danke für die Hilfe. Hier ist schon mal den Report von Hijack. Da ich absolut keine Ahnung habe, hoffe ich, dass es okay ist.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:25:02, on 15.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXXXX\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D32854C-D105-44E8-BC15-4AA4AB7C1D90}: NameServer = 94.232.248.44,195.62.37.21
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E21E84B-7DF0-4E90-B968-828015BFD21A}: NameServer = 94.232.248.44,195.62.37.21
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 94.232.248.44,195.62.37.21
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Intel Corporation - (no file)
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 7364 bytes

Malewarebytess konnte ich leider nicht updaten. Ich lasse es trotzdem laufen und schicke den Bericht noch zu.

viele Grüße
__________________

Alt 15.05.2009, 17:52   #4
yuriy
 
Rootkit.Win32.TDSS.a - Standard

Rootkit.Win32.TDSS.a



Hier ist der Bericht von Malwarebytes:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3

15.05.2009 18:47:23
mbam-log-2009-05-15 (18-47-18).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 131593
Laufzeit: 31 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich hoffe, es sagt was.

Es wäre super, wenn ich den Rechner nicht platt machen muss(habe auch keine Erfahrung)
Die Dateien habe ich trotzem auf einer externen Festpaltte gesichert. Dumme Frage: Sind sie dann auch infiziert?

viele Grüße

Alt 15.05.2009, 17:56   #5
space23
Gast
 
Rootkit.Win32.TDSS.a - Standard

Rootkit.Win32.TDSS.a



Also dein Rogue sollte sich mit einem Löschen per Malwarebytes erledigt haben.


Alt 15.05.2009, 18:21   #6
yuriy
 
Rootkit.Win32.TDSS.a - Standard

Rootkit.Win32.TDSS.a



Leider nicht. KAV findet ihn wieder.

Alt 15.05.2009, 18:45   #7
space23
Gast
 
Rootkit.Win32.TDSS.a - Standard

Rootkit.Win32.TDSS.a



Du hast ihn ja auch nicht gelöscht :
Zitat:
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> No action taken.
No action taken heißt das mbam nichts gemacht hat.

Scanne bitte erneut und lösche den Virus!

Alt 15.05.2009, 18:49   #8
space23
Gast
 
Rootkit.Win32.TDSS.a - Standard

Rootkit.Win32.TDSS.a



Mir ist nochwas in deinem Log aufgefallen.

Bitte lade folgende Dateien auf virustotal.com hoch:

Zitat:
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
Poste dann bitte die Ergebnisse.

Alt 15.05.2009, 19:48   #9
yuriy
 
Rootkit.Win32.TDSS.a - Standard

Rootkit.Win32.TDSS.a



sorry, war der falsche bericht. hier ist der richtige:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3

15.05.2009 18:56:26
mbam-log-2009-05-15 (18-56-26).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 131593
Laufzeit: 31 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

was ist mit diesen drei anwendungen? was hast du für einen verdacht?

gruß

Alt 15.05.2009, 20:52   #10
space23
Gast
 
Rootkit.Win32.TDSS.a - Standard

Rootkit.Win32.TDSS.a



Also der Rogue ist weg.
Ich habe einen sehr schlimmen Verdacht deshalb bitte auf http://virustotal.com alle hochladen.

Alt 15.05.2009, 22:18   #11
yuriy
 
Rootkit.Win32.TDSS.a - Standard

Rootkit.Win32.TDSS.a



bitte schon

zu hkcmd:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.15 -
AhnLab-V3 5.0.0.2 2009.05.15 -
AntiVir 7.9.0.168 2009.05.15 -
Antiy-AVL 2.0.3.1 2009.05.15 -
Authentium 5.1.2.4 2009.05.15 -
Avast 4.8.1335.0 2009.05.15 -
AVG 8.5.0.336 2009.05.15 -
BitDefender 7.2 2009.05.15 -
CAT-QuickHeal 10.00 2009.05.15 -
ClamAV 0.94.1 2009.05.15 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.15 -
eSafe 7.0.17.0 2009.05.14 -
eTrust-Vet 31.6.6507 2009.05.15 -
F-Prot 4.4.4.56 2009.05.15 -
F-Secure 8.0.14470.0 2009.05.15 -
Fortinet 3.117.0.0 2009.05.15 -
GData 19 2009.05.15 -
Ikarus T3.1.1.49.0 2009.05.15 -
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.15 -
McAfee 5616 2009.05.15 -
McAfee+Artemis 5616 2009.05.15 -
McAfee-GW-Edition 6.7.6 2009.05.15 -
Microsoft 1.4602 2009.05.15 -
NOD32 4080 2009.05.15 -
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.15 -
Panda 10.0.0.14 2009.05.15 -
PCTools 4.4.2.0 2009.05.15 -
Prevx 3.0 2009.05.15 -
Rising 21.29.44.00 2009.05.15 -
Sophos 4.41.0 2009.05.15 -
Sunbelt 3.2.1858.2 2009.05.15 -
Symantec 1.4.4.12 2009.05.15 -
TheHacker 6.3.4.1.326 2009.05.15 -
TrendMicro 8.950.0.1092 2009.05.15 -
VBA32 3.12.10.5 2009.05.15 -
ViRobot 2009.5.15.1737 2009.05.15 -
weitere Informationen
File size: 162584 bytes
MD5...: 48ed49a40d09a6cf258e8bf398b9cf79
SHA1..: 1af0d1a298e2f771e0d6456be4d8b26c6a54077c
SHA256: fe52dd17544bfabc5474c8f26e48a46655a8ed9a517f9053a0c127e6264df41c
SHA512: c6050ae1a5a58b89d0fadbe1af2ba824b71c0895090f99d2e30ff7992338572a
34cf587ca2c73f79a1fd5e109cb65596bea5721d6754fec0e6733d4a57e5b96f
ssdeep: 1536:boYuh3zm7IWQIxc8URLNaFKwD9re1hqgVoOTYg3kMfjeSZ4//7OGbU2dAqt
P7A4b:boY88NUzMre1h/qqmU2dAqtP5Og
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xe5dd
timedatestamp.....: 0x464b366b (Wed May 16 16:50:51 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1a8d0 0x1b000 6.64 2975288f7853180f95fa637a4859b9cf
.rdata 0x1c000 0x4f02 0x5000 5.32 c480d610fae3979f4d2beee6f29a9779
.data 0x21000 0x59c4 0x4000 3.17 06a02f50813f3aa188ae6c783a3cdc2c
.rsrc 0x27000 0xb88 0x1000 4.36 ce109afc072b64a274bf6aa4f9df34e8

( 7 imports )
> hccutils.DLL: LoadSTRING, InitializeKeyHook, FindResources, LoadSTRINGFromHKCU
> KERNEL32.dll: GetModuleHandleA, CreateProcessA, FreeLibrary, LoadLibraryA, GetVersionExA, CloseHandle, GetLastError, InterlockedDecrement, SearchPathA, CompareFileTime, MultiByteToWideChar, WideCharToMultiByte, lstrlenW, RaiseException, InitializeCriticalSection, DeleteCriticalSection, lstrlenA, lstrcmpiA, InterlockedIncrement, GetModuleFileNameA, IsDBCSLeadByte, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, GetWindowsDirectoryA, Sleep, CreateMutexA, GetCurrentThreadId, GetCommandLineA, EnterCriticalSection, LeaveCriticalSection, FlushInstructionCache, GetCurrentProcess, GetProcAddress, GetStringTypeW, GetStringTypeA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, HeapSize, GetStdHandle, WriteFile, HeapCreate, HeapDestroy, ExitProcess, LCMapStringW, LCMapStringA, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, GetOEMCP, GetCPInfo, GetStartupInfoA, HeapReAlloc, VirtualQuery, GetSystemInfo, VirtualProtect, CompareStringA, CompareStringW, GetConsoleCP, SetEnvironmentVariableA, SetFilePointer, SetLastError, RtlUnwind, IsDebuggerPresent, FlushFileBuffers, SetUnhandledExceptionFilter, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, UnhandledExceptionFilter, TerminateProcess, LocalFree, VirtualAlloc, VirtualFree, IsProcessorFeaturePresent, HeapAlloc, GetProcessHeap, HeapFree, InterlockedCompareExchange, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale
> USER32.dll: GetKeyboardLayout, MapVirtualKeyA, GetKeyNameTextA, LoadCursorA, GetClassInfoExA, SetWindowLongA, RegisterClassA, CreateWindowExA, GetMessageA, DispatchMessageA, PeekMessageA, RegisterClassExA, CreateDialogParamA, ShowWindow, PostQuitMessage, DefWindowProcA, RegisterHotKey, GetDlgItem, GetDesktopWindow, GetWindowRect, SetWindowTextA, SendMessageA, PostThreadMessageA, CharNextA, MessageBoxA, GetCursorPos, GetWindowLongA, EnumDisplaySettingsA, wsprintfA, UnregisterClassA, CallWindowProcA, DestroyWindow, UnregisterHotKey, IsWindow
> ADVAPI32.dll: RegDeleteKeyA, RegQueryInfoKeyA, RegDeleteValueA, RegEnumKeyExA, RegSetValueExA, RegCreateKeyExA, RegOpenKeyA, RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> SHELL32.dll: ShellExecuteExA
> ole32.dll: CoRegisterClassObject, CoTaskMemFree, CoTaskMemRealloc, CoCreateInstance, CoSuspendClassObjects, StringFromGUID2, CoUninitialize, CoInitialize, CoRevokeClassObject, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set

zu iqfxpers.exe:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.15 -
AhnLab-V3 5.0.0.2 2009.05.15 -
AntiVir 7.9.0.168 2009.05.15 -
Antiy-AVL 2.0.3.1 2009.05.15 -
Authentium 5.1.2.4 2009.05.15 -
Avast 4.8.1335.0 2009.05.15 -
AVG 8.5.0.336 2009.05.15 -
BitDefender 7.2 2009.05.15 -
CAT-QuickHeal 10.00 2009.05.15 -
ClamAV 0.94.1 2009.05.15 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.15 -
eSafe 7.0.17.0 2009.05.14 -
eTrust-Vet 31.6.6507 2009.05.15 -
F-Prot 4.4.4.56 2009.05.15 -
F-Secure 8.0.14470.0 2009.05.15 -
Fortinet 3.117.0.0 2009.05.15 -
GData 19 2009.05.15 -
Ikarus T3.1.1.49.0 2009.05.15 -
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.15 -
McAfee 5616 2009.05.15 -
McAfee+Artemis 5616 2009.05.15 -
McAfee-GW-Edition 6.7.6 2009.05.15 -
Microsoft 1.4602 2009.05.15 -
NOD32 4080 2009.05.15 -
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.15 -
Panda 10.0.0.14 2009.05.15 -
PCTools 4.4.2.0 2009.05.15 -
Prevx 3.0 2009.05.15 -
Rising 21.29.44.00 2009.05.15 -
Sophos 4.41.0 2009.05.15 -
Sunbelt 3.2.1858.2 2009.05.15 -
Symantec 1.4.4.12 2009.05.15 -
TheHacker 6.3.4.1.326 2009.05.15 -
TrendMicro 8.950.0.1092 2009.05.15 -
VBA32 3.12.10.5 2009.05.15 -
ViRobot 2009.5.15.1737 2009.05.15 -
VirusBuster 4.6.5.0 2009.05.15 -
weitere Informationen
File size: 138008 bytes
MD5...: b922482fa05828762ea1fd8d24d3ad62
SHA1..: 916101fb4e5b845f63d7c902b243f7df1e5be8eb
SHA256: 5661a7d4b800f8a4e39c33c893b10bc5851f1fcb253f47e8f6bc6511ca69dbfc
SHA512: 99479b6abda254087b43d9076c293000703f5273517837009ac5d8562d222172
b64a8b7c60d8aa2c6a5803d89cb80cf9fa075a5db9a6bb3b8fc0a6f1a47b0fc2
ssdeep: 1536:Hx/m46K03jI2hooW8yw3zat6IQ6DFmhg2pwT/Hv0cKRnZ8Ut525yiv:HgHK
0TFSRu/qFmgRKRnyUt527
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xca2d
timedatestamp.....: 0x464b364c (Wed May 16 16:50:20 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x16640 0x17000 6.60 2ca0d7ea1f7ddfc7f9e7253009674e86
.rdata 0x18000 0x43b2 0x5000 4.77 9a716df13f36ca4921b97008d49778e4
.data 0x1d000 0x339c 0x2000 2.61 e79d0ed4200dd482c282818f7e2c060e
.rsrc 0x21000 0xbf0 0x1000 4.37 af73e26d71726b169d779b9c5f0d68f4

( 5 imports )
> KERNEL32.dll: WaitForSingleObject, CreateThread, lstrlenA, lstrcmpiA, InterlockedIncrement, GetModuleFileNameA, IsDBCSLeadByte, FreeLibrary, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, GetModuleHandleA, GetVersionExA, CreateEventA, Sleep, WaitForMultipleObjects, GetProcAddress, LoadLibraryA, CreateMutexA, CloseHandle, GetCommandLineA, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, FlushFileBuffers, GetConsoleMode, GetConsoleCP, SetStdHandle, SetFilePointer, LCMapStringW, LCMapStringA, GetStringTypeW, GetLastError, DeleteCriticalSection, InitializeCriticalSection, RaiseException, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, CompareFileTime, GetCurrentThreadId, InterlockedDecrement, GetStringTypeA, GetOEMCP, GetCPInfo, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, EnterCriticalSection, LeaveCriticalSection, LocalFree, RtlUnwind, HeapAlloc, HeapFree, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, HeapReAlloc, GetProcessHeap, GetStartupInfoA, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, VirtualFree, HeapDestroy, HeapCreate, ExitProcess, WriteFile, GetStdHandle, HeapSize, FreeEnvironmentStringsA
> USER32.dll: FindWindowA, UnregisterClassA, EnumDisplaySettingsA, PostThreadMessageA, ChangeDisplaySettingsExA, RegisterClassA, CreateWindowExA, ChangeDisplaySettingsA, DispatchMessageA, SetTimer, PostQuitMessage, RegisterWindowMessageA, DefWindowProcA, KillTimer, GetMessageA, SendNotifyMessageA, PostMessageA, CharNextA
> ADVAPI32.dll: RegDeleteValueA, RegOpenKeyExA, RegEnumKeyExA, RegDeleteKeyA, RegSetValueExA, RegQueryValueExA, RegCloseKey, RegCreateKeyExA, RegQueryInfoKeyA
> ole32.dll: CoUninitialize, CoCreateInstance, CoTaskMemAlloc, CoTaskMemRealloc, CoRevokeClassObject, CoInitialize, CoSuspendClassObjects, CoTaskMemFree, StringFromGUID2, CoRegisterClassObject
> OLEAUT32.dll: -, -, -, -, -, -, -, -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set

zu iqfxrvc:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.15 -
AhnLab-V3 5.0.0.2 2009.05.15 -
AntiVir 7.9.0.168 2009.05.15 -
Antiy-AVL 2.0.3.1 2009.05.15 -
Authentium 5.1.2.4 2009.05.15 -
Avast 4.8.1335.0 2009.05.15 -
AVG 8.5.0.336 2009.05.15 -
BitDefender 7.2 2009.05.15 -
CAT-QuickHeal 10.00 2009.05.15 -
ClamAV 0.94.1 2009.05.15 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.15 -
eSafe 7.0.17.0 2009.05.14 -
eTrust-Vet 31.6.6507 2009.05.15 -
F-Prot 4.4.4.56 2009.05.15 -
F-Secure 8.0.14470.0 2009.05.15 -
Fortinet 3.117.0.0 2009.05.15 -
GData 19 2009.05.15 -
Ikarus T3.1.1.49.0 2009.05.15 -
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.15 -
McAfee 5616 2009.05.15 -
McAfee+Artemis 5616 2009.05.15 -
McAfee-GW-Edition 6.7.6 2009.05.15 -
Microsoft 1.4602 2009.05.15 -
NOD32 4080 2009.05.15 -
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.15 -
Panda 10.0.0.14 2009.05.15 -
PCTools 4.4.2.0 2009.05.15 -
Prevx 3.0 2009.05.15 -
Rising 21.29.44.00 2009.05.15 -
Sophos 4.41.0 2009.05.15 -
Sunbelt 3.2.1858.2 2009.05.15 -
Symantec 1.4.4.12 2009.05.15 -
TheHacker 6.3.4.1.326 2009.05.15 -
TrendMicro 8.950.0.1092 2009.05.15 -
VBA32 3.12.10.5 2009.05.15 -
ViRobot 2009.5.15.1737 2009.05.15 -
VirusBuster 4.6.5.0 2009.05.15 -
weitere Informationen
File size: 252696 bytes
MD5...: 45209e0df290f993acdfba69911b27fb
SHA1..: 3dbe2376b047100576f28338c02ea7f44b9e2f59
SHA256: 2750d797a19b30bd986a3ea26f907fd47633e2cfc4b3c1711cc3c3e5e0d63d7d
SHA512: a5f1dbdafbcef8daae7bd821f3f85141c02d096b88b4f9aa1d88f00572d5a0b9
c6ea6fabef11993342168375915bd0030ca7b6c2397d2a7a3b2dabc1f849cdef
ssdeep: 3072:JqIVu0zL4XkbLZH3pVNdGo+CjMMY4zAg0Fu2I4+/tHX+3qNlo:JqIVZLDbL
ZH3pVN4A4MY4zAON1VX+3qI
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13092
timedatestamp.....: 0x464b3642 (Wed May 16 16:50:10 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x22c70 0x23000 6.66 3d12bf46502a994551f1682eab655e5f
.rdata 0x24000 0xb1b8 0xc000 5.38 aec97d8c883d6fa9eabf0983a951906b
.data 0x30000 0x4624 0x3000 3.96 5288c44a82659dc16105baf520250ecd
.rsrc 0x35000 0x8294 0x9000 5.43 c6582d0960439577e9db4a12e25c9e32

( 5 imports )
> KERNEL32.dll: lstrlenA, lstrcmpiA, SetEvent, CloseHandle, CreateThread, CreateEventA, InterlockedIncrement, GetModuleFileNameA, IsDBCSLeadByte, FreeLibrary, SizeofResource, LoadResource, GetLastError, LoadLibraryExA, GetModuleHandleA, Sleep, GetCurrentThreadId, GetCommandLineA, FlushFileBuffers, CreateFileA, ReadFile, DeleteCriticalSection, InitializeCriticalSection, RaiseException, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, InterlockedDecrement, CreateMutexA, WaitForSingleObject, FindResourceA, ReleaseMutex, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, LoadLibraryA, GetConsoleMode, GetConsoleCP, SetFilePointer, GetStringTypeW, GetStringTypeA, GetSystemTimeAsFileTime, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, EnterCriticalSection, LeaveCriticalSection, LocalFree, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, HeapFree, HeapAlloc, VirtualProtect, VirtualAlloc, GetProcAddress, GetSystemInfo, VirtualQuery, HeapReAlloc, GetProcessHeap, GetStartupInfoA, GetCPInfo, GetOEMCP, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, ExitProcess, WriteFile, GetStdHandle, HeapSize, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId
> USER32.dll: CharNextA, wsprintfA, PostThreadMessageA, DispatchMessageA, GetMessageA, UnregisterClassA
> ADVAPI32.dll: RegSetValueExA, RegCreateKeyExA, RegDeleteValueA, RegDeleteKeyA, RegEnumKeyExA, RegOpenKeyA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, RegQueryInfoKeyA
> ole32.dll: CoRegisterClassObject, CoTaskMemRealloc, CoTaskMemAlloc, CoCreateInstance, CoTaskMemFree, StringFromGUID2, CoUninitialize, CoInitialize, CoRevokeClassObject
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=45209e0df290f993acdfba69911b27fb' target='_blank'>http://www.threatexpert.com/report.aspx?md5=45209e0df290f993acdfba69911b27fb</a>

gruß

Alt 16.05.2009, 09:02   #12
space23
Gast
 
Rootkit.Win32.TDSS.a - Standard

Rootkit.Win32.TDSS.a



Ok Glück gehabt ich glaub ich habe die verwechselt...

Lass mich bitte nochmal in deinen HJT Log guggen.
Poste ein neues

Alt 16.05.2009, 12:31   #13
myrtille
/// TB-Ausbilder
 
Rootkit.Win32.TDSS.a - Standard

Rootkit.Win32.TDSS.a



Hi,

bitte mal folgendes abarbeiten:
Rootkitscan mit RootRepeal
  • Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
  • Entpacke die Datei auf Deinen Desktop.
  • Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
  • Klicke auf den Reiter Report und dann auf den Button Scan.
  • Mache einen Haken bei den folgenden Elementen und klicke Ok.
    .
    Drivers
    Files
    Processes
    SSDT
    Stealth Objects
    Hidden Services

    .
  • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
  • Wähle C:\ und klicke wieder Ok.
  • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
  • Wenn der Suchlauf beendet ist, klicke auf Save Report.
  • Speichere das Logfile als RootRepeal.txt auf dem Desktop.
  • Kopiere den Inhalt hier in den Thread.

Navilog1 - von IL-MAFIOSO

Bitte lade Dir Navilog1 herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 16.05.2009, 13:17   #14
space23
Gast
 
Rootkit.Win32.TDSS.a - Standard

Rootkit.Win32.TDSS.a



Ich überlasse dir den Fall ich bin nähmlich Ratlos... Danke myrtille

*Bin raus*

Alt 16.05.2009, 13:26   #15
myrtille
/// TB-Ausbilder
 
Rootkit.Win32.TDSS.a - Standard

Rootkit.Win32.TDSS.a



@space23
Normalerweise bringt derjenige der eine Bereinigung beginnt, diese auch zu Ende.
Wär schön wenn du in Zukunft gucken könntest, ob nicht bereits jemand in dem Thread geantwortet hat, bevor du deine Tipps abgibst.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu Rootkit.Win32.TDSS.a
datei, gefunde, suche, verseuchte, virus, vollständige



Ähnliche Themen: Rootkit.Win32.TDSS.a


  1. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  2. Problem nach Anti-Malware Doctor: MEM:Rootkit.Win32.TDSS.fa
    Plagegeister aller Art und deren Bekämpfung - 25.12.2010 (1)
  3. Rootkit Win32.TDss eingefangen :( (Malware)
    Plagegeister aller Art und deren Bekämpfung - 06.11.2010 (1)
  4. Rootkit.Win32.TDSS.mbr - Wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 01.11.2010 (13)
  5. rootkit.win32.tdss.d lässt sich nicht löschen oder desinfizieren!
    Plagegeister aller Art und deren Bekämpfung - 21.08.2010 (43)
  6. rootkit.win32.tdss, Automatisch erstellte Ordner in /temp, Virenmeldungen, etc.
    Log-Analyse und Auswertung - 22.06.2010 (1)
  7. HILFE bitte ich drehe durch !!!!!!! .... Virus Rootkit Win32.TDSS.d
    Plagegeister aller Art und deren Bekämpfung - 12.05.2010 (10)
  8. Rootkit.Win32.TDSS.d lässt sich nicht entfernen!
    Plagegeister aller Art und deren Bekämpfung - 12.05.2010 (15)
  9. rootkit.win32.tdss.d
    Plagegeister aller Art und deren Bekämpfung - 30.04.2010 (2)
  10. Rootkit.Win32.TDSS.d - Komme nicht mehr weiter
    Plagegeister aller Art und deren Bekämpfung - 24.04.2010 (1)
  11. rootkit.win32.tdss.d
    Plagegeister aller Art und deren Bekämpfung - 21.04.2010 (1)
  12. Rootkit.Win32.TDSS.d
    Plagegeister aller Art und deren Bekämpfung - 15.04.2010 (28)
  13. Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen !
    Plagegeister aller Art und deren Bekämpfung - 12.04.2010 (5)
  14. Rootkit.Win32.TDSS.d - und Firefox friert ein
    Plagegeister aller Art und deren Bekämpfung - 04.03.2010 (18)
  15. Virus Rootkit.Win32.TDSS.a
    Plagegeister aller Art und deren Bekämpfung - 08.07.2009 (10)
  16. 090226-Rootkit.Win32.TDSS.gwh und Systemfehler
    Plagegeister aller Art und deren Bekämpfung - 12.03.2009 (1)
  17. Rootkit win32 tdss.tbq und anschliessende Probleme mit dem Browser
    Log-Analyse und Auswertung - 02.02.2009 (13)

Zum Thema Rootkit.Win32.TDSS.a - Ich habe die vollständige Suche mit KAV ausgeführt. Es wurde einen Virus Rootkit.Win32.TDSS.a gefunden. KAV ist nicht in der Lage ihn zu desinfizieren. Ich kann auch dei verseuchte Datei nicht - Rootkit.Win32.TDSS.a...
Archiv
Du betrachtest: Rootkit.Win32.TDSS.a auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.