Win32Trojan.Tdss - lässt sich nicht entfernen

Kuss80 · 30.07.2009, 20:16

Abend,

endlich hat es geklappt und ComboFix ist nicht eingefroren.

Hier die Infos aus der Logfile:

ComboFix 09-07-29.04 - *** 30.07.2009 21:00.3.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.657 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((( Dateien erstellt von 2009-06-28 bis 2009-07-30 ))))))))))))))))))))))))))))))
.

2009-07-30 18:55 . 2009-07-30 18:55 -------- d-s---w- C:\cofi
2009-07-29 18:59 . 2009-07-29 19:00 -------- d-----w- C:\rsit
2009-07-29 17:03 . 2009-07-29 17:19 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ImgBurn
2009-07-29 16:32 . 2009-07-29 16:32 -------- d-----w- c:\programme\ImgBurn
2009-07-28 15:40 . 2009-07-28 15:40 -------- d-----w- c:\programme\CCleaner
2009-07-27 20:39 . 2009-07-03 14:49 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-07-27 20:27 . 2009-07-03 14:49 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-07-27 20:20 . 2009-07-27 20:20 200480 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-07-27 20:18 . 2009-07-27 20:18 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
2009-07-27 20:18 . 2009-07-08 17:28 2920112 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe
2009-07-27 20:17 . 2009-07-27 20:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-07-27 20:17 . 2009-07-27 20:17 -------- d-----w- c:\programme\Lavasoft
2009-07-27 20:16 . 2001-12-31 22:01 -------- d-----w- c:\windows\SxsCaPendDel
2009-07-26 22:02 . 2009-07-26 22:02 -------- d-----w- c:\programme\Astonsoft
2009-07-26 18:56 . 2009-03-02 13:02 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2009-07-26 18:47 . 2009-07-26 18:47 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Canneverbe_Limited
2009-07-26 17:47 . 2009-07-26 17:47 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nero
2009-07-24 13:23 . 2009-07-24 13:23 54784 ----a-w- c:\windows\system32\drivers\UACucyawspvus.sys
2009-07-22 17:03 . 2009-07-30 18:54 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Eraser
2009-07-22 17:02 . 2009-06-10 13:22 83344 ----a-w- c:\windows\system32\Erasext.dll
2009-07-22 17:02 . 2009-06-10 13:22 307088 ----a-w- c:\windows\system32\Eraser.dll
2009-07-22 17:02 . 2009-06-10 13:22 73104 ----a-w- c:\windows\system32\Eraserl.exe
2009-07-22 17:02 . 2009-07-22 17:02 -------- d-----w- c:\programme\Eraser
2009-07-14 19:49 . 2009-07-14 19:53 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SolidDocuments
2009-07-14 19:48 . 2009-07-14 19:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SolidDocuments
2009-07-14 19:43 . 2009-07-14 19:59 -------- d-----w- c:\programme\PDF Password Remover v3.0
2009-07-14 19:37 . 2009-07-14 19:41 -------- d-----w- c:\programme\PDF Passwort Knacker 1
2009-07-14 19:37 . 2009-07-14 19:37 80896 ----a-w- c:\windows\cadkasdeinst01.exe
2009-07-14 19:12 . 2009-07-14 20:30 -------- d-----w- c:\programme\ElcomSoft
2009-07-14 12:43 . 2009-07-22 22:19 -------- d-----w- c:\dokumente und einstellungen\***\Bücher
2009-07-08 14:05 . 2009-07-08 14:05 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-30 18:53 . 2009-02-19 21:04 1089568 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-07-30 18:53 . 2009-02-19 21:04 7948 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-07-30 18:50 . 2001-12-31 23:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-07-30 16:27 . 2009-02-19 21:04 5644832 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-07-30 16:27 . 2009-02-19 21:04 48324 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-07-30 15:56 . 2007-07-05 19:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-29 14:26 . 2001-08-18 12:00 80928 ----a-w- c:\windows\system32\perfc007.dat
2009-07-29 14:26 . 2001-08-18 12:00 451970 ----a-w- c:\windows\system32\perfh007.dat
2009-07-28 20:33 . 2007-07-05 19:05 81216 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-27 15:00 . 2009-01-03 19:52 -------- d-----w- c:\programme\PokerStars
2009-07-27 15:00 . 2008-10-18 20:53 -------- d-----w- c:\programme\Enigma Software Group
2009-07-26 12:09 . 2007-07-10 15:33 -------- d-----w- c:\programme\mIRC
2009-07-22 12:28 . 2009-02-19 21:16 208616 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-06-26 16:49 . 2001-08-18 12:00 672256 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 16:49 . 2004-08-04 07:57 81920 ------w- c:\windows\system32\ieencode.dll
2009-06-16 14:36 . 2001-08-18 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2001-08-18 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-09 18:31 . 2009-06-09 18:31 -------- d-----w- c:\programme\HD Tune Pro
2009-06-08 19:29 . 2009-06-08 19:27 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\vlc
2009-06-06 12:09 . 2009-06-06 12:09 -------- d-----w- c:\programme\DVDlabPro2
2009-06-03 19:09 . 2001-08-18 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-05-21 17:55 . 2009-02-19 21:05 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-05-21 17:55 . 2009-02-19 21:05 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-05-09 07:49 . 2008-09-29 17:27 353576 ----a-w- c:\windows\system32\msvcr71.dll
2009-05-09 07:48 . 2009-05-09 07:49 53319 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe
2009-05-09 07:48 . 2008-09-29 17:27 505128 ----a-w- c:\windows\system32\msvcp71.dll
2009-05-08 15:41 . 2009-05-08 15:41 1915520 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-05-07 15:32 . 2001-08-18 12:00 348160 ----a-w- c:\windows\system32\localspl.dll
2009-05-05 19:56 . 2009-05-05 19:56 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLbx.DAT
2001-12-31 22:03 . 2009-07-08 14:05 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
2008-10-01 03:53 . 2008-10-01 03:53 23 --sha-w- c:\windows\system32\becbbfe3_z.dll
2008-11-22 10:50 . 2007-11-25 15:05 1056 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Eraser"="c:\programme\Eraser\Eraser.exe" [2009-06-10 334224]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vistadrv"="c:\programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe" [2006-07-30 121089]
"WD Drive Manager"="c:\programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2008-05-16 430080]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-22 208616]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"RemoteControl9"="c:\programme\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-02-16 87336]
"PDVD9LanguageShortcut"="c:\programme\CyberLink\PowerDVD9\Language\Language.exe" [2008-10-13 50472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Allzeit Atomzeit.lnk - c:\programme\Allzeit Atomzeit\Atomzeit.exe [2007-4-16 77824]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="prestigeUI.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AdobeUpdater"=c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\FlashGet\\flashget.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 18:29 33808]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [27.07.2009 22:27 64160]
R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [05.07.2007 19:26 97408]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 16:49 1029456]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [17.05.2004 11:21 17280]
R2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [16.05.2008 17:12 102400]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 19:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 18:06 24592]
R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [04.10.2008 08:56 11520]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\System32\PLCMPR5.SYS --> c:\windows\System32\PLCMPR5.SYS [?]
.
Inhalt des "geplante Tasks" Ordners

2009-07-27 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-TDSSpqlt.sys

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm
IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\an0bhm57.default\
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\programme\Opera\program\plugins\nppl3260.dll
FF - plugin: c:\programme\Opera\program\plugins\nprpjplug.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.h**p.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "h**ps://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-07-30 21:06
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1860)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-07-30 21:09
ComboFix-quarantined-files.txt 2009-07-30 19:09

Vor Suchlauf: 5.512.224.768 Bytes frei
Nach Suchlauf: 5.490.393.088 Bytes frei

218 --- E O F --- 2009-07-30 02:54

Bin schon voller Spannung wie es weiter geht.

Gruß Kuss80

john.doe · 30.07.2009, 20:52

1.) Lade die Datei

Code:

ATTFilter

c:\windows\system32\drivers\UACucyawspvus.sys

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Die wird an 39 AVP/AMP-Hersteller geschickt, damit sie in Zukunft erkannt wird.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Edit: Kaspersky sieht nicht gut aus. Die hängen bei den TDSS-Varianten immer zurück.

Code:

ATTFilter

Datei UACucyawspvus.sys empfangen 2009.07.30 20:13:07 (UTC)
Status:    Beendet 
Ergebnis: 13/41 (31.71%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.07.30	Trojan.WinNT.Alureon!IK
AhnLab-V3	5.0.0.2	2009.07.30	-
AntiVir	7.9.0.236	2009.07.30	TR/Agent.54784.7
Antiy-AVL	2.0.3.7	2009.07.30	-
Authentium	5.1.2.4	2009.07.30	-
Avast	4.8.1335.0	2009.07.30	Win32:Alureon-CJ
AVG	8.5.0.387	2009.07.30	Crypt.FWO
BitDefender	7.2	2009.07.30	-
CAT-QuickHeal	10.00	2009.07.30	-
ClamAV	0.94.1	2009.07.30	-
Comodo	1813	2009.07.30	UnclassifiedMalware
DrWeb	5.0.0.12182	2009.07.30	-
eSafe	7.0.17.0	2009.07.30	-
eTrust-Vet	31.6.6648	2009.07.30	-
F-Prot	4.4.4.56	2009.07.30	-
F-Secure	8.0.14470.0	2009.07.30	-
Fortinet	3.120.0.0	2009.07.30	-
GData	19	2009.07.30	Win32:Alureon-CJ 
Ikarus	T3.1.1.64.0	2009.07.30	Trojan.WinNT.Alureon
Jiangmin	11.0.800	2009.07.30	-
K7AntiVirus	7.10.806	2009.07.30	-
Kaspersky	7.0.0.125	2009.07.30	-
McAfee	5692	2009.07.29	-
McAfee+Artemis	5692	2009.07.29	Artemis!97E7F36DC066
McAfee-GW-Edition	6.8.5	2009.07.30	Heuristic.LooksLike.Trojan.TDss.A
Microsoft	1.4903	2009.07.30	Trojan:WinNT/Alureon.D
NOD32	4292	2009.07.30	a variant of Win32/Olmarik.JR
Norman	6.01.09	2009.07.30	-
nProtect	2009.1.8.0	2009.07.30	-
Panda	10.0.0.14	2009.07.30	-
PCTools	4.4.2.0	2009.07.29	-
Prevx	3.0	2009.07.30	Medium Risk Malware
Rising	21.40.34.00	2009.07.30	-
Sophos	4.44.0	2009.07.30	-
Sunbelt	3.2.1858.2	2009.07.30	Bulk Trojan
Symantec	1.4.4.12	2009.07.30	-
TheHacker	6.3.4.3.374	2009.07.30	-
TrendMicro	8.950.0.1094	2009.07.30	-
VBA32	3.12.10.9	2009.07.30	-
ViRobot	2009.7.30.1861	2009.07.30	-
VirusBuster	4.6.5.0	2009.07.30	-
weitere Informationen
File size: 54784 bytes
MD5...: 97e7f36dc0663dc6be09c7bcf5aff384
SHA1..: 80ca1b4ce2d46d87889769b0b67eff16ed61e18f
SHA256: 6107bbde0e4b760e504d7acc111ea528bba99f18b3bee0614e1f09aa49060ce3
ssdeep: 1536:x2mDFXWsvHPwguxdy+5iqIuez/ZK4xRZx:4mDFFHUdy+50z/ZTl
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (58.5%)
Clipper DOS Executable (13.8%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.7%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x263f
timedatestamp.....: 0x4a5cbcd9 (Tue Jul 14 17:14:01 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3280 0x3400 6.43 2c0b1721a437cb7e6fa2008c1affb4be
.rdata 0x5000 0x15ac 0x1600 4.52 e8f00c769e3aa18fc8b592149b63103f
.data 0x7000 0x4404 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.ytr 0xc000 0x7000 0x6800 7.99 bc8212c51637b5450510782de2676319
.zasoc 0x13000 0x2000 0x2000 7.56 70ba3e003d18c5792f4700bf060c212c

( 3 imports ) 
> USBPORT.SYS: USBPORT_RegisterUSBPortDriver, USBPORT_GetHciMn
> HAL.DLL: KfLowerIrql, HalProcessorIdle, KeRaiseIrql
> NTOSKRNL.EXE: ZwCreateFile, ZwTerminateProcess, isspace

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=38CA04F800143FB7D64A006D4A669F0012066101' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=38CA04F800143FB7D64A006D4A669F0012066101</a>

Kuss80 · 31.07.2009, 14:45

Hallo Andreas und Co.,

hier nun die Infos des Panda Active Scan:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-07-31 15:17:49
PROTECTIONS: 1
MALWARE: 29
SUSPECTS: 5
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Kaspersky Internet Security 8.0.0.506 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00039703 Application/Pskill.A HackTools No 0 No No E:\Software\Utilities\FlyakiteOSX Transformer\FlyakiteOSXv2.exe[pskill.exe]
00055522 Eicar.Mod Virus No 0 No No E:\von_Sonstiges\Software\Sicherheit\Kaspery AV\Version 4.5.0.48\Setup\data1.cab[eicar.html]
00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@247realmedia[1].txt
00145466 Cookie/Advertising TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt]
00145466 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt]
00145466 Cookie/Advertising TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt]
00145466 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt]
00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt]
00145745 Cookie/OfferOptimizer TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a\***a\Cookies\***a@offeroptimizer[1].txt
00145745 Cookie/OfferOptimizer TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a\***a\Cookies\***a@offeroptimizer[1].txt
00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt]
00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt]
00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt]
00145745 Cookie/OfferOptimizer TrackingCookie No 0 Yes No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a\***a\Cookies\***a@offeroptimizer[1].txt
00147036 Cookie/Adverserve TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Cookies\***@adverserve[1].txt
00147051 Cookie/Exit-ad TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt]
00147051 Cookie/Exit-ad TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt]
00147051 Cookie/Exit-ad TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt]
00147051 Cookie/Exit-ad TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt]
00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@com[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@xiti[1].txt
00167747 Cookie/Azjmp TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@azjmp[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Cookies\***@ad.yieldmanager[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@serving-sys[1].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@bs.serving-sys[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Cookies\***@adtech[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt]
00169190 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt]
00169190 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt]
00169190 Cookie/Advertising TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt]
00198221 Joke/Metro Jokes No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe]
00198221 Joke/Metro Jokes No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe]
00198221 Joke/Metro Jokes No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe]
00198221 Joke/Metro Jokes No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe]
00252092 Exploit/WinampPLS HackTools No 0 Yes No D:\Filesharing\mIRC\Incoming_files\downloads\Jay-Z-The.Black.Remixes.tar
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@atwola[1].txt
00475627 Bck/Bifrose.BHN Virus/Trojan No 1 Yes No C:\WindowBlinds\V 6.01 german\Patcher.exe
00571380 Trj/PWSteal.EE Virus/Trojan No 0 Yes No C:\Programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe
00590315 Rootkit/Agent.LNB HackTools No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\drivers\cevunfd.sys.vir]
00889180 Generic Backdoor Virus/Trojan No 0 No No E:\von_Sonstiges\Software\Sicherheit\Kaspery AV\Version 4.5.0.48\Setup\data1.cab[klif.sys]
01650218 Generic Malware Virus/Trojan No 0 Yes No E:\von_Sonstiges\Software\Accessdiver\ad4103.exe
01905311 Trj/Rizalof.RV Virus/Trojan No 1 No No E:\Software\Utilities\FlyakiteOSX Transformer\FlyakiteOSXv2.exe[Delete Temp Files.exe]
01905311 Trj/Rizalof.RV Virus/Trojan No 1 No No E:\Software\Utilities\FlyakiteOSX Transformer\FlyakiteOSXv2.exe[Remove FlyakiteOSX Folder.exe]
02918065 Generic Worm Virus/Worm No 0 Yes No E:\Software\Fotografie\Corel\Paint_Shop_Pro_Photo_X2_v12.0\CR-PSP12.exe
03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UAChymvbkrbox.dll.vir]
03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACnufsevjhkl.dll.vir]
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\WINDOWS\system32\drivers\UACucyawspvus.sys
03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACytlgvruvoy.dll.vir]
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Programme\Vortex Prestige\Classes\data\extras\LSPatch.exe
03738741 Generic Malware Virus/Trojan No 0 No No D:\Software\Windows\DownloadManager\Cryptload\CryptLoad_1.1.5.rar[ocr\netload.in\asmCaptcha\test.exe]
03738741 Generic Malware Virus/Trojan No 0 Yes No C:\Downloads\cryptload\ocr\netload.in\asmCaptcha\test.exe
03899034 Generic Malware Virus/Trojan No 0 Yes No E:\System Volume Information\_restore{F2336E24-BC15-4D06-9B4F-8974CC7ADDC9}\RP205\A0036319.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location 6
;===================================================================================================================================================== ============================== 6
No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\install.exe.vir] 6
No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACtqfuiqppjd.dll.vir] 6
No D:\Software\Windows\DownloadManager\654.rar[654\MSD 0.654\Plugins\YCPlugins\usercashcom.dll] 6
No D:\Software\Windows\DownloadManager\654.rar[654\MSD 0.654\Plugins\YCPlugins\xeem.dll] 6
No D:\Software\Windows\DownloadManager\654.rar[654\MSD 0.654\Plugins\YCPlugins\xvidznet.dll] 6
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description 6
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

So, und nun mach ich mal an PrevXCSI ran.

Grüße Kuss80

Kuss80 · 31.07.2009, 15:10

Und hier noch das Ergebnis von Prevx:

Welche Aufgaben sollte ich nun als nächstes durchführen?
Vielen Dank nochmals für die bisherige Hife.

Gruß
Kuss80

john.doe · 31.07.2009, 16:44

Sorgen wir erstmal dafür, dass der Programmierer von ComboFix die Datei erhält, die übersehen wurde.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

http://www.trojaner-board.de/75830-win32trojan-tdss-laesst-sich-nicht-entfernen.html

Collect::
c:\windows\system32\drivers\UACucyawspvus.sys

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

Additional Infos:
Registry Entry Legacy_TDSSSERV.reg

Code:

ATTFilter

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_tdssserv]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_tdssserv\0000]
"Service"="TDSSserv"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="TDSSserv"
"Capabilities"=dword:00000000

[HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_tdssserv\0000\LogConf]

Registry Entry Legacy_TDSSSERV.SYS).reg

Code:

ATTFilter

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_tdssserv.sys)]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_tdssserv.sys)\0000]
"Service"="TDSSserv.sys)"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="TDSSserv.sys)"
"Capabilities"=dword:00000000

Registry Entry Service_UACd.sys

Code:

ATTFilter

REGEDIT4

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\uacd.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=hex(2):5c,73,79,73,74,65,6d,72,6f,6f,74,5c,73,79,73,74,65,6d,33,32,\
  5c,64,72,69,76,65,72,73,5c,55,41,43,6f,6d,74,74,70,64,71,6f,6d,6c,2e,73,79,\
  73,00
"group"="file system"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\uacd.sys\modules]
"UACd"="\\\\?\\globalroot\\systemroot\\system32\\drivers\\UAComttpdqoml.sys"
"UACc"="\\\\?\\globalroot\\systemroot\\system32\\UACwhospdienr.dll"
"uacbbr"="\\\\?\\globalroot\\systemroot\\system32\\UACtqfuiqppjd.dll"
"uacsr"="\\\\?\\globalroot\\systemroot\\system32\\UACqlqjsqixjk.dat"
"uacav"="\\\\?\\globalroot\\systemroot\\system32\\UACytlgvruvoy.dll"
"uacmal"="\\\\?\\globalroot\\systemroot\\system32\\UACqjgvaswxhx.db"
"uacrem"="\\\\?\\globalroot\\systemroot\\system32\\UACnufsevjhkl.dll"
"uacmask"="\\\\?\\globalroot\\systemroot\\system32\\UACrjoqmurbul.dll"
"uacserf"="\\\\?\\globalroot\\systemroot\\system32\\UAChymvbkrbox.dll"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\uacd.sys\Enum]
"0"="Root\\LEGACY_UACD.SYS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

ciao, andreas

Kuss80 · 01.08.2009, 08:42

Guten Morgen Daniel,

habe deine Instruction befolgt und hier nun die Infos der ComboFix-Logfile:

ComboFix 09-07-31.04 - Markus(s) 01.08.2009 9:23.4.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.687 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Markus(s)\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Markus(s)\Desktop\cfscript.txt
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

file zipped: c:\windows\system32\drivers\UACucyawspvus.sys
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\UACucyawspvus.sys

.
((((((((((((((((((((((( Dateien erstellt von 2009-07-01 bis 2009-08-01 ))))))))))))))))))))))))))))))
.

2009-07-31 13:49 . 2009-07-31 13:49 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-07-31 13:49 . 2009-07-31 13:49 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-07-31 13:49 . 2009-07-31 13:49 -------- d-----w- c:\programme\Prevx
2009-07-31 13:49 . 2009-07-31 13:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-07-30 20:02 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-07-30 20:01 . 2009-07-30 20:01 -------- d-----w- c:\programme\Panda Security
2009-07-28 15:40 . 2009-07-28 15:40 -------- d-----w- c:\programme\CCleaner
2009-07-27 20:39 . 2009-07-03 14:49 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-07-27 20:27 . 2009-07-03 14:49 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-07-27 20:20 . 2009-07-27 20:20 200480 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-07-27 20:18 . 2009-07-27 20:18 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
2009-07-27 20:18 . 2009-07-08 17:28 2920112 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe
2009-07-27 20:17 . 2009-07-27 20:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-07-27 20:17 . 2009-07-27 20:17 -------- d-----w- c:\programme\Lavasoft
2009-07-27 20:16 . 2001-12-31 22:01 -------- d-----w- c:\windows\SxsCaPendDel
2009-07-26 22:02 . 2009-07-26 22:02 -------- d-----w- c:\programme\Astonsoft
2009-07-26 18:56 . 2009-03-02 13:02 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2009-07-26 18:47 . 2009-07-26 18:47 -------- d-----w- c:\dokumente und einstellungen\Markus(s)\Anwendungsdaten\Canneverbe_Limited
2009-07-26 17:47 . 2009-07-26 17:47 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nero
2009-07-22 17:03 . 2009-08-01 07:19 -------- d-----w- c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Eraser
2009-07-22 17:02 . 2009-06-10 13:22 83344 ----a-w- c:\windows\system32\Erasext.dll
2009-07-22 17:02 . 2009-06-10 13:22 307088 ----a-w- c:\windows\system32\Eraser.dll
2009-07-22 17:02 . 2009-06-10 13:22 73104 ----a-w- c:\windows\system32\Eraserl.exe
2009-07-22 17:02 . 2009-07-22 17:02 -------- d-----w- c:\programme\Eraser
2009-07-14 19:49 . 2009-07-14 19:53 -------- d-----w- c:\dokumente und einstellungen\Markus(s)\Anwendungsdaten\SolidDocuments
2009-07-14 19:48 . 2009-07-14 19:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SolidDocuments
2009-07-14 19:43 . 2009-07-14 19:59 -------- d-----w- c:\programme\PDF Password Remover v3.0
2009-07-14 19:37 . 2009-07-14 19:41 -------- d-----w- c:\programme\PDF Passwort Knacker 1
2009-07-14 19:37 . 2009-07-14 19:37 80896 ----a-w- c:\windows\cadkasdeinst01.exe
2009-07-14 19:12 . 2009-07-14 20:30 -------- d-----w- c:\programme\ElcomSoft
2009-07-14 12:43 . 2009-07-22 22:19 -------- d-----w- c:\dokumente und einstellungen\Sofi\Bücher
2009-07-08 14:05 . 2009-07-08 14:05 -------- d-----w- c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Mozilla

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-01 07:07 . 2001-12-31 23:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-07-31 15:49 . 2009-02-19 21:04 7976 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-07-31 15:49 . 2009-02-19 21:04 5877792 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-07-31 15:49 . 2009-02-19 21:04 50144 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-07-31 15:49 . 2009-02-19 21:04 1097760 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-07-31 13:26 . 2008-09-28 20:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SlySoft
2009-07-30 15:56 . 2007-07-05 19:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-29 17:19 . 2009-07-29 17:03 -------- d-----w- c:\dokumente und einstellungen\Markus(s)\Anwendungsdaten\ImgBurn
2009-07-29 16:32 . 2009-07-29 16:32 -------- d-----w- c:\programme\ImgBurn
2009-07-29 14:26 . 2001-08-18 12:00 80928 ----a-w- c:\windows\system32\perfc007.dat
2009-07-29 14:26 . 2001-08-18 12:00 451970 ----a-w- c:\windows\system32\perfh007.dat
2009-07-28 20:33 . 2007-07-05 19:05 81216 ----a-w- c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-27 15:00 . 2009-01-03 19:52 -------- d-----w- c:\programme\PokerStars
2009-07-27 15:00 . 2008-10-18 20:53 -------- d-----w- c:\programme\Enigma Software Group
2009-07-26 12:09 . 2007-07-10 15:33 -------- d-----w- c:\programme\mIRC
2009-07-22 12:28 . 2009-02-19 21:16 208616 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-06-26 16:49 . 2001-08-18 12:00 672256 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 16:49 . 2004-08-04 07:57 81920 ------w- c:\windows\system32\ieencode.dll
2009-06-16 14:36 . 2001-08-18 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2001-08-18 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-09 18:31 . 2009-06-09 18:31 -------- d-----w- c:\programme\HD Tune Pro
2009-06-08 19:29 . 2009-06-08 19:27 -------- d-----w- c:\dokumente und einstellungen\Markus(s)\Anwendungsdaten\vlc
2009-06-06 12:09 . 2009-06-06 12:09 -------- d-----w- c:\programme\DVDlabPro2
2009-06-03 19:09 . 2001-08-18 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-05-21 17:55 . 2009-02-19 21:05 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-05-21 17:55 . 2009-02-19 21:05 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-05-09 07:49 . 2008-09-29 17:27 353576 ----a-w- c:\windows\system32\msvcr71.dll
2009-05-09 07:48 . 2009-05-09 07:49 53319 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe
2009-05-09 07:48 . 2008-09-29 17:27 505128 ----a-w- c:\windows\system32\msvcp71.dll
2009-05-08 15:41 . 2009-05-08 15:41 1915520 ----a-w- c:\dokumente und einstellungen\Sofi\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-05-07 15:32 . 2001-08-18 12:00 348160 ----a-w- c:\windows\system32\localspl.dll
2009-05-05 19:56 . 2009-05-05 19:56 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLbx.DAT
2001-12-31 22:03 . 2009-07-08 14:05 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
2008-10-01 03:53 . 2008-10-01 03:53 23 --sha-w- c:\windows\system32\becbbfe3_z.dll
2008-11-22 10:50 . 2007-11-25 15:05 1056 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Eraser"="c:\programme\Eraser\Eraser.exe" [2009-06-10 334224]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vistadrv"="c:\programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe" [2006-07-30 121089]
"WD Drive Manager"="c:\programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2008-05-16 430080]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-22 208616]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"RemoteControl9"="c:\programme\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-02-16 87336]
"PDVD9LanguageShortcut"="c:\programme\CyberLink\PowerDVD9\Language\Language.exe" [2008-10-13 50472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Markus(s)\Startmen�\Programme\Autostart\
Allzeit Atomzeit.lnk - c:\programme\Allzeit Atomzeit\Atomzeit.exe [2007-4-16 77824]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="prestigeUI.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSpqlt.sys]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AdobeUpdater"=c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\FlashGet\\flashget.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 18:29 33808]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [27.07.2009 22:27 64160]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [30.07.2009 22:02 28544]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [31.07.2009 15:49 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [31.07.2009 15:49 27656]
R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [05.07.2007 19:26 97408]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [31.07.2009 15:49 4368952]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [17.05.2004 11:21 17280]
R2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [16.05.2008 17:12 102400]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 19:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 18:06 24592]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 16:49 1029456]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\System32\PLCMPR5.SYS --> c:\windows\System32\PLCMPR5.SYS [?]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [04.10.2008 08:56 11520]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - PAVBOOT
.
Inhalt des "geplante Tasks" Ordners

2009-07-27 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm
IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Markus(s)\Anwendungsdaten\Mozilla\Firefox\Profiles\an0bhm57.default\
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\programme\Opera\program\plugins\nppl3260.dll
FF - plugin: c:\programme\Opera\program\plugins\nprpjplug.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "h**ps://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-08-01 09:29
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-08-01 9:32
ComboFix-quarantined-files.txt 2009-08-01 07:32
ComboFix2.txt 2009-07-30 19:09

Vor Suchlauf: 5.424.787.456 Bytes frei
Nach Suchlauf: 5.383.782.400 Bytes frei

228 --- E O F --- 2009-07-30 02:54
Hochladen war erfolgreich

Gruß Kuss80

john.doe · 01.08.2009, 12:33

Da ist ein Fund von Panda, der eigentlich das Aus bedeutet:

Code:

ATTFilter

Bck/Bifrose.BHN Virus/Trojan No 1 Yes No C:\WindowBlinds\V 6.01 german\Patcher.exe

Um sicher zu gehen, dass das keine Falschmeldung von Panda ist, lade die Datei bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Hast du die Datei jemals gestartet oder nur in Jäger- und Sammlermanier geladen?

Lies, mit wem du es zu tun hast => Bifrost (trojan horse) - Wikipedia, the free encyclopedia

ciao, andreas

Kuss80 · 02.08.2009, 09:34

Hallo Daniel,

die gewünschte Datei wurde hochgeladen.

Die Datei wurde meines Erachtens nie ausgeführt, kann mich zumindest nicht daran erinnern.

Wie soll ich denn nun weiterverfahren?

Gruß Kuss80

john.doe · 02.08.2009, 10:29

Mh, Bifrost ist es nicht, aber das Ergebnis reicht dafür =>

Du musst mir versprechen in Zukunft die Hände von Keygens, Cracks, Patches und Ähnlichen zu lassen. Nur dann geht es hier weiter. Das gilt auch für die Anderen, die den Rechner benutzen.

Ich werde jetzt rigoros aufräumen.

1.) Deinstalliere:

Ad-Aware
Eraser 5.8.7
Opera 9.62
Panda Active Scan
PrevxCSI
Spybot

2.) Installiere (Toolbars immer abwählen, Haken weg):

Opera browser: Homepage

3.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
Lbd
pavboot
pxscan
pxsec
CSIScanner
Lavasoft Ad-Aware Service
catchme
Bonjour Service

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSpqlt.sys]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
"Eraser"=-
"SpybotSD TeaTimer"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - StylerToolBar - C:\Programme\Vortex Prestige\Classes\data\prog\Styler\TB\StylerTB.dll [2006-05-02 102400]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowBlinds]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSpqlt.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSpqlt.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"C:\Programme\uTorrent\uTorrent.exe"=-
"C:\Programme\Bonjour\mDNSResponder.exe"=-
"C:\WINDOWS\system32\drivers\svchost.exe"=-

File::
c:\windows\Tasks\Ad-Aware Update (Weekly).job
c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\cadkasdeinst01.exe
c:\windows\system32\Erasext.dll
c:\windows\system32\Eraser.dll
c:\windows\system32\Eraserl.exe
c:\windows\system32\drivers\Lbd.sys
c:\windows\system32\lsdelete.exe
c:\windows\system32\drivers\pavboot.sys
c:\windows\system32\drivers\pxsec.sys
c:\windows\system32\drivers\pxscan.sys
D:\Software\Windows\DownloadManager\654.rar
C:\Programme\Vortex Prestige\Classes\data\extras\LSPatch.exe

Folder::
c:\programme\Prevx
c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
c:\programme\Panda Security
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
C:\Programme\uTorrent
E:\Software\Fotografie\Corel\Paint_Shop_Pro_Photo_ X2_v12.0
E:\Software\Utilities\FlyakiteOSX Transformer
E:\von_Sonstiges\Software\Accessdiver
C:\WindowBlinds
D:\Filesharing
C:\rsit
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
c:\programme\Lavasoft
c:\windows\SxsCaPendDel
c:\Programme\Bonjour
c:\dokumente und einstellungen\Sofi\Anwendungsdaten\Macromedia
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\programme\PDF Passwort Knacker 1
c:\programme\PDF Password Remover v3.0
c:\programme\Eraser
c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Eraser

SysRst::

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Das Log wird sehr groß. Lade es bei einem Filehoster hoch (z.B. www.materialordner.de) und poste hier den Link.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Kuss80 · 02.08.2009, 10:59

Hallo Andreas,

ich verspreche zukünftig die Hände von Keygens, Cracks, Patches und Ähnlichen zu lassen.
Für mich ist es wichtiger zu wissen, dass man sich sicher im WorldWideWeb bewegt!

Dann werde ich mich mal an die von dir genannten Schritte ranmachen.
Werde dann anschließend den link der Logfile posten.

Gruß Kuss80

Kuss80 · 02.08.2009, 13:31

Hallo Andreas,

ich habe 1.), 2.) und 3.) durchgeführt, jedoch ist ComboFix bei "Starte Windows neu ... Bitte warten" mal wieder eingefroren.

Sollte ich evtl. nochmals eine neue ComboFix-Datei auf den Desktop speichern und nochmals ohne cfscript.txt ausführen?

Gruß Kuss80

john.doe · 02.08.2009, 13:44

Packe bitte den Ordner c:\combofix mit Zip oder Rar, lade ihn bei einem Filehoster hoch und poste den Link.

Zitat:

Sollte ich evtl. nochmals eine neue ComboFix-Datei auf den Desktop speichern und nochmals ohne cfscript.txt ausführen?

Neue laden ja, ohne Script nein.

ciao, andreas

Kuss80 · 02.08.2009, 13:55

OK, einen Ordner c:\combofix gibt es bei mir nicht.
Meinst du evtl. c:\Qoobox???

Eine neue ComboFix lade ich mir dann mal auf den Desktop und führe erst einmal nichts aus.

Gruß Kuss80

john.doe · 02.08.2009, 14:02

Ich brauche unbedingt die Logs um zu sehen, warum ComboFix nicht will. Das machen wir jetzt ganz anders.

Erstelle ein Filelisting.

Lade die Datei listing1.bat auf deinen Desktop
Doppelklicke auf listing1.bat
Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. www.materialordner.de) hochladen und hier den Link posten.

ciao, andreas

john.doe · 02.08.2009, 15:31

Packe die Ordner

Zitat:

c:\cofi.exe
c:\cofi

mit Zip oder Rar, lade sie bei einem Filehoster hoch und poste hier den/die Links.

ciao, andreas

Win32Trojan.Tdss - lässt sich nicht entfernen

Plagegeister aller Art und deren Bekämpfung: Win32Trojan.Tdss - lässt sich nicht entfernen