Win32Trojan.Tdss - lässt sich nicht entfernen

Kuss80 · 02.08.2009, 15:50

Hier nund die links zu den gewünschten Dateien:

cofi

cofi.exe

Grüße

john.doe · 02.08.2009, 16:14

OK, jetzt ist es klar. Du hast sie in cofi.exe.exe umbenannt. Lösche die Ordner:

Code:

ATTFilter

c:\cofi
c:\cofi.exe

Führe anschließend das Script nocheinmal aus.

ciao, andreas

Kuss80 · 02.08.2009, 19:25

Habe mir ne neue ComboFix ohne umzubenennen auf den Desktop geladen und das gepostete Script (cfscript.txt) daraufgezogen.

Wie bereits gehabt, hat sich ComboFix bei "Starte Windows neu ... Bitte warten" aufgehängt.
Kann es sein, dass am Inhalt des Scripts liegt, da die gewünschten Befehle bereits beim ersten Mal durchgeführt und die Dateien darin nicht mehr vorhanden sind?

Gruß Kuss80

john.doe · 02.08.2009, 19:34

Lass ihn nochmal ohne Script durchlaufen, dann sehe ich das.

ciao, andreas

Kuss80 · 02.08.2009, 22:01

Der Weg hat leider auch kein Erfolg gebracht.
An der gleichen Stelle wieder eingefroren.

Irgendwas muss den Neustart von ComboFix stören.

Was meinst du Andreas, sollten wir nochmals einen der anderen Schritte vorher durchführen?

Gruß Kuss80

john.doe · 02.08.2009, 22:14

Wenn ComboFix partout nicht will, dann machen wir das halt anders.

1.) Lade dir den Anhang auf deinen Desktop, starte ihn mit Doppelklick, klicke auf Ja und lösche die Datei.

2.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Drivers to delete:
Lbd
pavboot
pxscan
pxsec
CSIScanner
Lavasoft Ad-Aware Service
catchme
Bonjour Service

Files to delete:
c:\windows\Tasks\Ad-Aware Update (Weekly).job
c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\cadkasdeinst01.exe
c:\windows\system32\Erasext.dll
c:\windows\system32\Eraser.dll
c:\windows\system32\Eraserl.exe
c:\windows\system32\drivers\Lbd.sys
c:\windows\system32\lsdelete.exe
c:\windows\system32\drivers\pavboot.sys
c:\windows\system32\drivers\pxsec.sys
c:\windows\system32\drivers\pxscan.sys
D:\Software\Windows\DownloadManager\654.rar
C:\Programme\Vortex Prestige\Classes\data\extras\LSPatch.exe

Folders to delete:
c:\programme\Prevx
c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
c:\programme\Panda Security
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
C:\Programme\uTorrent
E:\Software\Fotografie\Corel\Paint_Shop_Pro_Photo_ X2_v12.0
E:\Software\Utilities\FlyakiteOSX Transformer
E:\von_Sonstiges\Software\Accessdiver
C:\WindowBlinds
D:\Filesharing
C:\rsit
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
c:\programme\Lavasoft
c:\windows\SxsCaPendDel
c:\Programme\Bonjour
c:\dokumente und einstellungen\Sofi\Anwendungsdaten\Macromedia
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\programme\PDF Passwort Knacker 1
c:\programme\PDF Password Remover v3.0
c:\programme\Eraser
c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Eraser

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Kuss80 · 03.08.2009, 15:43

Hallo Andreas,

hat alles soweit funktioniert.

Hier die Infos:

Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\Lbd" not found!
Deletion of driver "Lbd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\pavboot" not found!
Deletion of driver "pavboot" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\pxscan" not found!
Deletion of driver "pxscan" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\pxsec" not found!
Deletion of driver "pxsec" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\CSIScanner" not found!
Deletion of driver "CSIScanner" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\Lavasoft Ad-Aware Service" not found!
Deletion of driver "Lavasoft Ad-Aware Service" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\catchme" not found!
Deletion of driver "catchme" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\Bonjour Service" not found!
Deletion of driver "Bonjour Service" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\Tasks\Ad-Aware Update (Weekly).job" not found!
Deletion of file "c:\windows\Tasks\Ad-Aware Update (Weekly).job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT" deleted successfully.

Error: file "c:\windows\system32\perfc007.dat" not found!
Deletion of file "c:\windows\system32\perfc007.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\perfh007.dat" not found!
Deletion of file "c:\windows\system32\perfh007.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\cadkasdeinst01.exe" not found!
Deletion of file "c:\windows\cadkasdeinst01.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\Erasext.dll" not found!
Deletion of file "c:\windows\system32\Erasext.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\Eraser.dll" not found!
Deletion of file "c:\windows\system32\Eraser.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\Eraserl.exe" not found!
Deletion of file "c:\windows\system32\Eraserl.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\drivers\Lbd.sys" not found!
Deletion of file "c:\windows\system32\drivers\Lbd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\lsdelete.exe" not found!
Deletion of file "c:\windows\system32\lsdelete.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\drivers\pavboot.sys" not found!
Deletion of file "c:\windows\system32\drivers\pavboot.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\drivers\pxsec.sys" not found!
Deletion of file "c:\windows\system32\drivers\pxsec.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\drivers\pxscan.sys" not found!
Deletion of file "c:\windows\system32\drivers\pxscan.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "D:\Software\Windows\DownloadManager\654.rar" not found!
Deletion of file "D:\Software\Windows\DownloadManager\654.rar" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Programme\Vortex Prestige\Classes\data\extras\LSPatch.exe" not found!
Deletion of file "C:\Programme\Vortex Prestige\Classes\data\extras\LSPatch.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\programme\Prevx" not found!
Deletion of folder "c:\programme\Prevx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI" not found!
Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\programme\Panda Security" not found!
Deletion of folder "c:\programme\Panda Security" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}" not found!
Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "C:\Programme\uTorrent" not found!
Deletion of folder "C:\Programme\uTorrent" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "E:\Software\Fotografie\Corel\Paint_Shop_Pro_Photo_ X2_v12.0" not found!
Deletion of folder "E:\Software\Fotografie\Corel\Paint_Shop_Pro_Photo_ X2_v12.0" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "E:\Software\Utilities\FlyakiteOSX Transformer" not found!
Deletion of folder "E:\Software\Utilities\FlyakiteOSX Transformer" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "E:\von_Sonstiges\Software\Accessdiver" not found!
Deletion of folder "E:\von_Sonstiges\Software\Accessdiver" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "C:\WindowBlinds" not found!
Deletion of folder "C:\WindowBlinds" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "D:\Filesharing" not found!
Deletion of folder "D:\Filesharing" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "C:\rsit" not found!
Deletion of folder "C:\rsit" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft" not found!
Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\programme\Lavasoft" not found!
Deletion of folder "c:\programme\Lavasoft" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\windows\SxsCaPendDel" not found!
Deletion of folder "c:\windows\SxsCaPendDel" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\Programme\Bonjour" not found!
Deletion of folder "c:\Programme\Bonjour" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\dokumente und einstellungen\Sofi\Anwendungsdaten\Macromedia" not found!
Deletion of folder "c:\dokumente und einstellungen\Sofi\Anwendungsdaten\Macromedia" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy" not found!
Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\programme\PDF Passwort Knacker 1" not found!
Deletion of folder "c:\programme\PDF Passwort Knacker 1" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\programme\PDF Password Remover v3.0" not found!
Deletion of folder "c:\programme\PDF Password Remover v3.0" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\programme\Eraser" not found!
Deletion of folder "c:\programme\Eraser" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Eraser" not found!
Deletion of folder "c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Eraser" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Bis auf einen Prozess hat wohl ComboFix schon alles beseitigt gehabt.

Und nun, was soll ich als nächstes tun?
(Evtl. ComboFix noch einmal versuchen?)

Danke und Gruß
Kuss80

Win32Trojan.Tdss - lässt sich nicht entfernen

Plagegeister aller Art und deren Bekämpfung: Win32Trojan.Tdss - lässt sich nicht entfernen