Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.08.2009, 23:10   #1
no_rootkit
 
Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Standard

Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys



Hallo meine Lieben,

ich bin neue hier, ein absoluter Noob und wende mich gleich mit einem Problem an Euch. Ich weiss, völlig schockierend und total unerwartet...

Zur Sachlage:

Im Dezember letzten Jahres habe ich mir aus eigener Doofheit und Unaufmerksamkeit ein fake Antivirenprogramm heruntergeladen, Antivirus 2008 oder so ähnlich. Ich wurde von Google falsch umgeleitet, konnte Webseiten von bekannten Antivirusprogrammen nicht mehr ansteuern, Virenscan (Antivir Personal Edition) ausgefallen, Meldungen über Maleware vom fake Programm und eine verzogene Bildschirmanzeige. Mit Hilfe eines Threads hier, der ein ähnliches Problem behandelte, habe ich das fake Programm vom Rechner bekommen ( HiJackThis, Malewarebytes und später mehrere Antivir Scans). Dachte ich jedenfalls....

Gestern habe ich aus Interesse Gmer über mein System laufen lassen. Der Logfile hat aber einige Einträge in der Registry angezeigt, die auf das rootkit tdssserv.sys hindeuten oder Reste davon.

CCleaner wurde ausgeführt. Zur Erklärung: E: ist die Windows Platte und C: ist die Festplatte mit meinen Daten.

An dieser Stelle bin ich mit meinem Latein am Ende und bitte Euch um Hilfe.

Hier das aktuelle HiJackThis- Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:28:57, on 07.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Avira\AntiVir Desktop\sched.exe
E:\WINDOWS\CTHELPER.EXE
E:\Programme\Avira\AntiVir Desktop\avgnt.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Secunia\PSI\psi.exe
E:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Tobit ClipInc\Server\ClipInc-Server.exe
E:\Programme\CDBurnerXP\NMSAccessU.exe
E:\Dokumente und Einstellungen\****\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [PrintServer Diagnostic] E:\Programme\Print Server\PTP\PSDiagnostic.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - Startup: Secunia PSI.lnk = E:\Programme\Secunia\PSI\psi.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet universal\ComDlls\Bholink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} - http://www.creative.com/su/ocx/15031/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://www.creative.com/su/ocx/15033/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129
O17 - HKLM\System\CS3\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: NMSAccessU - Unknown owner - E:\Programme\CDBurnerXP\NMSAccessU.exe

--
End of file - 4435 bytes


Und der Bericht von Malewarebytes gleich hinterher:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2573
Windows 5.1.2600 Service Pack 3

07.08.2009 23:26:19
mbam-log-2009-08-07 (23-26-19).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 117741
Laufzeit: 55 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Malewarebytes findet nichts und auch die Virenscans der letzten Monate sind unaufällig. Der Computer läuft, zeigt keine Auffäligkeiten und alle Updates gehen ohne Murren durch.

Zu guter Letzt kopieren ich Euch noch das Gmer- Log herein mit den aufälligen Registy-Einträgen:

GMER 1.0.15.15011 [pkzzlw3f.exe] - http://www.gmer.net
Rootkit scan 2009-08-07 16:02:25
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT F7CC68FE ZwCreateKey
SSDT F7CC68F4 ZwCreateThread
SSDT F7CC6903 ZwDeleteKey
SSDT F7CC690D ZwDeleteValueKey
SSDT F7CC6912 ZwLoadKey
SSDT F7CC68E0 ZwOpenProcess
SSDT F7CC68E5 ZwOpenThread
SSDT F7CC691C ZwReplaceKey
SSDT F7CC6917 ZwRestoreKey
SSDT F7CC6908 ZwSetValueKey
SSDT F7CC68EF ZwTerminateProcess

INT 0x01 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F72D84F6
INT 0x03 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F72D859C

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION C1F2C950F51055F5EEA2EDDAE1FA1FA5294D3F4863307B9C1F58C2F3444741FE69FBD929CEEB56D7B43CC5A6B98AB2887EC133F6B1C67984DBF55D9068431CDDDA74344F363D969FE549A4 34CDEEAEFD41085F7C804E515194233B060E93F26289A3240307118B876DA79600C25A1B8CF6B0AEB45CBF3B7807C54B2DCB154F910A66B73C81CAB2FEBC9E127BECC74CFEBC9E127BECC7 4CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6A0AC4980AC7933A9C6AECB7A5D14079DB7CE019D40AA5CF3C39CE44FCDC7210701 5ACF21BC12CD7B4933BFA4D84B505C1FC0135503FB18B0D926CDC29BBAC28C04084D90A5415167C04700327CD2EB504A15B70414FE3DE17B51072F4C9A5796E7BCB2DBCFA9A5610AF72AB9 8E78F8987BD61DCF361D9DB53FFA1524CE3CFDE19D4BA3B054A6DDCF0EB025A5EEB79B6A31A48B7E341A8C4EDD17BF6776C7DE1DB69C0BF0ADE3918F57EA1C9563657C6E922F8F8B3990E3 C136AB946FF83AA1E8E82A1730BBE45BF017B77CD99328C441E63B7828D7E9FE1949D267EAF1E374DE9183393A41FDD8B6A03BFBFB0CFAA7F39B23DAB60666BFD33EBA49B9DDE90A09AECB 2A0BE55BAD1A6AAF9034BCAAD50DC1D38FCE9B1A8A635EA496EE214517E6E23C6055B4F700C6135E74F1FADC87048D4D313C586D472D9668E95500C255E
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

---- EOF - GMER 1.0.15 ----

Es geht um die rot gefärbten Einträge. Was bedeuten diese Einträge? Ist das ein Rootkit oder sind das die Reste des Rootkits? Verwaiste Einträge? Habe ich eine Fehler gemacht und wenn ja wo? Oder sehe ich gerade den Wald vor lauter Bäumen nicht?

Ich hoffe ihr könnt mir ein wenig weiterhelfen und mir vielleicht erklären, was ich da genau sehe und wie ich es wegbekomme. Mit anderen Worten: "Ich bin ein Noob holt mich hier raus!" (Sorry, habs mir nicht verkneifen können! )

Alt 07.08.2009, 23:27   #2
john.doe
 
Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Standard

Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys



Hallo und

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Registry keys to delete:
HKLM\SYSTEM\ControlSet002\Services\TDSSserv
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log.

3.) Poste beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html

4.) http://www.trojaner-board.de/51871-a...tispyware.html (Punkt 1-3 der Anleitung)

ciao, andreas
__________________

__________________

Alt 08.08.2009, 00:28   #3
no_rootkit
 
Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Standard

Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys



Vielen Danke das du dir mein Problem einmal ansiehst Andreas.

Ich werde mich dann mal daran machen die Liste abzuarbeiten, könnte allerdings bis morgen Mittag dauern.

Vielen Dank nochmal und eine gute Nacht!

Liebe Grüße Sonja
__________________

Alt 08.08.2009, 14:21   #4
no_rootkit
 
Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Standard

Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys



So, da bin ich wieder, schwer beladen mit Logs.

1.) Avenger habe ich ausgeführt. Hier das Endergebnis:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at E:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKLM\SYSTEM\ControlSet002\Services\TDSSserv" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

2.) Danach ein neues GMer-Log.

GMER 1.0.15.15011 [pkzzlw3f.exe] - http://www.gmer.net
Rootkit scan 2009-08-08 02:16:25
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT F7CA4F16 ZwCreateKey
SSDT F7CA4F0C ZwCreateThread
SSDT F7CA4F1B ZwDeleteKey
SSDT F7CA4F25 ZwDeleteValueKey
SSDT F7CA4F2A ZwLoadKey
SSDT F7CA4EF8 ZwOpenProcess
SSDT F7CA4EFD ZwOpenThread
SSDT F7CA4F34 ZwReplaceKey
SSDT F7CA4F2F ZwRestoreKey
SSDT F7CA4F20 ZwSetValueKey
SSDT F7CA4F07 ZwTerminateProcess

INT 0x01 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F72D84F6
INT 0x03 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F72D859C

---- Kernel code sections - GMER 1.0.15 ----

? spnwa.sys Das System kann die angegebene Datei nicht finden. !

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION C1F2C950F51055F5EEA2EDDAE1FA1FA5294D3F4863307B9C1F58C2F3444741FE69FBD929CEEB56D7B43CC5A6B98AB2887EC133F6B1C67984DBF55D9068431CDDDA74344F363D969FE549A4 34CDEEAEFD41085F7C804E515194233B060E93F26289A3240307118B876DA79600C25A1B8CF6B0AEB45CBF3B7807C54B2DCB154F910A66B73C81CAB2FEBC9E127BECC74CFEBC9E127BECC7 4CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6A0AC4980AC7933A9C6AECB7A5D14079DB7CE019D40AA5CF3C39CE44FCDC7210701 5ACF21BC12CD7B4933BFA4D84B505C1FC0135503FB18B0D926CDC29BBAC28C04084D90A5415167C04700327CD2EB504A15B70414FE3DE17B51072F4C9A5796E7BCB2DBCFA9A5610AF72AB9 8E78F8987BD61DCF361D9DB53FFA1524CE3CFDE19D4BA3B054A6DDCF0EB025A5EEB79B6A31A48B7E341A8C4EDD17BF6776C7DE1DB69C0BF0ADE3918F57EA1C9563657C6E922F8F8B3990E3 C136AB946FF83AA1E8E82A1730BBE45BF017B77CD99328C441E63B7828D7E9FE1949D267EAF1E374DE9183393A41FDD8B6A03BFBFB0CFAA7F39B23DAB60666BFD33EBA49B9DDE90A09AECB 2A0BE55BAD1A6AAF9034BCAAD50DC1D38FCE9B1A8A635EA496EE214517E6E23C6055B4F700C6135E74F1FADC87048D4D313C586D472D9668E95500C255E
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

---- EOF - GMER 1.0.15 ----

3.) Und hier noch die weiteren Angaben zu meinem System. Vielleicht sollte ich als Ergänzung noch hinzufügen, dass die E: Platte meines Systems partioniert ist. Ich habe einmal Windows laufen und als Backup für Notfälle Ubunto. Also zwei Betriebsysteme, falls du dich eventuell über fehlenden Speicherplatz wunderst.

Erstmal die info.txt (uninstall list):

info.txt logfile of random's system information tool 1.06 2009-08-08 02:20:24

======Uninstall list======

-->RunDll32 E:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "E:\Programme\InstallShield Installation Information\{7B9AE66C-2A8F-4FB2-85D7-416AFFAE8408}\setup.exe" -l0x7
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 E:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->E:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1.3 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
ATI - Software Uninstall Utility-->E:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Display Driver-->rundll32 E:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean
AusLogics Disk Defrag-->"E:\Programme\Auslogics\AusLogics Disk Defrag\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->E:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
CCleaner (remove only)-->"E:\Programme\CCleaner\uninst.exe"
CDBurnerXP-->"E:\Programme\CDBurnerXP\unins000.exe"
Creative-Audiokonsole-->RunDll32 E:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "E:\Programme\InstallShield Installation Information\{7B9AE66C-2A8F-4FB2-85D7-416AFFAE8408}\setup.exe" -l0x7 /remove
Eraser-->"E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}\EraserSetup32.exe" REMOVE=TRUE MODIFY=FALSE
Eraser-->E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}\EraserSetup32.exe
FlashGet 2.0-->C:\Programme\FlashGet universal\uninst.exe
HijackThis 2.0.2-->"E:\Dokumente und Einstellungen\Sister\Desktop\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->E:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->E:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
Malwarebytes' Anti-Malware-->"E:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU-->MsiExec.exe /I{9309DD7E-EBFE-3C95-8B47-30D3A012F606}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU-->MsiExec.exe /I{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack - DEU-->E:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack - deu-->MsiExec.exe /I{1545207E-C6F3-31D7-9918-BDBB65075FBF}
Microsoft .NET Framework 3.5 SP1-->E:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.5.2)-->E:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.22)-->E:\Programme\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML4 Parser-->MsiExec.exe /I{01501EBA-EC35-4F9F-8889-3BE346E5DA13}
PDFCreator-->E:\Programme\PDFCreator\unins000.exe
Print Server Driver-->E:\WINDOWS\IsUninst.exe -f"E:\Programme\Print Server\PTP\Uninst.isu"
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Real Alternative 1.9.0-->"C:\Programme\Real Alternative\unins000.exe"
Secunia PSI-->"E:\Programme\Secunia\PSI\uninstall.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"E:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"E:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"E:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"E:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)-->"E:\WINDOWS\ie7updates\KB972260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"E:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->E:\WINDOWS\system32\MacroMed\Flash\genuinst.exe E:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB952004)-->"E:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"E:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"E:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"E:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"E:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"E:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"E:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"E:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"E:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"E:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"E:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"E:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Tobit.Software clipinc.fx-->E:\WINDOWS\CISUnins.exe "C:\Tobit ClipInc\Server\CISUnins.inf"
Trillian-->C:\Programme\Trillian\trillian.exe /uninstall
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->E:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VLC media player 0.9.8a-->C:\Programme\VLC\uninstall.exe
Winamp-->"E:\Programme\Winamp\UninstWA.exe"
Windows Media Format 11 runtime-->"E:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 11-->"E:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
WinRAR-->E:\Programme\WinRAR\uninstall.exe
XML Paper Specification Shared Components Language Pack 1.0-->"E:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
XP-Clean Speed-->MsiExec.exe /I{E5ADAEB8-000D-428B-A2A7-C43A789D4705}

======Security center information======

AV: AntiVir Desktop (disabled)

======System event log======

Computer Name:****SYSTEM
Event Code: 17
Message: AVGNTFLT successfully loaded

Record Number: 15843
Source Name: avgntflt
Time Written: 20090622122036.000000+120
Event Type: Informationen
User:

Computer Name: ***SYSTEM
Event Code: 45062
Message: CRT invalid display type

Record Number: 15842
Source Name: ati2mtag
Time Written: 20090622122036.000000+120
Event Type: Fehler
User:

Computer Name: ***SYSTEM
Event Code: 26
Message: Anwendungspopup: : Machine Check: Regs

Record Number: 15841
Source Name: Application Popup
Time Written: 20090622122036.000000+120
Event Type: Informationen
User:

Computer Name: ***SYSTEM
Event Code: 26
Message: Anwendungspopup: : Machine Check:

Record Number: 15840
Source Name: Application Popup
Time Written: 20090622122036.000000+120
Event Type: Informationen
User:

Computer Name: ***SYSTEM
Event Code: 26
Message: Anwendungspopup: : Machine Check: Regs

Record Number: 15839
Source Name: Application Popup
Time Written: 20090622122036.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: ***SYSTEM
Event Code: 105
Message: The service was started.

Record Number: 13165
Source Name: ATI Smart
Time Written: 20090227170449.000000+060
Event Type: Informationen
User:

Computer Name: ***SYSTEM
Event Code: 100
Message: Recording on slot 0 started at 14:03:53 27.02.2009


Record Number: 13164
Source Name: ClipInc 001
Time Written: 20090227140353.000000+060
Event Type: Informationen
User:

Computer Name: ***SYSTEM
Event Code: 100
Message: Capture for slot 0 started at 14:03:53 27.02.2009


Record Number: 13163
Source Name: ClipInc 001
Time Written: 20090227140353.000000+060
Event Type: Informationen
User:

Computer Name: ***SYSTEM
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 13162
Source Name: Avira AntiVir
Time Written: 20090227140347.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***SYSTEM
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 13161
Source Name: SecurityCenter
Time Written: 20090227140347.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;E:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 4 Stepping 4, AuthenticAMD
"PROCESSOR_REVISION"=0404
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;E:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=E:\Programme\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

Für die anderen Log mache ich einen neuen Beitrag. tbc...

Alt 08.08.2009, 14:25   #5
no_rootkit
 
Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Standard

Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys



Wie angedroht hier nun die letzten Log-Datein,


beginnend mit dem zweite Log von RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by **** at 2009-08-08 02:20:18
Microsoft Windows XP Professional Service Pack 3
System drive E: has 480 MB (8%) free of 6 GB
Total RAM: 767 MB (62% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:20:22, on 08.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Avira\AntiVir Desktop\sched.exe
E:\Programme\Print Server\PTP\PSDiagnostic.exe
E:\WINDOWS\CTHELPER.EXE
E:\Programme\Avira\AntiVir Desktop\avgnt.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Avira\AntiVir Desktop\avguard.exe
E:\Programme\CDBurnerXP\NMSAccessU.exe
E:\WINDOWS\system32\wscntfy.exe
C:\Programme\Adobe Reader\Reader\AcroRd32Info.exe
E:\Dokumente und Einstellungen\Sister\Desktop\RSIT.exe
E:\Dokumente und Einstellungen\Sister\Desktop\Sister.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [PrintServer Diagnostic] E:\Programme\Print Server\PTP\PSDiagnostic.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - Startup: Secunia PSI.lnk = E:\Programme\Secunia\PSI\psi.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet universal\ComDlls\Bholink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} - http://www.creative.com/su/ocx/15031/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://www.creative.com/su/ocx/15033/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: NMSAccessU - Unknown owner - E:\Programme\CDBurnerXP\NMSAccessU.exe

--
End of file - 4418 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1F364306-AA45-47B5-9F9D-39A8B94E7EF1}]
FG2CatchUrl - C:\Programme\FlashGet universal\ComDlls\bhoCATCH.dll [2008-08-19 104016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - E:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-09 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"PrintServer Diagnostic"=E:\Programme\Print Server\PTP\PSDiagnostic.exe [2004-11-24 266240]
"CTHelper"=E:\WINDOWS\CTHELPER.EXE [2006-08-11 17920]
"CTxfiHlp"=E:\WINDOWS\system32\CTXFIHLP.EXE [2006-08-11 18944]
"avgnt"=E:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe Reader\Reader\Reader_sl.exe [2009-02-27 35696]
"KernelFaultCheck"=E:\WINDOWS\system32\dumprep 0 -k []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=E:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"ClipIncSrvTray"=C:\Tobit ClipInc\Player\ClipIncTray.exe [2009-03-16 668424]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe Reader\Reader\Reader_sl.exe [2009-02-27 35696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]
E:\Programme\Eraser\Eraser.exe [2007-12-23 916240]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
E:\Programme\QuickTime\QTTask.exe [2009-05-26 413696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
E:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3
"ose"=3
"O&O Defrag"=2
"JavaQuickStarterService"=2
"getPlus(R) Helper"=3
"ATI Smart"=2
"Ati HotKey Poller"=2

E:\Dokumente und Einstellungen\Sister\Startmenü\Programme\Autostart
Secunia PSI.lnk - E:\Programme\Secunia\PSI\psi.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
E:\WINDOWS\system32\Ati2evxx.dll [2007-12-05 122880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
E:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - E:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispScrSavPage"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1


4.) Dann hast du mir noch geschrieben, das ich die Punkt 1-3 bei SuperAnitSpyware abarbeiten soll. Ich habe alle Einstellungen aus eurer Anleitung übernommen und den Scan gestartet. Beim ersten Versuch hat der Scan tdsserv.sys entdeckt, danach ist der PC eingefroren. Ich musste reseten. Der zweite Versuch ging ohne Proleme unddas Endergenis ist dieses schöne Log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/08/2009 at 03:56 AM

Application Version : 4.27.1002

Core Rules Database Version : 4045
Trace Rules Database Version: 1985

Scan type : Complete Scan
Total Scan Time : 00:49:50

Memory items scanned : 410
Memory threats detected : 0
Registry items scanned : 4629
Registry threats detected : 2
File items scanned : 29077
File threats detected : 0

Rootkit.TDSServ
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSSserv.sys

Zum Zwischenstand:

TDSServ liegt in der Quarantäne. Wie geht es nun weiter? Kann ich es endgültig von meinem System löschen? Was meinst du?

*hilfesuchenden anschaut*


Alt 08.08.2009, 16:34   #6
john.doe
 
Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Standard

Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys



Benötigst du das Programm Eraser? Hast du damit versucht den Schädling loszuwerden? Was hast du bisher genau unternommen?

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
ciao, andreas
__________________
--> Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys

Alt 08.08.2009, 20:28   #7
no_rootkit
 
Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Standard

Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys



Hallo und vielen Dank für deine Rückmeldung!

Den Heidi Eraser benutzte ich nicht um Daten direkt aus meinem Windowsverzeichnis zu löschen. Ich überschreibe damit ausschließlich persönliche Daten (Textfiles, Briefe, Schreiben an Behörden usw.) mit der Gutmann-Methode, um sie unleserlich zu machen, wenn ich Sie aus dem Papierkorb lösche. Auf den Schädling habe ich Eraser nicht angewendet.

Abgesehen von den Schritten, die wir unternommen haben, habe ich gegen den Schädling nichts unternommen. TdsServ.sys ist mir erst vor zwei Tagen zufällig beim Testen von GMER aufgefallen. Das Programm hat direkt nach dem Start kein Rootkit gefunden, also keinen Warnhinweis (WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity.Do you want to fully scan your system ? ) ausgegeben. Ich habe dann einen Scan durchgeführt und bin auf die Einträge gestoßen, die ich nicht zuordnen konnte (TDSServ@...). Eine anschließende Googglesuche ergab nur, dass TDSServ im Zusammenhang mit dem fake-Antivirenprogramm auf den Rechner gelangt. Anschließend habe ich mit AnitVir und Malewarebytes' gescannt und nichts gefunden. Dann wußte ich nicht mehr weiter und habe hier gepostet.

Was mich zu dem nächsten Punkt bringt. Ich habe mein System mit CCleaner gereinigt und dann ComboFix entsprechend der Anleitung ausgeführt. Combofix hat den Rechner am Ende neu gestartet und dieses Log ausgespuckt

Code:
ATTFilter
ComboFix 09-08-07.09 - ***** 08.08.2009 19:06.1.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.767.528 [GMT 2:00]
ausgeführt von:: e:\dokumente und einstellungen\****\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

e:\dokumente und einstellungen\***\Anwendungsdaten\BITS
e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\BITS.ini
e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\DHTTable.dat
e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\ProxyList.ini
e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\Torrent\20090606194719.torrent
e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\Torrent\20090606194719.torrent.~tmp
e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\Torrent\20090606194719.torrent.bits
e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\Torrent\20090606194719.torrent.filelist
e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\Torrent\20090606194719.torrent.hybridlist
e:\dokumente und einstellungen\***\Anwendungsdaten\BITS\UPnP.ini
e:\windows\system32\setup.ini

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV


(((((((((((((((((((((((   Dateien erstellt von 2009-07-08 bis 2009-08-08  ))))))))))))))))))))))))))))))
.

2009-08-08 00:33 . 2009-08-08 17:15	117760	----a-w-	e:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-08-08 00:30 . 2009-08-08 00:30	--------	d-----w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-08 00:30 . 2009-08-08 00:30	--------	d-----w-	e:\programme\SUPERAntiSpyware
2009-08-08 00:30 . 2009-08-08 00:30	--------	d-----w-	e:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-08 00:29 . 2009-08-08 00:29	--------	d-----w-	e:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-08-08 00:20 . 2009-08-08 00:21	--------	d-----w-	E:\rsit
2009-08-07 13:10 . 2009-08-07 13:11	--------	d-----w-	e:\programme\RegCleaner
2009-08-06 22:05 . 2009-08-06 22:05	--------	d-----w-	e:\programme\CCleaner

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-07 20:57 . 2007-12-31 17:28	--------	d-----w-	e:\programme\Mozilla Thunderbird
2009-08-07 00:03 . 2009-04-11 11:27	41	----a-w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows NT\msqlite.dll
2009-08-06 22:58 . 2007-12-31 19:31	--------	d--h--w-	e:\programme\InstallShield Installation Information
2009-08-06 21:05 . 2008-11-29 23:13	--------	d-----w-	e:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer
2009-08-06 19:39 . 2008-08-31 02:10	--------	d-----w-	e:\programme\Malwarebytes' Anti-Malware
2009-08-06 19:39 . 2008-09-06 02:48	3942048	----a-w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-08-05 19:10 . 2009-03-20 00:03	55656	----a-w-	e:\windows\system32\drivers\avgntflt.sys
2009-08-05 17:55 . 2001-08-23 10:00	80092	----a-w-	e:\windows\system32\perfc007.dat
2009-08-05 17:55 . 2001-08-23 10:00	448396	----a-w-	e:\windows\system32\perfh007.dat
2009-08-03 11:36 . 2008-08-31 02:10	38160	----a-w-	e:\windows\system32\drivers\mbamswissarmy.sys
2009-08-03 11:36 . 2008-08-31 02:10	19096	----a-w-	e:\windows\system32\drivers\mbam.sys
2009-07-14 12:48 . 2009-04-11 11:25	--------	d-----w-	e:\programme\XP-Clean Speed
2009-07-09 15:58 . 2007-12-31 19:48	--------	d-----w-	e:\programme\Winamp
2009-06-29 15:55 . 2004-08-03 22:57	827392	----a-w-	e:\windows\system32\wininet.dll
2009-06-29 15:55 . 2004-08-03 22:57	78336	----a-w-	e:\windows\system32\ieencode.dll
2009-06-29 15:55 . 2004-08-03 22:57	17408	------w-	e:\windows\system32\corpol.dll
2009-06-25 10:05 . 2009-06-25 10:05	--------	d-----w-	e:\programme\Secunia
2009-06-17 12:20 . 2009-06-17 12:20	12648	----a-w-	e:\windows\system32\drivers\psi_mf.sys
2009-06-16 14:36 . 2004-08-03 22:57	119808	----a-w-	e:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2001-08-23 10:00	81920	----a-w-	e:\windows\system32\fontsub.dll
2009-06-15 12:03 . 2008-03-06 02:38	22128	----a-w-	e:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-15 10:45 . 2009-06-15 10:45	--------	d-----w-	e:\programme\MSECache
2009-06-03 19:09 . 2004-08-03 22:57	1296896	----a-w-	e:\windows\system32\quartz.dll
2009-05-15 15:45 . 2007-12-31 19:38	1680648	----a-w-	e:\windows\CISUnins.exe
2009-05-15 15:45 . 2007-12-31 19:38	1680648	----a-w-	e:\windows\CICUnins.exe
2008-01-01 02:42 . 2008-01-01 02:42	14852	----a-w-	e:\programme\settings.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ClipIncSrvTray"="c:\tobit clipinc\Player\ClipIncTray.exe" [2009-03-16 668424]
"SUPERAntiSpyware"="e:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-08-05 1830128]
"ctfmon.exe"="e:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PrintServer Diagnostic"="e:\programme\Print Server\PTP\PSDiagnostic.exe" [2004-11-24 266240]
"avgnt"="e:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe Reader\Reader\Reader_sl.exe" [2009-02-27 35696]
"CTHelper"="CTHELPER.EXE" - e:\windows\CTHELPER.EXE [2006-08-11 17920]
"CTxfiHlp"="CTXFIHLP.EXE" - e:\windows\system32\CTXFIHLP.EXE [2006-08-11 18944]

e:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Secunia PSI.lnk - e:\programme\Secunia\PSI\psi.exe [2009-6-24 803176]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "e:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w-	e:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"ose"=3 (0x3)
"O&O Defrag"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"getPlus(R) Helper"=3 (0x3)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"e:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\FlashGet universal\\FlashGet.exe"=

R1 SASDIFSV;SASDIFSV;e:\programme\SUPERAntiSpyware\sasdifsv.sys [05.08.2009 16:06 9968]
R1 SASKUTIL;SASKUTIL;e:\programme\SUPERAntiSpyware\SASKUTIL.SYS [05.08.2009 16:06 74480]
R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\programme\Avira\AntiVir Desktop\sched.exe [20.03.2009 02:03 108289]
R2 ClipInc001;ClipInc 001;c:\tobit clipinc\Server\ClipInc-Server.exe 001 --> c:\tobit clipinc\Server\ClipInc-Server.exe 001 [?]
R3 PSI;PSI;e:\windows\system32\drivers\psi_mf.sys [17.06.2009 14:20 12648]
R3 SASENUM;SASENUM;e:\programme\SUPERAntiSpyware\SASENUM.SYS [05.08.2009 16:06 7408]
S4 getPlus(R) Helper;getPlus(R) Helper;e:\programme\NOS\bin\getPlus_HelperSvc.exe [10.11.2008 01:50 33752]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
IE: &Download All by FlashGet - c:\programme\FlashGet universal\ComDlls\Bhoall.htm
IE: &Download by FlashGet - c:\programme\FlashGet universal\ComDlls\Bholink.htm
IE: Nach Microsoft &Excel exportieren - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {2AF793F6-EDF3-435C-9CCA-6AE19515A790} = 212.185.252.201,194.25.2.129
FF - ProfilePath - e:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5sev3g9f.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Adobe Reader\Reader\browser\nppdf32.dll
FF - plugin: c:\programme\Real Alternative\browser\plugins\nppl3260.dll
FF - plugin: c:\programme\Real Alternative\browser\plugins\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - e:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
e:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
e:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
e:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
e:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-08 19:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(552)
e:\programme\SUPERAntiSpyware\SASWINLO.dll
e:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2176)
c:\tobit clipinc\Player\ChargedByClipInc.dll
e:\windows\system32\WPDShServiceObj.dll
e:\windows\system32\PortableDeviceTypes.dll
e:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
e:\programme\Avira\AntiVir Desktop\avguard.exe
c:\tobit clipinc\Server\ClipInc-Server.exe
e:\programme\CDBurnerXP\NMSAccessU.exe
e:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-08 19:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-08-08 17:21

Vor Suchlauf: 507.977.728 Bytes frei
Nach Suchlauf: 436.846.592 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
e:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

218	--- E O F ---	2009-07-29 12:43
         
Ich habe vor dem Start alle Antivirenprogramm und Hintergrundprogramme ausgestellt. Nachdem KomboFix neugestartet hat, sind Antivir und Secunia allerdings mit hochgefahren worden (autostart). Ich hoffe das mindert nicht die Ausagefähigkeit des Logs. Sorry, wenn ich mich etwas dumm anstelle, aber das fake-Antivirenprgramm letztes Jahr war mein erster Virenbefall.

Liebe Grüße,
Sonja

Alt 08.08.2009, 21:06   #8
john.doe
 
Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Standard

Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys



1.) Deinstalliere:
  • Java(TM) 6 Update 13
  • SuperAntiSpyware
  • VLC media player 0.9.8a
2.) Start => Ausführen => e:\windows\gmer_uninstall.cmd => OK

3.) Installiere (Toolbars immer abwählen, Haken weg):3.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

Driver::
SASDIFSV
SASKUTIL
SASENUM
getPlus(R) Helper

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ClipIncSrvTray"=-
"SUPERAntiSpyware"=-
"ctfmon.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"JavaQuickStarterService"=-
"getPlus(R) Helper"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

Folder::
e:\programme\Gemeinsame Dateien\Wise Installation Wizard
e:\dokumente und einstellungen\Sister\Anwendungsdaten\SUPERAntiSpyware.com
e:\programme\SUPERAntiSpyware
e:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
E:\avenger

File::
E:\avenger.txt
e:\windows\system32\perfc007.dat
e:\windows\system32\perfh007.dat

DirLook::
e:\programme\MSECache
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

  • Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.


ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 08.08.2009, 22:37   #9
no_rootkit
 
Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Standard

Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys



Hallo Andreas,

ich arbeite gerade deine Liste ab.

Zitat:
1.) Deinstalliere:

* Java(TM) 6 Update 13
* SuperAntiSpyware
* VLC media player 0.9.8a
=> fertig!

Zitat:
Installiere (Toolbars immer abwählen, Haken weg):

* VLC media player - Overview oder besser KMPlayer
* Java-Downloads für alle Betriebssysteme - Sun Microsystems
=> KMPlayer installiert, Java auf den neusten Stand gebracht (Danke für den kleinen Hinweis, wer da wohl das Update verschlafen hat ).

Probleme ergeben sich allerdings bei Punkt 2.

Zitat:
2.) Start => Ausführen => e:\windows\gmer_uninstall.cmd => OK
Die Datei konnte nicht gefunden werden. Eine Suche in Start => Suchen ergab auch keine Treffer.
Soll ich trotzdem mit dem Script anfangen, obwohl GMER noch nicht deinstalliert ist?

Liebe Grüße,

Sonja

Alt 08.08.2009, 22:48   #10
john.doe
 
Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Standard

Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys



Zitat:
Soll ich trotzdem mit dem Script anfangen, obwohl GMER noch nicht deinstalliert ist?
Ja.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 08.08.2009, 23:51   #11
no_rootkit
 
Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Standard

Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys



Und hier noch das neue uneditierte Combofix-Log mit dem Script. Vielen Dank fürs Scripten übrigens. :aplaus:

Code:
ATTFilter
ComboFix 09-08-07.09 - Sister 09.08.2009  0:20.2.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.767.502 [GMT 2:00]
ausgeführt von:: e:\dokumente und einstellungen\Sister\Desktop\cofi.exe
Benutzte Befehlsschalter :: e:\dokumente und einstellungen\Sister\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"E:\avenger.txt"
"e:\windows\system32\perfc007.dat"
"e:\windows\system32\perfh007.dat"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\avenger
e:\avenger\backup.zip
e:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
e:\dokumente und einstellungen\Sister\Anwendungsdaten\SUPERAntiSpyware.com
e:\programme\SUPERAntiSpyware
e:\windows\system32\perfc007.dat
e:\windows\system32\perfh007.dat

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SASENUM
-------\Legacy_SASKUTIL
-------\Service_getPlus(R) Helper


(((((((((((((((((((((((   Dateien erstellt von 2009-07-08 bis 2009-08-08  ))))))))))))))))))))))))))))))
.

2009-08-08 20:57 . 2009-08-08 20:57	152576	----a-w-	e:\dokumente und einstellungen\Sister\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-08 00:20 . 2009-08-08 00:21	--------	d-----w-	E:\rsit
2009-08-07 13:10 . 2009-08-07 13:11	--------	d-----w-	e:\programme\RegCleaner
2009-08-06 22:05 . 2009-08-06 22:05	--------	d-----w-	e:\programme\CCleaner

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-08 20:58 . 2008-12-05 17:12	411368	----a-w-	e:\windows\system32\deploytk.dll
2009-08-07 20:57 . 2007-12-31 17:28	--------	d-----w-	e:\programme\Mozilla Thunderbird
2009-08-07 00:03 . 2009-04-11 11:27	41	----a-w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows NT\msqlite.dll
2009-08-06 22:58 . 2007-12-31 19:31	--------	d--h--w-	e:\programme\InstallShield Installation Information
2009-08-06 21:05 . 2008-11-29 23:13	--------	d-----w-	e:\dokumente und einstellungen\Sister\Anwendungsdaten\Apple Computer
2009-08-06 19:39 . 2008-08-31 02:10	--------	d-----w-	e:\programme\Malwarebytes' Anti-Malware
2009-08-06 19:39 . 2008-09-06 02:48	3942048	----a-w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-08-05 19:10 . 2009-03-20 00:03	55656	----a-w-	e:\windows\system32\drivers\avgntflt.sys
2009-08-03 11:36 . 2008-08-31 02:10	38160	----a-w-	e:\windows\system32\drivers\mbamswissarmy.sys
2009-08-03 11:36 . 2008-08-31 02:10	19096	----a-w-	e:\windows\system32\drivers\mbam.sys
2009-07-14 12:48 . 2009-04-11 11:25	--------	d-----w-	e:\programme\XP-Clean Speed
2009-07-09 15:58 . 2007-12-31 19:48	--------	d-----w-	e:\programme\Winamp
2009-06-29 15:55 . 2004-08-03 22:57	827392	----a-w-	e:\windows\system32\wininet.dll
2009-06-29 15:55 . 2004-08-03 22:57	78336	----a-w-	e:\windows\system32\ieencode.dll
2009-06-29 15:55 . 2004-08-03 22:57	17408	------w-	e:\windows\system32\corpol.dll
2009-06-25 10:05 . 2009-06-25 10:05	--------	d-----w-	e:\programme\Secunia
2009-06-17 12:20 . 2009-06-17 12:20	12648	----a-w-	e:\windows\system32\drivers\psi_mf.sys
2009-06-16 14:36 . 2004-08-03 22:57	119808	----a-w-	e:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2001-08-23 10:00	81920	----a-w-	e:\windows\system32\fontsub.dll
2009-06-15 12:03 . 2008-03-06 02:38	22128	----a-w-	e:\dokumente und einstellungen\Sister\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-15 10:45 . 2009-06-15 10:45	--------	d-----w-	e:\programme\MSECache
2009-06-03 19:09 . 2004-08-03 22:57	1296896	----a-w-	e:\windows\system32\quartz.dll
2009-05-15 15:45 . 2007-12-31 19:38	1680648	----a-w-	e:\windows\CISUnins.exe
2009-05-15 15:45 . 2007-12-31 19:38	1680648	----a-w-	e:\windows\CICUnins.exe
2008-01-01 02:42 . 2008-01-01 02:42	14852	----a-w-	e:\programme\settings.dat
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of e:\programme\MSECache ----

2007-05-22 06:56 . 2007-05-22 06:56	1323033	----a-w-	e:\programme\MSECache\O2007Cnv\1033\Catalog\files12.cat
2007-05-21 17:20 . 2007-05-21 17:20	27962756	----a-w-	e:\programme\MSECache\O2007Cnv\1033\O12Conv.cab
2007-05-21 17:20 . 2007-05-21 17:20	355328	----a-w-	e:\programme\MSECache\O2007Cnv\1033\O12Conv.msi
2007-05-21 17:20 . 2007-05-21 17:20	2480	----a-w-	e:\programme\MSECache\O2007Cnv\1033\README.HTM


(((((((((((((((((((((((((((((   SnapShot@2009-08-08_17.16.46   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-08 22:28 . 2009-08-08 22:28	16384              e:\windows\temp\Perflib_Perfdata_ec.dat
+ 2009-08-08 22:25 . 2009-08-08 22:25	8192              e:\windows\ERDNT\subs\Users\00000004\UsrClass.dat
- 2009-08-08 17:11 . 2009-08-08 17:11	8192              e:\windows\ERDNT\subs\Users\00000004\UsrClass.dat
+ 2009-08-08 22:25 . 2009-08-08 22:25	8192              e:\windows\ERDNT\subs\Users\00000002\UsrClass.dat
- 2009-08-08 17:11 . 2009-08-08 17:11	8192              e:\windows\ERDNT\subs\Users\00000002\UsrClass.dat
+ 2009-08-08 20:59 . 2009-08-08 20:58	149280              e:\windows\system32\javaws.exe
+ 2009-08-08 20:59 . 2009-08-08 20:58	145184              e:\windows\system32\javaw.exe
+ 2009-08-08 20:59 . 2009-08-08 20:58	145184              e:\windows\system32\java.exe
+ 2009-08-08 20:58 . 2009-08-08 20:58	537600              e:\windows\Installer\cdc5c0.msi
+ 2009-08-08 22:25 . 2009-08-08 22:25	172032              e:\windows\ERDNT\subs\Users\00000006\UsrClass.dat
- 2009-08-08 17:11 . 2009-08-08 17:11	233472              e:\windows\ERDNT\subs\Users\00000003\NTUSER.DAT
+ 2009-08-08 22:25 . 2009-08-08 22:25	233472              e:\windows\ERDNT\subs\Users\00000003\NTUSER.DAT
+ 2009-08-08 22:25 . 2009-08-08 22:25	229376              e:\windows\ERDNT\subs\Users\00000001\NTUSER.DAT
- 2009-08-08 17:11 . 2009-08-08 17:11	229376              e:\windows\ERDNT\subs\Users\00000001\NTUSER.DAT
+ 2009-08-08 22:25 . 2009-08-08 22:25	3776512              e:\windows\ERDNT\subs\Users\00000005\NTUSER.DAT
- 2009-08-08 17:11 . 2009-08-08 17:11	3776512              e:\windows\ERDNT\subs\Users\00000005\NTUSER.DAT
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PrintServer Diagnostic"="e:\programme\Print Server\PTP\PSDiagnostic.exe" [2004-11-24 266240]
"avgnt"="e:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="e:\programme\Java\jre6\bin\jusched.exe" [2009-08-08 149280]
"CTHelper"="CTHELPER.EXE" - e:\windows\CTHELPER.EXE [2006-08-11 17920]
"CTxfiHlp"="CTXFIHLP.EXE" - e:\windows\system32\CTXFIHLP.EXE [2006-08-11 18944]

e:\dokumente und einstellungen\Sister\Startmen\Programme\Autostart\
Secunia PSI.lnk - e:\programme\Secunia\PSI\psi.exe [2009-6-24 803176]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"ose"=3 (0x3)
"O&O Defrag"=2 (0x2)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"e:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\FlashGet universal\\FlashGet.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\programme\Avira\AntiVir Desktop\sched.exe [20.03.2009 02:03 108289]
R2 ClipInc001;ClipInc 001;c:\tobit clipinc\Server\ClipInc-Server.exe 001 --> c:\tobit clipinc\Server\ClipInc-Server.exe 001 [?]
R3 PSI;PSI;e:\windows\system32\drivers\psi_mf.sys [17.06.2009 14:20 12648]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: &Download All by FlashGet - c:\programme\FlashGet universal\ComDlls\Bhoall.htm
IE: &Download by FlashGet - c:\programme\FlashGet universal\ComDlls\Bholink.htm
IE: Nach Microsoft &Excel exportieren - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {2AF793F6-EDF3-435C-9CCA-6AE19515A790} = 212.185.252.201,194.25.2.129
FF - ProfilePath - e:\dokumente und einstellungen\Sister\Anwendungsdaten\Mozilla\Firefox\Profiles\5sev3g9f.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Adobe Reader\Reader\browser\nppdf32.dll
FF - plugin: c:\programme\Real Alternative\browser\plugins\nppl3260.dll
FF - plugin: c:\programme\Real Alternative\browser\plugins\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - e:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
e:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
e:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
e:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
e:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
e:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
e:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-09 00:29
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(556)
e:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(784)
e:\windows\system32\WPDShServiceObj.dll
e:\windows\system32\PortableDeviceTypes.dll
e:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
e:\programme\Avira\AntiVir Desktop\avguard.exe
c:\tobit clipinc\Server\ClipInc-Server.exe
e:\programme\Java\jre6\bin\jqs.exe
e:\programme\CDBurnerXP\NMSAccessU.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-08  0:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-08-08 22:35
ComboFix2.txt  2009-08-08 17:21

Vor Suchlauf: 452.042.752 Bytes frei
Nach Suchlauf: 444.956.672 Bytes frei

216	--- E O F ---	2009-07-29 12:43
         
Macht mein System Vorschritte? *hoff*

Liebe Grüße
Sonja

Alt 09.08.2009, 00:03   #12
john.doe
 
Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Standard

Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys



Zitat:
Macht mein System Vorschritte? *hoff*
Ja.

Das ist überhaupt ein sehr aufgeräumtes und gepflegtes System.

Zwei noch zur Sicherheit, dann sind wir durch.

1.) Start => Ausführen => combofix /u => OK

2.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 09.08.2009, 12:24   #13
no_rootkit
 
Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Standard

Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys



Hallo!

Zitat:
Das ist überhaupt ein sehr aufgeräumtes und gepflegtes System.
Oh ... danke. *rotwerd*

Ich habe eine gute Nachricht und eine schlechte.

Zitat:
1.) Start => Ausführen => combofix /u => OK
=> fertig

Aber die beiden Scans haben jeweils einen Treffer gefunden.

Zuerst das Log von Panda

Code:
ATTFilter
;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-08-09 03:29:25
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
AntiVir Desktop                              9.0.1.32                      Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
02106838  Trj/Banbra.GIY                     Virus/Trojan        No        1         Yes            No           E:\Dokumente und Einstellungen\Sister\Desktop\Hopsassa.exe
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              (j
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                (j
;===================================================================================================================================================================================
;===================================================================================================================================================================================
         
Zitat:
E:\Dokumente und Einstellungen\Sister\Desktop\Hopsassa.exe
ist infiziert. Sag mir bitte das das ein falscher Alarm ist.

Der PrevXCSI Scan kommt zu dem gleichen Ergebnis. Den Screenshot habe ich unten angehängt.

Woher kommt das denn? Fehlalarm? Oder erkennt er irgendwas in dem Programm als vermeintlichen Trojaner?



Liebe Grüße
Sonja

Geändert von no_rootkit (15.09.2009 um 15:50 Uhr)

Alt 09.08.2009, 18:09   #14
john.doe
 
Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Standard

Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys



Zitat:
Sag mir bitte das das ein falscher Alarm ist.
Ist es. Klicke auf den dritten Link in meiner Signatur, lies alles und lerne es auswendig.

Dann lies hier => http://www.trojaner-board.de/452059-post24.html (die letzten beiden Absätze)

Deinstalliere Panda Active Scan und Prevx. Lösche Hopsassa, den Ordner C:\Avenger und die Datei C:\Avenger.txt. Poste noch ein neues HJT-Log.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 09.08.2009, 20:10   #15
no_rootkit
 
Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Standard

Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys



Zitat:
Zitat:
Ist es. Klicke auf den dritten Link in meiner Signatur, lies alles und lerne es auswendig.
Ich habe es mir fast gedacht.

Zitat:
Avenger wird von fast allen als schädlich angesehen. Das liegt aber nicht an Avenger, sondern einem Schädling, der sich der Technik des Avenger bedient, um Systemdateien zu löschen. Interessant dabei ist, dass der Programmierer von Avenger und Malwarebytes eine Person ist und Malwarebytes munter lustig Avenger immer weglöscht.
Tja, da fühlen wir uns doch jetzt alle mal "optimal geschützt". :aplaus:

Ich habe für dich noch eine neues HijackThis angefertigt:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:03, on 09.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Avira\AntiVir Desktop\sched.exe
E:\Programme\Print Server\PTP\PSDiagnostic.exe
E:\WINDOWS\CTHELPER.EXE
E:\Programme\Avira\AntiVir Desktop\avgnt.exe
E:\Programme\Java\jre6\bin\jusched.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Secunia\PSI\psi.exe
E:\Programme\Avira\AntiVir Desktop\avguard.exe
E:\Programme\Java\jre6\bin\jqs.exe
E:\Programme\CDBurnerXP\NMSAccessU.exe
E:\WINDOWS\system32\svchost.exe
E:\Dokumente und Einstellungen\Sister\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [PrintServer Diagnostic] E:\Programme\Print Server\PTP\PSDiagnostic.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Secunia PSI.lnk = E:\Programme\Secunia\PSI\psi.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet universal\ComDlls\Bholink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} - http://www.creative.com/su/ocx/15031/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://www.creative.com/su/ocx/15033/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{2AF793F6-EDF3-435C-9CCA-6AE19515A790}: NameServer = 212.185.252.201,194.25.2.129
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - E:\Programme\CDBurnerXP\NMSAccessU.exe

--
End of file - 4380 bytes
         

Hoffentlich ist nun alles weg. Was soll ich übrigens mit GMER machen? Das konnte ich ja bisher nicht deinstallieren.

Liebe Grü0e,

Sonja

Antwort

Themen zu Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys
antivir guard, antivirus, avira, bho, cdburnerxp, computer, controlset002, desktop, excel, festplatte, google, hijack, hijackthis, logfile, maleware, problem, programm, registrierungsschlüssel, registry, rootkit, scan, secunia, server, software, system, updates, windows, windows xp



Ähnliche Themen: Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys


  1. fake-antivirus-programm mit malwarebytes bekämpft: gibt's noch reste?
    Log-Analyse und Auswertung - 15.04.2011 (9)
  2. Reste (mailbot o.ä.) nach "rootkit.bagle" infektion
    Plagegeister aller Art und deren Bekämpfung - 12.05.2009 (5)
  3. XP Antivirus 2008 !?!?
    Plagegeister aller Art und deren Bekämpfung - 13.12.2008 (24)
  4. Antivirus XP 2008
    Plagegeister aller Art und deren Bekämpfung - 20.09.2008 (2)
  5. System nach Antivirus XP 2008
    Log-Analyse und Auswertung - 18.09.2008 (10)
  6. antivirus xp 2008 und smart antivirus 2009
    Plagegeister aller Art und deren Bekämpfung - 14.09.2008 (11)
  7. Antivirus 2008
    Log-Analyse und Auswertung - 14.09.2008 (15)
  8. Nach Antivirus XP 2008 fehlt etwas
    Log-Analyse und Auswertung - 13.09.2008 (3)
  9. Antivirus 2008
    Plagegeister aller Art und deren Bekämpfung - 10.09.2008 (1)
  10. Diverse Probleme nach Antivirus 2008 xp / W32/Polip.A
    Plagegeister aller Art und deren Bekämpfung - 06.09.2008 (16)
  11. Antivirus xp 2008
    Plagegeister aller Art und deren Bekämpfung - 30.08.2008 (18)
  12. Antivirus-2008
    Log-Analyse und Auswertung - 26.08.2008 (3)
  13. antivirus 2008
    Log-Analyse und Auswertung - 11.08.2008 (2)
  14. Antivirus XP 2008
    Plagegeister aller Art und deren Bekämpfung - 11.08.2008 (6)
  15. Antivirus 2008 XP (nicht "Antivirus XP 2008"!)
    Plagegeister aller Art und deren Bekämpfung - 10.08.2008 (1)
  16. XP Antivirus 2008
    Log-Analyse und Auswertung - 10.08.2008 (14)
  17. HJT-Logfile nach "Vista Antivirus 2008"-Befall
    Log-Analyse und Auswertung - 30.07.2008 (1)

Zum Thema Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys - Hallo meine Lieben, ich bin neue hier, ein absoluter Noob und wende mich gleich mit einem Problem an Euch. Ich weiss, völlig schockierend und total unerwartet... Zur Sachlage: Im Dezember - Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys...
Archiv
Du betrachtest: Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.