| |
| |||||||
Log-Analyse und Auswertung: Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.TdssWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
20.11.2009, 14:30
| #1 |
 |  Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss soll ich die atapi.sys dann nochmal ersetzen? (habs mit cmd unter windows gemacht gehabt) Wenn ja, wie? Gmer ist noch nicht fertig, log folgt dann (scheint aber im wesentlichen das vorausgegangene zu sein). Gmer immer noch nicht fertig, ich muss jetzt leider weg und poste das log dann heute abend. Geändert von Joe007 (20.11.2009 um 15:13 Uhr) |
|
20.11.2009, 15:16
| #2 |
  | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss Hi,
__________________bis jetzt sieht das noch gut aus, was GMER anzeigt... (Das war bisher auch mein längster Thread, ein MT -> MonsterThread)... Der Rootkit ist unglaublich schlau gemacht, der richtet sich auf dem Rechner ein eigenes, verschlüsseltes Filessystem ein..... Arrrghhh.... chris
__________________ |
|
20.11.2009, 19:51
| #3 |
| | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss is auch etwas nervenauf- und v.a. sehr zeitraubend, hätte eigentlich schon genug Probleme... danke jedenfalls fürs durchhaltevermögen!
__________________hier das GMER log (Scan nur auf C:\, ohne Internet, Virenscanner, Sygate) Code:
ATTFilter GMER 1.0.15.15227 - http://www.gmer.net
Rootkit scan 2009-11-20 19:48:26
Windows 5.1.2600 Service Pack 3
Running: q85ssexw.exe; Driver: C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\pxtdypow.sys
---- System - GMER 1.0.15 ----
SSDT F7C0AE26 ZwCreateKey
SSDT F7C0AE1C ZwCreateThread
SSDT F7C0AE2B ZwDeleteKey
SSDT F7C0AE35 ZwDeleteValueKey
SSDT F7C0AE3A ZwLoadKey
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwMapViewOfSection [0xF79C98D0]
SSDT F7C0AE08 ZwOpenProcess
SSDT F7C0AE0D ZwOpenThread
SSDT F7C0AE44 ZwReplaceKey
SSDT F7C0AE3F ZwRestoreKey
SSDT F7C0AE30 ZwSetValueKey
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwShutdownSystem [0xF79C9E70]
SSDT F7C0AE17 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text tcpip.sys!IPTransmit + 10FC F3FA7D3A 6 Bytes CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!IPTransmit + 2A52 F3FA9690 6 Bytes CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!IPRegisterProtocol + 930 F3FBF454 6 Bytes CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text wanarp.sys F6C5E3FD 7 Bytes CALL F731B350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetReadFile 408C654B 5 Bytes JMP 13159E5C
.text C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetCloseHandle 408C9088 5 Bytes JMP 1315A05C
.text C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetQueryDataAvailable 408CBF7F 5 Bytes JMP 13159C7C
.text C:\WINDOWS\Explorer.EXE[1476] WININET.dll!HttpOpenRequestA 408CD508 5 Bytes JMP 13158964
.text C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetConnectA 408CDEAE 5 Bytes JMP 1315880C
.text C:\WINDOWS\Explorer.EXE[1476] WININET.dll!HttpSendRequestW 408CFABE 5 Bytes JMP 13159688
.text C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetOpenA 408DD690 5 Bytes JMP 131587C0
.text C:\WINDOWS\Explorer.EXE[1476] WININET.dll!HttpSendRequestA 408DEE89 5 Bytes JMP 13159288
.text C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetReadFileExW 408E3349 5 Bytes JMP 1315A00C
.text C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetReadFileExA 408E3381 5 Bytes JMP 13159FBC
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
---- Devices - GMER 1.0.15 ----
Device \Driver\Tcpip \Device\Ip wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\Tcp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
Device \Driver\Tcpip \Device\Udp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\RawIp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\IPMULTICAST wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@j!s!i!`!r!`!e!d!\30!\30!t!e!s!m!s!y! 71230
---- Files - GMER 1.0.15 ----
File C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\ET_MME~1.JS 3397 bytes
File C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\OVERLA~1.JS 6443 bytes
File C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\styles.css 5870 bytes
---- EOF - GMER 1.0.15 ----
|
|
20.11.2009, 19:57
| #4 |
| | Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss Hi, wenn möglich kill noch die folgenden Files, die sind nicht ganz koscher... Code:
ATTFilter C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\ET_MME~1.JS 3397 bytes
File C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\OVERLA~1.JS 6443 bytes
File C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\styles.css 5870 bytes
GMER sieht immer noch gut aus, ich denke wir haben dem Rootkit jetzt hoffentlich (endgültig) den Garaus gemacht... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
| Themen zu Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss |
| antivir, antivir guard, aufgehängt, combofix, content.ie5, dateien, diverse, einstellungen, firefox, firewall, google, hängt, index, infiziert, logfiles, malwarebytes, microsoft, mozilla, namen, net.net, neue tabs, neustart, programm, scan, software, suche, system, temp, trojaner-board, virus, virus/trojaner, windows |
Hybrid-Darstellung
