Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss

Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss


Log-Analyse und Auswertung: Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 15.08.2009, 14:31   #1
Joe007
 
Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss - Standard

Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss


habe GMER jetzt zig mal im Normalmodus probiert, aber jedes Mal hat der Rechner neu gestartet. Einmal hab ich die Files nicht mitgescannt, dabei kam folgendes .log-File:
Code:
ATTFilter
GMER 1.0.15.15020 [5mzzf5hj.exe] - h**p://www.gmer.net
Rootkit scan 2009-08-15 12:49:13
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                        ZwCreateKey [0xF764087E]
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                        ZwCreateThread [0xF78A9C40]
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                        ZwMapViewOfSection [0xF78A98D0]
SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                        ZwSetValueKey [0xF7640BFE]
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                        ZwShutdownSystem [0xF78A9E70]
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                        ZwTerminateProcess [0xF78A9E00]

---- Kernel code sections - GMER 1.0.15 ----

.text           tcpip.sys!IPTransmit + 10FC                                                                              F3E50D3A 6 Bytes  CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text           tcpip.sys!IPTransmit + 2A52                                                                              F3E52690 6 Bytes  CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text           tcpip.sys!IPRegisterProtocol + 930                                                                       F3E68454 6 Bytes  CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text           wanarp.sys                                                                                               F6B6F3FD 7 Bytes  CALL F731B350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                                      [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                                       [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                                [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                                  [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                 [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                      [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                     [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                               [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                  [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                      [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                       [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                        [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                         [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                    [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                 [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                   [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                        [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                       [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                                      [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                                       [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]                                [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]                                  [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                  [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                      [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                       [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- Devices - GMER 1.0.15 ----

Device          \Driver\Tcpip \Device\Ip                                                                                 wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\Tcpip \Device\Tcp                                                                                wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                Lbd.sys (Boot Driver/Lavasoft AB)

Device          \Driver\Tcpip \Device\Udp                                                                                wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\Tcpip \Device\RawIp                                                                              wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                        wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                 fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@j!s!i!`!r!`!e!d!\30!\30!t!e!s!m!s!y!  71230

---- EOF - GMER 1.0.15 ----
werde es jetzt aber noch im abgesicherten Modus probieren, danke für den Tipp...

Alt 15.08.2009, 20:17   #2
Joe007
 
Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss - Standard

Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss


habe GMER mehrmals im abgesicherten Modus angestoßen, aber auch da ist Windows jedesmal neu gestartet.

Wollte dann Avira AntiRootkit Tool benutzen, aber da kam die Fehlermeldung:
Zitat:
One of the Avira AntiVir Desktop products must be installed first. The application will exit.
habe zwar Avira AntiVir Personal - Free AntiVirus, aber das scheint nicht zu reichen. Ich weiß nicht, ob Benutzerkonten dabei eine Rolle spielen können, ich habe auf dem PC nur ein Benutzerkonto als Administratorkonto, damit er dieses beim Hochfahren gleich startet.


Habe jetzt noch Prevx runtergeladen und dieses zeigte einen Fund an - ich hänge den Screenshot mit dran:





Ich habe jetzt auch nochmal RSIT laufen lassen, hier das log.txt (Teil 1):
Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2009-08-15 21:11:40
Microsoft Windows XP Professional Service Pack 3
System drive C: has 11 GB (4%) free of 285 GB
Total RAM: 1022 MB (35% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:11:43, on 15.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\SMSC\SetIcon.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Home Cinema\TV Enhance\TVEService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Prevx\prevx.exe
C:\Dateien\Downloads\RSIT.exe
C:\Programme\Trend Micro\HijackThis\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Internet Radio by Endicosoft.com - {1F958B09-3312-7f0e-9723-4C1324C57B20} - C:\Programme\Internet Radio\Radio.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161001832152
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9671 bytes
__________________
Alt 15.08.2009, 20:20   #3
Joe007
 
Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss - Standard

Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss


RSIT log.txt Teil 2:
Code:
ATTFilter
======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll [2006-07-26 434279]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - c:\programme\google\googletoolbar3.dll [2007-01-20 2427968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC59E0F9-7E43-44FA-9FAA-8377850BF205}]
FDMIECookiesBHO Class - C:\Programme\Free Download Manager\iefdmcks.dll [2006-08-20 81920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar3.dll [2007-01-20 2427968]
{327C2873-E90D-4c37-AA9D-10AC9BABA46C} - Easy-WebPrint - C:\Programme\Canon\Easy-WebPrint\Toolband.dll [2004-04-16 405504]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ehTray"=C:\WINDOWS\ehome\ehtray.exe [2005-09-29 67584]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-10-09 16236032]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-10-06 7700480]
"nwiz"=nwiz.exe /install []
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2006-01-12 155648]
"SetIcon"=\Programme\SMSC\SetIcon.exe [2004-04-28 42496]
"LanguageShortcut"=C:\Programme\Home Cinema\PowerDVD\Language\Language.exe [2006-05-18 49152]
"TVEService"=C:\Programme\Home Cinema\TV Enhance\TVEService.exe [2006-10-19 151552]
"InstantOn"=C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe [2006-06-21 93640]
"wlconfig"=C:\Programme\WLAN Monitor\wlconfig.exe [2006-03-06 1347584]
"avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-18 266497]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2006-10-25 282624]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2006-10-30 256576]
"SmcService"=C:\PROGRA~1\Sygate\SPF\smc.exe [2004-02-24 2372760]
"SSBkgdUpdate"=C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2003-10-14 155648]
"PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2004-03-09 57393]
"IndexSearch"=C:\Programme\ScanSoft\PaperPort\IndexSearch.exe [2004-03-09 40960]
"SetDefPrt"=C:\Programme\Brother\Brmfl04g\BrStDvPt.exe [2004-11-11 49152]
"ControlCenter2.0"=C:\Programme\Brother\ControlCenter2\brctrcen.exe [2004-11-11 864256]
"Easy-PrintToolBox"=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2004-01-14 409600]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BullGuard]
C:\Programme\BullGuard Software\BullGuard\bullguard.exe -boot []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVBroadcast]
C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe [2006-10-20 814080]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=3

C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2006-06-19 702768]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:enabled:MSN Messenger"
"C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\Trillian\trillian.exe"="C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian"
"C:\WINDOWS\system32\usmt\migwiz.exe"="C:\WINDOWS\system32\usmt\migwiz.exe:*:Enabled:Assistent zum Übertragen von Dateien und Einstellungen"
"C:\Programme\WS_FTP\WS_FTP95.exe"="C:\Programme\WS_FTP\WS_FTP95.exe:*:Enabled:WS_FTP 95"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:enabled:MSN Messenger"
"C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2009-08-15 21:07:29 ----SHD---- C:\RECYCLER
2009-08-15 20:49:54 ----D---- C:\Programme\Prevx
2009-08-15 20:49:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-08-15 20:49:40 ----A---- C:\WINDOWS\wininit.ini
2009-08-15 19:46:10 ----D---- C:\WINDOWS\LastGood
2009-08-15 16:14:20 ----A---- C:\WINDOWS\ntbtlog.txt
2009-08-14 19:49:01 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2009-08-14 19:48:57 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2009-08-14 19:48:53 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2009-08-14 19:48:47 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$
2009-08-14 19:48:42 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2009-08-14 19:48:37 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2009-08-14 19:48:33 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2009-08-14 19:48:26 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$
2009-08-14 19:46:56 ----A---- C:\WINDOWS\imsins.BAK
2009-08-14 19:46:51 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2009-08-14 15:34:21 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2009-08-14 15:34:16 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-08-14 15:34:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-14 15:13:46 ----A---- C:\ComboFix.txt
2009-08-14 14:38:47 ----A---- C:\Boot.bak
2009-08-14 14:38:40 ----RASHD---- C:\cmdcons
2009-08-14 14:36:04 ----A---- C:\WINDOWS\zip.exe
2009-08-14 14:36:04 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-08-14 14:36:04 ----A---- C:\WINDOWS\SWSC.exe
2009-08-14 14:36:04 ----A---- C:\WINDOWS\SWREG.exe
2009-08-14 14:36:04 ----A---- C:\WINDOWS\sed.exe
2009-08-14 14:36:04 ----A---- C:\WINDOWS\PEV.exe
2009-08-14 14:36:04 ----A---- C:\WINDOWS\NIRCMD.exe
2009-08-14 14:36:04 ----A---- C:\WINDOWS\grep.exe
2009-08-14 14:35:45 ----SD---- C:\test
2009-08-14 11:25:16 ----D---- C:\rsit
2009-08-14 10:58:09 ----D---- C:\Programme\CCleaner
2009-08-09 23:18:12 ----D---- C:\WINDOWS\ERDNT
2009-08-09 23:18:10 ----SD---- C:\ComboFix1
2009-08-09 23:17:52 ----D---- C:\Qoobox
2009-08-09 20:13:53 ----D---- C:\WINDOWS\Minidump
2009-08-09 14:30:43 ----D---- C:\Programme\Trend Micro
2009-08-09 09:19:27 ----D---- C:\WINDOWS\pss
2009-08-08 22:19:34 ----A---- C:\WINDOWS\system32\lsdelete.exe
2009-08-08 20:20:42 ----HDC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
2009-08-08 20:20:31 ----D---- C:\Programme\Lavasoft
2009-08-08 20:20:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-07-30 00:31:54 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-07-30 00:31:48 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-07-30 00:31:11 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2009-07-30 00:29:29 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$
2009-07-22 10:26:45 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\GetRight
2009-07-22 10:26:33 ----D---- C:\Programme\GetRight

======List of files/folders modified in the last 1 months======

2009-08-15 21:11:41 ----D---- C:\WINDOWS\Prefetch
2009-08-15 20:49:54 ----RD---- C:\Programme
2009-08-15 20:49:54 ----D---- C:\WINDOWS\system32\drivers
2009-08-15 20:49:40 ----D---- C:\WINDOWS
2009-08-15 20:19:06 ----D---- C:\Programme\Mozilla Firefox
2009-08-15 19:46:11 ----HD---- C:\WINDOWS\inf
2009-08-15 19:45:46 ----D---- C:\WINDOWS\Temp
2009-08-15 17:52:45 ----A---- C:\WINDOWS\NeroDigital.ini
2009-08-15 17:52:16 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2
2009-08-15 17:51:46 ----D---- C:\WINDOWS\Registration
2009-08-15 17:51:44 ----D---- C:\Programme\WLAN Monitor
2009-08-15 17:51:42 ----D---- C:\WINDOWS\system32\CatRoot2
2009-08-15 17:18:39 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-08-15 02:55:01 ----HD---- C:\WINDOWS\$hf_mig$
2009-08-14 21:56:51 ----D---- C:\Programme\AntiVir PersonalEdition Classic
2009-08-14 21:56:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-08-14 19:50:09 ----D---- C:\WINDOWS\system32
2009-08-14 19:49:03 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-08-14 19:48:34 ----D---- C:\Programme\Outlook Express
2009-08-14 19:47:03 ----D---- C:\WINDOWS\Debug
2009-08-14 15:06:19 ----A---- C:\WINDOWS\system.ini
2009-08-14 15:03:22 ----D---- C:\WINDOWS\system32\config
2009-08-14 15:01:50 ----D---- C:\WINDOWS\system
2009-08-14 15:01:49 ----SHD---- C:\WINDOWS\Installer
2009-08-14 14:59:55 ----D---- C:\WINDOWS\AppPatch
2009-08-14 14:59:49 ----D---- C:\Programme\Gemeinsame Dateien
2009-08-14 14:38:47 ----RASH---- C:\boot.ini
2009-08-11 23:19:54 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Free Download Manager
2009-08-09 09:55:12 ----A---- C:\WINDOWS\win.ini
2009-08-08 20:21:39 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-08-08 20:21:35 ----SD---- C:\WINDOWS\Tasks
2009-08-08 20:20:42 ----D---- C:\Config.Msi
2009-08-08 20:20:25 ----D---- C:\WINDOWS\WinSxS
2009-08-05 10:59:36 ----A---- C:\WINDOWS\system32\mswebdvd.dll
2009-08-03 01:05:22 ----D---- C:\Programme\Trillian
2009-08-01 00:20:02 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\BOM
2009-07-31 21:56:06 ----D---- C:\Dateien
2009-07-31 09:01:34 ----D---- C:\Programme\Biet-O-Matic
2009-07-30 02:49:14 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-30 00:31:37 ----D---- C:\WINDOWS\system32\de-de
2009-07-30 00:31:37 ----D---- C:\Programme\Internet Explorer
2009-07-29 17:13:27 ----A---- C:\WINDOWS\BRWMARK.INI
2009-07-22 10:29:23 ----D---- C:\Downloads
2009-07-19 15:25:34 ----A---- C:\WINDOWS\system32\mshtml.dll
2009-07-19 15:25:30 ----A---- C:\WINDOWS\system32\ieframe.dll
2009-07-17 21:01:06 ----A---- C:\WINDOWS\system32\atl.dll

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys []
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 wpsdrvnt;wpsdrvnt; \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys []
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.10.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2006-10-23 21275]
R2 wg3n;SyGate for NT, wg3n; C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys [2004-02-02 11914]
R3 3xHybrid;Philips SAA713x PCI Card; C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 1105664]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 FETND5BV;VIA Rhine-Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2006-03-15 43008]
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-10-09 4381696]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-10-06 3992608]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 X10Hid;X10 Hid Device; C:\WINDOWS\System32\Drivers\x10hid.sys [2005-11-28 7040]
R3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792]
S3 BrScnUsb;Brother USB Still Image driver; C:\WINDOWS\System32\Drivers\BrScnUsb.sys [2004-10-15 15295]
S3 catchme;catchme; \??\C:\test\catchme.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 DMSKSSRh;DMSKSSRh; \??\C:\DOKUME~1\***\LOKALE~1\Temp\DMSKSSRh.sys []
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 MHNDRV;MHN-Treiber; C:\WINDOWS\system32\DRIVERS\mhndrv.sys [2004-08-10 11008]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-13 15232]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 RT73;RT73 USB Wireless LAN Card Driver; C:\WINDOWS\system32\DRIVERS\rt73.sys [2006-06-08 344064]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 accsvc;AccSys WiFi Component; C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 147456]
R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-10-25 68865]
R2 CSIScanner;CSIScanner; C:\Programme\Prevx\prevx.exe [2009-08-15 4368952]
R2 ehRecvr;Media Center Receiver Service; C:\WINDOWS\eHome\ehRecvr.exe [2006-10-09 237568]
R2 ehSched;Media Center-Planerdienst; C:\WINDOWS\eHome\ehSched.exe [2005-08-05 102912]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-07-03 1029456]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2006-04-24 73728]
R2 McrdSvc;Media Center Extender Service; C:\WINDOWS\ehome\mcrdsvc.exe [2005-08-05 99328]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-10-06 159810]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Programme\CyberLink\Shared Files\RichVideo.exe [2006-10-19 262247]
R2 SmcService;Sygate Personal Firewall; C:\Programme\Sygate\SPF\smc.exe [2004-02-24 2372760]
R2 srvcPVR;Sceneo PVR Service; C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-10-24 1441280]
R2 TVECapSvc;TVEnhance Background Capture Service (TBCS); C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2006-10-19 282709]
R2 TVESched;TVEnhance Task Scheduler (TTS)); C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2006-10-19 122971]
R2 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]
R3 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-10-25 151297]
R3 iPod Service;iPod Service; C:\Programme\iPod\bin\iPodService.exe [2006-10-30 492608]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-04-13 33632]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-04-13 68952]
S3 MHN;MHN; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-08-03 38912]
S3 usnsvc;Messenger Sharing USN Journal Reader-Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 WMConnectCDS;Windows Media Connect-Dienst; C:\Programme\Windows Media Connect 2\wmccds.exe [2005-10-06 856064]
S4 gusvc;Google Updater Service; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-31 138168]

-----------------EOF-----------------

Die Wiederherstellungspunkte habe ich erstmal noch nicht entfernt.
__________________
Alt 15.08.2009, 20:53   #4
Joe007
 
Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss - Standard

Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss


soeben meldet mir Prevx noch einen zweiten Fund:
bosr[1].exe in c:\windows\system32\systemprofile\lokale einstellungen\temporary internet files\conetent.ie5\01mjgxib\
mit gleichem Status und gleichem High Risk Cloaked Malware

Alt 16.08.2009, 20:35   #5
Chris4You
 
Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss - Standard

Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss


Hi,

das sieht nicht gut aus, das ist/war ein Backdoor Trojaner drauf:
S3 DMSKSSRh;DMSKSSRh; \??\C:\DOKUME~1\***\LOKALE~1\Temp\DMSKSSRh.sys []

Bei den ganzen Ungereimtheiten wäre ich für Neuaufsetzen, ich schaue mir morgen aber mal noch mal die Logs durch...

Lass die von Prevx angemoserten Dateien mal bei virustotal.com prüfen...
Poste die Logs...

Wenn sie ausser von prevx erkannt werden, lassen wir mal Avenger los...

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 16.08.2009, 22:31   #6
Joe007
 
Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss - Standard

Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss


ok, danke. (auch wenn's mir vor dem Neuaufsetzen etwas graust)

Ich hatte heute auch nochmal Antivir drüberlaufen lassen, das hat die beiden von Prevx entdeckten Files (bosr[1].exe und fqfvi.exe) auch gefunden. Überrascht hat mich UACjmmpcsquof.dll, das hatte glaube ich Combofix schon gefunden. Hier die Funde im Detail:

Code:
ATTFilter
In der Datei 'C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01MJGXIB\bosr[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Runner.QC.1' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\WINDOWS\system32\fqfvi.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Runner.QC.1' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Die Datei 'C:\Qoobox\Quarantine\C\WINDOWS\system32\UACjmmpcsquof.dll.vir'
enthielt einen Virus oder unerwünschtes Programm 'TR/Alureon.30208R' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Die Datei 'C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP891\A0077789.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Alureon.30208R' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Die Datei 'C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP894\A0090056.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Runner.QC.1' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Die Datei 'C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CXMNWP2Z\cosr[1].exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Runner.QC' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Werde Antivir morgen nochmal drüberlaufen lassen, um zu schauen, ob es die Files immernoch findet...

Alt 17.08.2009, 07:24   #7
Chris4You
 
Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss - Standard

Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss


Hi,

das hier ist aus dem backupverzeichnis von Combofix:
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACjmmpcsquof.dll.vir'

Das RSIT log (HJ-Teil) ist Ok...

GMER ist nicht Okay: {B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8} gefällt mir überhaupt nicht...

Flekman:
Download Registry Search by Bobbi Flekman
<http://virus-protect.org/artikel/tools/regsearch.html>
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)
Code:
ATTFilter
B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8
in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text.

Sophos Antirootkit:
Downloade Sophos Antirookit und Scanne Dein gesamtes System, poste das Logfile.
Benutzeranleitung (english): http://www.sophos.de/sophos/docs/eng/manuals/sar_15_umeng.pdf
http://www.chip.de/downloads/Sophos-Anti-Rootkit_21584106.html
Mit Registrierung von der Herstellerpage: http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html

Dann noch um das System eingermaßen wieder hinzubiegen:
System Reparieren:
Vorher ggf. Backup machen
Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
http://www.iobit.com/advancedwindowscareper.html?Str=download
Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.
Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.
Führe dann einen Update der Signatur/Reperaturdateien aus.
Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.
Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

Die Systemwiederherstellung muß unbedingt auch noch resettet werden (siehe vorangegangenes Posting)...

Guten Gewissens kann ich Dir leider nur zum Neuaufsetzen raten!

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss
antivir, antivir guard, aufgehängt, combofix, content.ie5, dateien, diverse, einstellungen, firefox, firewall, google, hängt, index, infiziert, logfiles, malwarebytes, microsoft, mozilla, namen, net.net, neue tabs, neustart, programm, scan, software, suche, system, temp, trojaner-board, virus, virus/trojaner, windows


« Malware LOG gegen Antivir solution pro | Programme reagieren nocht mehr »


Ähnliche Themen: Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss


  1. W 8.1,Trojaner kann von mir nicht entfernt werden.Virus: Trojan.GenericKD.1673711 (Engine A),Virus: Win32.Trojan.Pirpi.A (Engine B)
    Plagegeister aller Art und deren Bekämpfung - 21.08.2014 (3)
  2. Trojan Win32/Necurs.A wie werde ich ihn los?
    Plagegeister aller Art und deren Bekämpfung - 03.02.2014 (20)
  3. Windows 8.1: Trojan:Win32/Meredrop, Trojan:Win32/Malagent, Trojan:Win32/Matsnu.L und Worm:Win32/Ainslot.A
    Log-Analyse und Auswertung - 19.01.2014 (5)
  4. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  5. Verschlüsselungstrojaner Trojan-Dropper.Win32.Injector.exoz + ...TDSS.ddf
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (1)
  6. Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los
    Plagegeister aller Art und deren Bekämpfung - 08.02.2011 (13)
  7. Trojan.Win32.TDSS.qdw
    Plagegeister aller Art und deren Bekämpfung - 27.06.2010 (9)
  8. Trojan.TDss!K - Packed.Win32.Tdss!IK - und wer weiß was noch alles!
    Plagegeister aller Art und deren Bekämpfung - 09.12.2009 (1)
  9. Werde Virus/Trojaner TrojanDownloader:Win32/Renos.JS nicht los
    Mülltonne - 16.10.2009 (23)
  10. Packed.Win32.TDSS.y Trojaner Win32/Alureon.BF
    Plagegeister aller Art und deren Bekämpfung - 08.10.2009 (3)
  11. Trojan.Win32.TDSS.ajrr
    Plagegeister aller Art und deren Bekämpfung - 08.10.2009 (15)
  12. Rootkit.TDSS werde ich nicht los!
    Plagegeister aller Art und deren Bekämpfung - 06.09.2009 (43)
  13. Virus Rootkit.Win32.TDSS.a
    Plagegeister aller Art und deren Bekämpfung - 08.07.2009 (10)
  14. Trojan.win32.tdss.why HILFE!
    Plagegeister aller Art und deren Bekämpfung - 22.05.2009 (13)
  15. trojan.Win32.Tdss.why (Engine A)
    Plagegeister aller Art und deren Bekämpfung - 30.04.2009 (7)
  16. Trojan-Spy.Win32.Pophot.gzv / Trojan.Win32.Buzus.alwl / Virus.Win32.Virut.ce
    Plagegeister aller Art und deren Bekämpfung - 19.02.2009 (1)
  17. Werde "Trojan.Win32.StartPage.ix" nicht mehr los!!!
    Log-Analyse und Auswertung - 23.06.2004 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss - habe GMER jetzt zig mal im Normalmodus probiert, aber jedes Mal hat der Rechner neu gestartet. Einmal hab ich die Files nicht mitgescannt, dabei kam folgendes .log-File: Code: Alles auswählen - Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss...
Archiv
Du betrachtest: Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131