trojan.tdss gelöscht oder noch vorhanden ???

realmagic · 29.08.2009, 22:19

ich habe die programme runtergeschmissen außer nod32, habe die mail mit den zugangsdaten nicht mehr, habe aber gerade eine mail zu eset geschickt damit sie mir die nochmal zuschicken.

mit combofix immer noch das gleiche wie vorher. leeres blaues fenster mit dem script von dir.

und ja, habe zwar true image, aber leider ist das image soooo alt, dass sich eine Neuinstallation mehr lohnen würde. und das versuche ich ja noch zu umgehen. am anfang macht man immer ein image und irgendwann lässt man es schlören aus zeitmangel. sag jetzt nicht, ich weiß, selber schuld ^^

realmagic · 29.08.2009, 22:28

so, auch die programme sind runter, und ich habe nach dem neustart noch mal den CCleaner drüber laufen lassen, aber cf läuft immre noch nicht

john.doe · 29.08.2009, 22:30

Dann eben anders.

1.) Erstelle ein Filelisting.

Lade die Datei listing1.bat auf deinen Desktop
Doppelklicke auf listing1.bat
Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de) hochladen und hier den Link posten.

2.) Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 2.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

ciao, andreas

realmagic · 29.08.2009, 22:37

hier schonmal nr 1

h**p://www.materialordner.de/R21mfbOTzmjCcwbbgRtjF934H3iFGC7m.html

realmagic · 29.08.2009, 22:42

Code:

ATTFilter

   --------------------\\  Lop S&D 4.2.5-0   XP/Vista


   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
   Option : [2] ( 29.08.2009|23:37 )


   \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ FIX

   Geloescht  ! - C:\DOKUME~1\ALLUSE~1\ANWEND~1\espionServerData\globData.mk4
   Geloescht  ! - C:\DOKUME~1\ADMINI~1\Cookies\administrator@adex.bigpoint[3].txt
   Geloescht  ! - C:\DOKUME~1\ADMINI~1\Cookies\administrator@bigpoint[1].txt
   Geloescht  ! - C:\DOKUME~1\ADMINI~1\Cookies\administrator@de1.darkorbit.bigpoint[1].txt
   Geloescht  ! - C:\DOKUME~1\ADMINI~1\Cookies\hegelvatta@bigpoint[1].txt
   Geloescht  ! - C:\DOKUME~1\ADMINI~1\Cookies\hegelvatta@de.xblaster.bigpoint[1].txt
   Geloescht  ! - C:\DOKUME~1\ADMINI~1\Cookies\administrator@888sport[2].txt
   Geloescht  ! - C:\DOKUME~1\ADMINI~1\Cookies\administrator@888[4].txt
   Geloescht  ! - C:\DOKUME~1\ADMINI~1\Cookies\hegelvatta@888[2].txt
   Geloescht  ! - C:\DOKUME~1\ALLUSE~1\ANWEND~1\espionServerData
   -
   [ Hosts Datei ] .. Wiederhergestellt
 
   \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ 

 
   --------------------\\  Ordner Verzeichnis unter ANWEND~1

   [15.04.2009|18:49] C:\DOKUME~1\ADMINI~1\ANWEND~1\Acreon
   [05.07.2009|16:54] C:\DOKUME~1\ADMINI~1\ANWEND~1\Adobe
   [20.05.2008|20:32] C:\DOKUME~1\ADMINI~1\ANWEND~1\Ahead
   [27.03.2009|09:47] C:\DOKUME~1\ADMINI~1\ANWEND~1\Alarmstufe Rot 3 Der Aufstand
   [18.08.2009|00:26] C:\DOKUME~1\ADMINI~1\ANWEND~1\CameraWindowDC
   [05.08.2009|01:20] C:\DOKUME~1\ADMINI~1\ANWEND~1\CANON INC
   [18.04.2009|15:34] C:\DOKUME~1\ADMINI~1\ANWEND~1\CCTV
   [01.06.2008|18:34] C:\DOKUME~1\ADMINI~1\ANWEND~1\Command & Conquer 3 Kanes Rache
   [27.08.2008|21:16] C:\DOKUME~1\ADMINI~1\ANWEND~1\Creative
   [20.05.2008|23:32] C:\DOKUME~1\ADMINI~1\ANWEND~1\CyberLink
   [24.06.2009|17:04] C:\DOKUME~1\ADMINI~1\ANWEND~1\Download Manager
   [26.10.2008|16:31] C:\DOKUME~1\ADMINI~1\ANWEND~1\dyyno-vlc
   [03.05.2008|23:22] C:\DOKUME~1\ADMINI~1\ANWEND~1\FlashFXP
   [01.11.2008|17:04] C:\DOKUME~1\ADMINI~1\ANWEND~1\Help
   [03.05.2008|22:08] C:\DOKUME~1\ADMINI~1\ANWEND~1\ICQ
   [03.05.2008|15:18] C:\DOKUME~1\ADMINI~1\ANWEND~1\Identities
   [26.03.2009|13:25] C:\DOKUME~1\ADMINI~1\ANWEND~1\ImgBurn
   [06.05.2008|11:51] C:\DOKUME~1\ADMINI~1\ANWEND~1\InstallShield
   [11.05.2008|16:48] C:\DOKUME~1\ADMINI~1\ANWEND~1\InstallShield Installation Information
   [03.05.2008|19:19] C:\DOKUME~1\ADMINI~1\ANWEND~1\Macromedia
   [21.05.2008|11:01] C:\DOKUME~1\ADMINI~1\ANWEND~1\Malwarebytes
   [29.08.2009|19:43] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
   [05.08.2009|19:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\MobMapUpdater
   [19.08.2009|14:09] C:\DOKUME~1\ADMINI~1\ANWEND~1\Mozilla
   [19.08.2009|16:29] C:\DOKUME~1\ADMINI~1\ANWEND~1\Opera
   [25.12.2008|15:47] C:\DOKUME~1\ADMINI~1\ANWEND~1\PC Suite
   [30.10.2008|15:10] C:\DOKUME~1\ADMINI~1\ANWEND~1\Red Alert 3
   [29.08.2009|21:00] C:\DOKUME~1\ADMINI~1\ANWEND~1\Skype
   [03.01.2009|19:19] C:\DOKUME~1\ADMINI~1\ANWEND~1\streamripper
   [31.05.2008|14:33] C:\DOKUME~1\ADMINI~1\ANWEND~1\Sun
   [29.08.2009|11:05] C:\DOKUME~1\ADMINI~1\ANWEND~1\SUPERAntiSpyware.com
   [21.08.2009|20:45] C:\DOKUME~1\ADMINI~1\ANWEND~1\teamspeak2
   [15.07.2009|13:29] C:\DOKUME~1\ADMINI~1\ANWEND~1\Thinstall
   [03.05.2008|20:49] C:\DOKUME~1\ADMINI~1\ANWEND~1\TuneUp Software
   [06.05.2008|16:25] C:\DOKUME~1\ADMINI~1\ANWEND~1\vlc
   [03.01.2009|19:23] C:\DOKUME~1\ADMINI~1\ANWEND~1\Winamp
   [22.03.2009|18:07] C:\DOKUME~1\ADMINI~1\ANWEND~1\WinBatch
   [07.06.2008|10:47] C:\DOKUME~1\ADMINI~1\ANWEND~1\WinRAR
   [28.08.2009|21:53] C:\DOKUME~1\ADMINI~1\ANWEND~1\Xfire
   [18.08.2009|00:18] C:\DOKUME~1\ADMINI~1\ANWEND~1\ZoomBrowser EX
   [0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
   [42|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

   [04.05.2008|21:55] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Acronis
   [05.07.2009|16:54] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
   [20.05.2008|23:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
   [13.11.2008|01:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Blizzard
   [20.08.2009|09:34] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Blizzard Entertainment
   [25.08.2009|11:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Comodo
   [04.06.2008|00:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink
   [26.03.2009|15:08] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Electronic Arts
   [27.08.2008|18:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ESET
   [28.08.2009|17:56] C:\DOKUME~1\ALLUSE~1\ANWEND~1\F-Secure
   [27.08.2008|21:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
   [04.05.2008|22:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Logitech
   [21.05.2008|11:01] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
   [22.12.2008|16:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
   [29.08.2009|19:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
   [15.07.2009|12:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
   [31.07.2009|16:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SlySoft
   [29.08.2009|23:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
   [25.08.2009|10:17] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SUPERAntiSpyware.com
   [29.08.2009|22:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
   [03.05.2008|20:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
   [02.05.2009|16:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TVU Networks
   [13.05.2008|16:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
   [05.08.2009|01:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ZoomBrowser
   [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
   [26|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

   [03.05.2008|15:15] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

   [28.08.2008|00:40] C:\DOKUME~1\INTERN~1\ANWEND~1\Adobe
   [28.08.2008|00:11] C:\DOKUME~1\INTERN~1\ANWEND~1\Identities
   [28.08.2008|00:21] C:\DOKUME~1\INTERN~1\ANWEND~1\Macromedia
   [28.08.2008|00:13] C:\DOKUME~1\INTERN~1\ANWEND~1\Microsoft
   [28.08.2008|00:14] C:\DOKUME~1\INTERN~1\ANWEND~1\Mozilla
   [0|Datei(en)] C:\DOKUME~1\INTERN~1\ANWEND~1\Bytes
   [7|Verzeichnis(se),] C:\DOKUME~1\INTERN~1\ANWEND~1\Bytes frei

   [04.05.2008|21:56] C:\DOKUME~1\LOCALS~1\ANWEND~1\Acronis
   [20.05.2008|23:59] C:\DOKUME~1\LOCALS~1\ANWEND~1\CyberLink
   [03.05.2008|15:15] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
   [27.10.2008|21:48] C:\DOKUME~1\LOCALS~1\ANWEND~1\Xfire
   [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
   [6|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

   [03.05.2008|15:15] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
   [03.05.2008|19:29] C:\DOKUME~1\NETWOR~1\ANWEND~1\Xfire
   [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
   [4|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei
 
   --------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks

   [26.08.2009 10:51][--a------] C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
   [29.08.2009 23:25][--ah-----] C:\WINDOWS\tasks\SA.DAT
   [11.11.2004 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

   --------------------\\  Ordner Verzeichnis unter C:\Programme

   [04.05.2008|21:55] C:\Programme\Acronis
   [21.11.2008|18:41] C:\Programme\Adobe
   [20.05.2008|20:32] C:\Programme\Ahead
   [16.06.2009|10:39] C:\Programme\ASUS
   [31.05.2008|13:53] C:\Programme\Brother
   [31.05.2008|13:54] C:\Programme\Brownie
   [05.08.2009|01:14] C:\Programme\Canon
   [31.03.2009|23:37] C:\Programme\CCleaner
   [29.08.2009|23:36] C:\Programme\cFosSpeed
   [31.05.2008|13:53] C:\Programme\Common Files
   [25.08.2009|11:23] C:\Programme\COMODO
   [03.05.2008|15:13] C:\Programme\ComPlus Applications
   [20.08.2009|11:10] C:\Programme\ConvertHelper
   [27.08.2008|21:17] C:\Programme\Creative
   [05.05.2008|17:09] C:\Programme\crushXT
   [04.05.2008|08:10] C:\Programme\DAMN NFO Viewer
   [06.05.2008|12:16] C:\Programme\Driver Cleaner Pro
   [05.05.2008|08:08] C:\Programme\D-Tools
   [08.04.2009|13:57] C:\Programme\DVD Audio Extractor
   [26.10.2008|16:30] C:\Programme\Dyyno
   [22.07.2009|15:35] C:\Programme\Easy CD-DA Extractor 9
   [27.12.2008|15:28] C:\Programme\Elaborate Bytes
   [27.08.2008|18:52] C:\Programme\ESET
   [01.06.2008|02:01] C:\Programme\Everest Ultimate Edition
   [27.08.2009|23:14] C:\Programme\FlashGet
   [31.10.2008|09:39] C:\Programme\FLV Player
   [06.05.2008|11:49] C:\Programme\Futuremark
   [29.08.2009|23:22] C:\Programme\Gemeinsame Dateien
   [06.11.2008|14:40] C:\Programme\Google
   [07.04.2009|18:31] C:\Programme\ICQ6.5
   [25.03.2009|22:01] C:\Programme\ImgBurn
   [03.05.2008|19:18] C:\Programme\IncrediMail
   [16.06.2009|10:50] C:\Programme\InstallShield Installation Information
   [03.05.2008|15:26] C:\Programme\Intel
   [29.08.2009|12:20] C:\Programme\Internet Explorer
   [17.02.2009|11:47] C:\Programme\Java
   [13.05.2008|16:02] C:\Programme\Lavalys
   [29.08.2009|23:10] C:\Programme\Lavasoft
   [04.05.2008|22:19] C:\Programme\Logitech
   [22.12.2008|16:39] C:\Programme\MagicISO
   [25.08.2009|09:34] C:\Programme\Malwarebytes' Anti-Malware
   [05.05.2008|08:29] C:\Programme\Messenger
   [03.05.2008|15:16] C:\Programme\microsoft frontpage
   [04.05.2008|07:34] C:\Programme\Movie Maker
   [21.12.2008|14:00] C:\Programme\MSBuild
   [21.06.2009|19:50] C:\Programme\MSECache
   [03.05.2008|15:12] C:\Programme\MSN
   [03.05.2008|15:13] C:\Programme\MSN Gaming Zone
   [05.05.2008|08:48] C:\Programme\MSXML 4.0
   [05.05.2008|08:48] C:\Programme\MSXML 6.0
   [19.08.2009|15:20] C:\Programme\MYIE2
   [03.05.2008|15:14] C:\Programme\NetMeeting
   [06.05.2008|19:35] C:\Programme\NVIDIA Corporation
   [06.05.2008|19:35] C:\Programme\NVIDIA nTune Performance Application
   [03.05.2008|15:13] C:\Programme\Online Services
   [03.05.2008|15:15] C:\Programme\Online-Dienste
   [19.08.2009|16:29] C:\Programme\Opera
   [29.08.2009|12:21] C:\Programme\Outlook Express
   [29.08.2009|23:21] C:\Programme\Panda Security
   [21.05.2008|00:42] C:\Programme\QuickTime
   [25.03.2009|11:56] C:\Programme\Recuva
   [21.12.2008|13:58] C:\Programme\Reference Assemblies
   [11.05.2008|14:33] C:\Programme\RivaTuner v2.09
   [15.07.2009|13:29] C:\Programme\Skype
   [31.07.2009|16:28] C:\Programme\SlySoft
   [29.08.2009|23:07] C:\Programme\Spybot - Search & Destroy
   [04.05.2008|07:37] C:\Programme\Stardock
   [03.05.2008|18:55] C:\Programme\StarMoney 5.0 S-Edition
   [29.08.2009|12:08] C:\Programme\StarMoney 6.0 S-Edition
   [29.08.2009|15:53] C:\Programme\SUPERAntiSpyware
   [28.08.2009|15:57] C:\Programme\Synergy
   [06.05.2008|13:30] C:\Programme\SystemRequirementsLab
   [28.08.2009|12:40] C:\Programme\trend micro
   [03.05.2008|15:18] C:\Programme\Uninstall Information
   [24.07.2009|08:57] C:\Programme\Unlocker
   [03.05.2008|23:14] C:\Programme\Winamp
   [21.05.2008|15:47] C:\Programme\WinAVIVideoConverter
   [17.11.2008|11:49] C:\Programme\Windows Media Player
   [05.05.2008|16:46] C:\Programme\Windows Media-Komponenten
   [03.05.2008|15:13] C:\Programme\Windows NT
   [03.05.2008|15:15] C:\Programme\WindowsUpdate
   [01.11.2008|17:04] C:\Programme\WinRAR
   [03.05.2008|15:16] C:\Programme\xerox
   [28.08.2009|21:53] C:\Programme\Xfire
   [29.08.2009|16:01] C:\Programme\xp-Iso-Builder
   [05.05.2008|09:28] C:\Programme\Xvid
   [0|Datei(en)] C:\Programme\Bytes
   [88|Verzeichnis(se),] C:\Programme\Bytes frei

   --------------------\\  Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

   [04.05.2008|21:55] C:\Programme\Gemeinsame Dateien\Acronis
   [21.11.2008|18:41] C:\Programme\Gemeinsame Dateien\Adobe
   [04.05.2008|07:35] C:\Programme\Gemeinsame Dateien\Ahead
   [20.03.2009|09:35] C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
   [05.08.2009|00:18] C:\Programme\Gemeinsame Dateien\Canon
   [04.06.2008|00:05] C:\Programme\Gemeinsame Dateien\CyberLink
   [03.05.2008|15:14] C:\Programme\Gemeinsame Dateien\Dienste
   [27.08.2008|20:54] C:\Programme\Gemeinsame Dateien\InstallShield
   [31.05.2008|14:29] C:\Programme\Gemeinsame Dateien\Java
   [21.06.2009|19:54] C:\Programme\Gemeinsame Dateien\Microsoft Shared
   [03.05.2008|15:14] C:\Programme\Gemeinsame Dateien\MSSoap
   [03.05.2008|16:07] C:\Programme\Gemeinsame Dateien\ODBC
   [03.05.2008|16:07] C:\Programme\Gemeinsame Dateien\SpeechEngines
   [04.05.2008|07:37] C:\Programme\Gemeinsame Dateien\Stardock
   [05.05.2008|08:47] C:\Programme\Gemeinsame Dateien\System
   [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
   [17|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

   --------------------\\  Process

   ( 45 Processes )

   ... OK !

   --------------------\\  Ueberpruefung mit S_Lop

   Kein Lop Ordner gefunden !
 
   --------------------\\  Suche nach Lop Dateien - Ordnern

   Kein Lop Ordner gefunden ! 
 
   --------------------\\  Suche innerhalb der Registry

   [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 
   ..... OK !

   --------------------\\  Ueberpruefung der Hosts Datei

   Hosts Datei SAUBER


   --------------------\\  Suche nach verborgenen Dateien mit Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2009-08-29 23:38:47
   Windows 5.1.2600 Service Pack 2 NTFS
   detected NTDLL code modification:
   ZwClose, ZwOpenFile
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\\  Suche nach anderen Infektionen


   Kein anderen Infektionen gefunden !

   [F:205][D:6]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
   [F:5884][D:0]-> C:\DOKUME~1\ADMINI~1\Cookies
   [F:6][D:4]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 29.08.2009|23:39 - Option : [2]

   --------------------\\  Scan beendet um 23:39:23

john.doe · 29.08.2009, 23:12

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Drivers to delete:
SASDIFSV
SASKUTIL
catchme
mbr
rootrepeal
SASENUM
cmdAgent
UxTuneUp
ertnvschkkpk
Lavasoft Ad-Aware Service
yuifockrxaya
lbd

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys

Folders to delete:
C:\rsit
C:\Config.Msi
C:\cf
C:\ComboFix
C:\Qoobox
C:\32788R22FWJFW
C:\WINDOWS\ERDNT
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo
C:\Programme\COMODO
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
C:\Programme\SUPERAntiSpyware
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
C:\Programme\Spybot - Search & Destroy
C:\WINDOWS\Downloaded Installations\DAEMON Tools 3.47

Files to delete:
C:\WINDOWS\Downloaded Program Files\bdcore.dll
C:\WINDOWS\Downloaded Program Files\bdupd.dll
C:\WINDOWS\Downloaded Program Files\DownloadManagerV2.inf
C:\WINDOWS\Downloaded Program Files\DownloadManagerV2.ocx
C:\WINDOWS\Downloaded Program Files\driveragent.inf
C:\WINDOWS\Downloaded Program Files\driveragent.ocx
C:\WINDOWS\Downloaded Program Files\DyynoCAB.inf
C:\WINDOWS\Downloaded Program Files\DyynoX.dll
C:\WINDOWS\Downloaded Program Files\erma.inf
C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe
C:\WINDOWS\Downloaded Program Files\fslauncher.dll
C:\WINDOWS\Downloaded Program Files\fslauncher.inf
C:\WINDOWS\Downloaded Program Files\ipsupd.dll
C:\WINDOWS\Downloaded Program Files\jinstall-6u6.inf
C:\WINDOWS\Downloaded Program Files\lang.ini
C:\WINDOWS\Downloaded Program Files\libfn.dll
C:\WINDOWS\Downloaded Program Files\live.ini
C:\WINDOWS\Downloaded Program Files\Manager.exe
C:\WINDOWS\Downloaded Program Files\npTVUAx.dll
C:\WINDOWS\Downloaded Program Files\olsserver.dat
C:\WINDOWS\Downloaded Program Files\OnlineScanner.inf
C:\WINDOWS\Downloaded Program Files\oscan8.inf
C:\WINDOWS\Downloaded Program Files\oscan8.ocx
C:\WINDOWS\Downloaded Program Files\scanoptions.tsi
C:\WINDOWS\Downloaded Program Files\swdir.inf
C:\WINDOWS\Downloaded Program Files\sysreqlab2.dll
C:\WINDOWS\Downloaded Program Files\SysReqLab2.osd
C:\WINDOWS\Downloaded Program Files\tvichw32.sys
C:\WINDOWS\Downloaded Program Files\TVUAx.inf
C:\WINDOWS\Downloaded Program Files\wuweb.inf
C:\WINDOWS\Downloaded Program Files\wvc1dmo.inf
C:\WINDOWS\system32\CF10039.exe
C:\WINDOWS\system32\CF10146.exe
C:\WINDOWS\system32\CF10601.exe
C:\WINDOWS\system32\CF10705.exe
C:\WINDOWS\system32\CF10846.exe
C:\WINDOWS\system32\CF10960.exe
C:\WINDOWS\system32\CF11100.exe
C:\WINDOWS\system32\CF11753.exe
C:\WINDOWS\system32\CF15316.exe
C:\WINDOWS\system32\CF15440.exe
C:\WINDOWS\system32\CF15571.exe
C:\WINDOWS\system32\CF15675.exe
C:\WINDOWS\system32\CF17096.exe
C:\WINDOWS\system32\CF197.exe
C:\WINDOWS\system32\CF20065.exe
C:\WINDOWS\system32\CF20189.exe
C:\WINDOWS\system32\CF29937.exe
C:\WINDOWS\system32\CF30398.exe
C:\WINDOWS\system32\CF43.exe
C:\WINDOWS\system32\CF8909.exe
C:\WINDOWS\system32\pqbvkjrxbtzem
C:\GDIPFONTCACHEV1.DAT
C:\debug.log
C:\Qoobox.rar
C:\Avenger.rar
C:\aaw7boot.log
C:\WINDOWS\system32\drivers\yuifockrxaya.sys
C:\WINDOWS\system32\drivers\ertnvschkkpk.sys
C:\WINDOWS\system32\guard32.dll
C:\WINDOWS\system32\cmd.execf
C:\WINDOWS\system32\CF10146.exe
C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

realmagic · 29.08.2009, 23:27

erstmal eine kurze frage, warum sollte comodo gelöscht werden ? ich dachte das ist eine brauchbare firewall

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\SASDIFSV" not found!
Deletion of driver "SASDIFSV" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\SASKUTIL" not found!
Deletion of driver "SASKUTIL" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "catchme" deleted successfully.
Driver "mbr" deleted successfully.
Driver "rootrepeal" deleted successfully.

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\SASENUM" not found!
Deletion of driver "SASENUM" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "cmdAgent" deleted successfully.

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\UxTuneUp" not found!
Deletion of driver "UxTuneUp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "ertnvschkkpk" deleted successfully.

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\Lavasoft Ad-Aware Service" not found!
Deletion of driver "Lavasoft Ad-Aware Service" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "yuifockrxaya" deleted successfully.
Driver "lbd" deleted successfully.

Error:  registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Folder "C:\rsit" deleted successfully.
Folder "C:\Config.Msi" deleted successfully.
Folder "C:\cf" deleted successfully.
Folder "C:\ComboFix" deleted successfully.

Error:  folder "C:\Qoobox" not found!
Deletion of folder "C:\Qoobox" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "C:\32788R22FWJFW" not found!
Deletion of folder "C:\32788R22FWJFW" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Folder "C:\WINDOWS\ERDNT" deleted successfully.
Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo" deleted successfully.
Folder "C:\Programme\COMODO" deleted successfully.
Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com" deleted successfully.
Folder "C:\Programme\SUPERAntiSpyware" deleted successfully.
Folder "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com" deleted successfully.
Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy" deleted successfully.
Folder "C:\Programme\Spybot - Search & Destroy" deleted successfully.
Folder "C:\WINDOWS\Downloaded Installations\DAEMON Tools 3.47" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\bdcore.dll" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\bdupd.dll" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\DownloadManagerV2.inf" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\DownloadManagerV2.ocx" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\driveragent.inf" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\driveragent.ocx" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\DyynoCAB.inf" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\DyynoX.dll" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\erma.inf" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\fslauncher.dll" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\fslauncher.inf" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\ipsupd.dll" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\jinstall-6u6.inf" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\lang.ini" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\libfn.dll" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\live.ini" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\Manager.exe" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\npTVUAx.dll" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\olsserver.dat" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\OnlineScanner.inf" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\oscan8.inf" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\oscan8.ocx" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\scanoptions.tsi" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\swdir.inf" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\sysreqlab2.dll" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\SysReqLab2.osd" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\tvichw32.sys" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\TVUAx.inf" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\wuweb.inf" deleted successfully.
File "C:\WINDOWS\Downloaded Program Files\wvc1dmo.inf" deleted successfully.
File "C:\WINDOWS\system32\CF10039.exe" deleted successfully.
File "C:\WINDOWS\system32\CF10146.exe" deleted successfully.
File "C:\WINDOWS\system32\CF10601.exe" deleted successfully.
File "C:\WINDOWS\system32\CF10705.exe" deleted successfully.
File "C:\WINDOWS\system32\CF10846.exe" deleted successfully.
File "C:\WINDOWS\system32\CF10960.exe" deleted successfully.
File "C:\WINDOWS\system32\CF11100.exe" deleted successfully.
File "C:\WINDOWS\system32\CF11753.exe" deleted successfully.
File "C:\WINDOWS\system32\CF15316.exe" deleted successfully.
File "C:\WINDOWS\system32\CF15440.exe" deleted successfully.
File "C:\WINDOWS\system32\CF15571.exe" deleted successfully.
File "C:\WINDOWS\system32\CF15675.exe" deleted successfully.
File "C:\WINDOWS\system32\CF17096.exe" deleted successfully.
File "C:\WINDOWS\system32\CF197.exe" deleted successfully.
File "C:\WINDOWS\system32\CF20065.exe" deleted successfully.
File "C:\WINDOWS\system32\CF20189.exe" deleted successfully.
File "C:\WINDOWS\system32\CF29937.exe" deleted successfully.
File "C:\WINDOWS\system32\CF30398.exe" deleted successfully.
File "C:\WINDOWS\system32\CF43.exe" deleted successfully.
File "C:\WINDOWS\system32\CF8909.exe" deleted successfully.
File "C:\WINDOWS\system32\pqbvkjrxbtzem" deleted successfully.
File "C:\GDIPFONTCACHEV1.DAT" deleted successfully.
File "C:\debug.log" deleted successfully.
File "C:\Qoobox.rar" deleted successfully.
File "C:\Avenger.rar" deleted successfully.
File "C:\aaw7boot.log" deleted successfully.
File "C:\WINDOWS\system32\drivers\yuifockrxaya.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\ertnvschkkpk.sys" deleted successfully.
File "C:\WINDOWS\system32\guard32.dll" deleted successfully.

Error:  file "C:\WINDOWS\system32\cmd.execf" not found!
Deletion of file "C:\WINDOWS\system32\cmd.execf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\CF10146.exe" not found!
Deletion of file "C:\WINDOWS\system32\CF10146.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

realmagic · 30.08.2009, 11:46

ich wollte nur kurz mal fragen, wie es jetzt weiter geht ? und mich würde auch interessieren, wie der stand der dinge ist (welche vermutung du hast, ob noch gefahr besteht etc)

ich wäre über ein kurzes feedback sehr dankbar.

gruß

john.doe · 30.08.2009, 12:05

Ich habe nur versucht, dich von den Unmengen an Müll, den du dir durch deine Unwissenheit installiert hast, zu befreien. Wenn du einen sauberen Rechner möchtest => http://www.trojaner-board.de/51262-a...sicherung.html

Nur in deinem Fall ist das ziemlich sinnlos, da du sofort wieder Unmengen an Programmen installieren und starten würdest, die den Rechner zumüllen. Für den TDSS gibt es keine Anzeichen mehr. Das will aber nichts heißen, die Jungs, die die Programmieren sind zu gut. Die schaffen es sämtliche "Sicherheitsprogramme" auszuhebeln.

Die Bestätigung, dass dein Rechner sauber ist, wirst du von mir nicht erhalten. Garantiert nicht, solange du unaufgefordert Programme wie ComboFix startest. In deinem Fall ist das Problem vor dem Bildschirm. Das kann ich nicht beheben.

ciao, andreas

realmagic · 30.08.2009, 12:13

also wird jetzt von dir nichts mehr gemacht, bzw du kannst nichts mehr machen ??

das heißt, kein spybot oder adaware installieren ? und wenn comodo runter muss, welche firewall würdest du empfehlen ?

ok, das mit cf war ganz klar mein fehler, aber danach habe ich doch alles gemacht was du mir gesagt hattest. und ich würde es auch weiter machen. du weißt doch, aus fehlern lernt man

john.doe · 30.08.2009, 12:25

Zitat:

also wird jetzt von dir nichts mehr gemacht, bzw du kannst nichts mehr machen ??

Zitat aus "True Lies": Frauen - man kann nicht mit ihnen leben... und darf sie nicht erschießen."

Zitat:

das heißt, kein spybot oder adaware installieren ?

Doch, die sind Klasse und beschützen dich wirklich, nimm noch ZoneAlarm, Online Armor und noch weitere 5 Antivirenprogramme, damit dein Rechner auf wirklich sicher ist.

q.e.d.

Zitat:

und wenn comodo runter muss, welche firewall würdest du empfehlen ?

Du schaffst mich wirklich, selbst mit meinem Sarkasmus bin ich jetzt am Ende.

Zitat:

und ich würde es auch weiter machen. du weißt doch, aus fehlern lernt man

Offensichtlich nicht und deshalb ist hier Ende.

Du bist entlassen.

ciao, andreas

realmagic · 30.08.2009, 12:41

ich verstehe jetzt nicht so ganz warum ich hier so runtergeputzt werde?
ich hatte doch nur um hilfe gebeten, und gestern abend dachte ich auch ich würde sie bekommen. und heute werde ich einfach nur runtergemacht.

ehrlich gesagt, verstehe ich jetzt gerade die welt nicht mehr.

wenn man etwas nicht weiß und danach fragt, ist das schon eine straftat ?? so kommt es mir gerade vor.

john.doe · 30.08.2009, 13:30

Du begreifst noch immer das Problem nicht. Ich habe mich durch ca. 400 KB Logs durchgelesen. Mit jeder Zeile, die ich las, sackte ich mehr zusammen und erkannte, dass es keinen Sinn mehr hat. Gut, wenn du darauf besteht, dass ich dich vorführe:

Zitat:

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\images
19.08.2009 16:29 1.150 http%3A%2F%2Fredir.opera.com%2Ffavicons%2Fbittorrent%2Ffavicon.ico

Wer sich die Virenschleuder in die Favoriten packt, darf sich nicht wundern, dass er befallen ist.

Zitat:

Verzeichnis von C:\Dokumente und Einstellungen\Internetz\Favoriten\Spiele
22.01.2007 02:43 171 GameBurnWorld- Cheats, Game Fixes, No-DVD Patches, Trainers, Covers, No-CD Files.url
22.01.2007 02:55 172 [ Cheatz.de ] 100.000 Cheats, Codes, Loesungen, Patches.url

Ja, diese Adressen sollte jeder haben. Da gibt es jeden Schädling, den ihr wollt.

Zitat:

Internetz

Hat da jemand das hier gelesen? => Hacken - Das Hackertutorial

Zitat:

127.0.0.1 servserv.generals.ea.com

"Dein" Command und Conquer 3 ist gestohlen. Soll ich tatsächlich noch deutlicher werden?

Wenn du meinst, dich hier als Unschuldigen präsentieren zu müssen, die Logs sprechen eine andere Sprache. Wenn wir Helfer hier Eines können, dann ist es Logs zu lesen und das ich dich nicht schon vorher vorgeführt habe, ist reine Menschenliebe. Da du aber nicht einmal ansatzweise einsichtig bist und dich hier auch noch als unschuldig hinstellst, ist das vergebene Liebesmüh.

Ich bin raus, andreas

realmagic · 30.08.2009, 13:52

ui, da muss ich nochmal mit meinen kindern reden, das habe ich ja nichtmal gewusst. aber danke für den hinweis.

und das mit dem internetz, das kommt von paul panzer, der sagt doch auch immer internetz und gegogggelt

nachtrag: dann macht es wohl doch sinn alles zu löschen. ich weiß, unwissenheit schützt vor strafe nicht, aber ich danke dir trotzdem für deine hilfe. du hast mir alleine schon durch deinen hinweis sehr weitergeholfen. aber warum hast du das nicht gleich gesagt ?? so hätten wir wenigstens nicht aneinander vorbei geredet und ich hätte sofort gewusst wo der hase im pfeffer liegt.

trojan.tdss gelöscht oder noch vorhanden ???

Plagegeister aller Art und deren Bekämpfung: trojan.tdss gelöscht oder noch vorhanden ???