Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Rootkit.TDSS werde ich nicht los!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.09.2009, 17:06   #1
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!



Hallo,
habe mir ein Virus eingefangen.
Die meisten schädlichen Datein hat mir bereits Malewarebytes und NOD entfernt.

Aber eine Meldung in der Registry kommt immer wieder.

Malewarebyte log:
Zitat:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2744
Windows 6.0.6001 Service Pack 1

05.09.2009 17:56:26
malwarbytes

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 217995
Laufzeit: 1 hour(s), 11 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\kbiwkmosiuqvsq (Rootkit.TDSS) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
---------------------------

Hijacklog:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:58:17, on 05.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.178.25/LiveTV.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DATA BECKER Update Service (DBService) - DATA BECKER GmbH & Co KG - C:\Program Files\Common Files\DATA BECKER Shared\DBService.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\Windows\SYSTEM32\DWRCS.EXE
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 4130 bytes
NOD32 findet inzwischen nix mehr.
Und Malebytes findet, entfernt aber nach einem neustart ist "es" wieder da.



Wer hilft mir?

mfg
Moni

Geändert von moni81 (05.09.2009 um 17:17 Uhr)

Alt 05.09.2009, 17:19   #2
john.doe
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!



Hallo moni81 und

Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr hohem Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du dich für Bereinigen entscheiden, auch wenn es länger dauern wird, dann beginne mit RSIT. Poste bitte beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
ciao, andreas
__________________

__________________

Alt 05.09.2009, 17:59   #3
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!



Würde gern eine Neuinstallation vermeiden!
Was macht so ein rootkit eigentlich?
ccleaner lief komplett durch aber die confi.exe hat sich mit einem bluescreen verabschiedet
Hier mal die beiden logs:


Zitat:
info.txt logfile of random's system information tool 1.06 2009-09-05 18:28:02

======Uninstall list======

Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.5 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003}
Alcatech BPM Studio Professional v4.9.1-->C:\PROGRA~1\ALCATech\BPM-ST~1\UNWISE.EXE C:\PROGRA~1\ALCATech\BPM-ST~1\INSTALL.LOG
Apple Mobile Device Support-->MsiExec.exe /I{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
Canon iP4500 series-->"C:\Windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4500_series\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4500_series /L0x0007
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Chipkartenleser-->C:\Windows\unin0407.exe -f"C:\Program Files\Chipkartenleser\DeIsL1.isu" -c"C:\Program Files\Chipkartenleser\_ISREG32.DLL"
DATA BECKER TVISTA - Tuning Vista 2.0-->"C:\Program Files\DATA BECKER\TVISTA - Tuning Vista 2.0\unins000.exe"
DBox II - Bootmanager-->C:\Program Files\DBoxBoot\FT_SETUP.EXE 0
DBOX2 Image-Flashing-Assistent 3.1.1-->"C:\Program Files\DBOX_IFA\unins000.exe"
Dell Touchpad-->C:\Program Files\DellTPad\Uninstap.exe ADDREMOVE
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
FileZilla Client 3.0.4.1-->C:\Program Files\FileZilla Client\uninstall.exe
FlexPoints 2.01-->MsiExec.exe /I{B727BD4D-0C42-43F7-AC60-4AFBDDC732BD}
HE@D PC_Program-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EB86D0C1-E6AA-48DA-A8ED-AFD7A0AACC0A}\setup.exe" -l0x7 -removeonly
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
IrfanView (remove only)-->C:\Program Files\IrfanView\iv_uninstall.exe
iTunes-->MsiExec.exe /I{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
LocoRoco 2 - Wave-->"C:\Windows\LocoRoco 2 - Wave Uninstaller\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
MozBackup 1.4.6-->"C:\Program Files\MozBackup\unins000.exe"
Mozilla Firefox (3.0.13)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Nordenta CD Katalog 2008-2009 v1.8.2.17-->"C:\Program Files\Nordenta CD Katalog 2008-2009\unins000.exe"
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
OpenOffice.org 2.4-->MsiExec.exe /I{CCD90636-D97D-4130-A44A-3AD4E63B9220}
Panda ActiveScan 2.0-->C:\Program Files\Panda Security\ActiveScan 2.0\as2uninst.exe
ProtectDisc Driver, Version 11-->C:\Program Files\ProtectDisc Driver Installer\uninstall_v11.exe
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Remote Control USB Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8471021C-F529-43DE-84DF-3612E10F58C4}\setup.exe" -l0x9 -removeonly
SetEditHomecast (remove only)-->"C:\Program Files\SetEditHomecast\uninstall.exe"
Stickies 6.5a-->"C:\Windows\lsb_un20.exe" /C=UC /N=Stickies 6.5a
TuneUp Utilities 2008-->MsiExec.exe /I{5888428E-699C-4E71-BF71-94EE06B497DA}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VideoLAN VLC media player 0.8.6f-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Vista Codec Package-->MsiExec.exe /I{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}
Wella Koleston Perfect Farbberatung V2.20.017-->MsiExec.exe /X{EE430E2D-8360-4851-ABD9-6C0E00942BD2}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows-Soundschemas-->RunDll32 advpack.dll,LaunchINFSection C:\Windows\INF\UltSound.inf,Uninstall
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Zehnder Toolbox 1.5-->"C:\Program Files\Zehnder\unins000.exe"

=====HijackThis Backups=====

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = [2009-09-05]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = [2009-09-05]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 [2009-09-05]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 [2009-09-05]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 [2009-09-05]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 [2009-09-05]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 [2009-09-05]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [2009-09-05]
O23 - Service: Anwendungserfahrung AeLookupSvcALG (AeLookupSvcALG) - Unknown owner - C:\Windows\TEMP\rdwrjyifyv.exe (file missing) [2009-09-05]
O23 - Service: Anwendungserfahrung AeLookupSvcALG (AeLookupSvcALG) - Unknown owner - C:\Windows\TEMP\rdwrjyifyv.exe (file missing) [2009-09-05]
O13 - Gopher Prefix: [2009-09-05]

======Security center information======

AS: Windows-Defender (disabled) (outdated)

======System event log======

Computer Name: DELL
Event Code: 10029
Message: DCOM hat den Dienst TrustedInstaller mit den Argumenten "" gestartet, um den Server auszuführen:
{752073A1-23F2-4396-85F0-8FDB879ED0ED}
Record Number: 107321
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20090905150014.000000-000
Event Type: Informationen
User:

Computer Name: DELL
Event Code: 7036
Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Ausgeführt".
Record Number: 107322
Source Name: Service Control Manager
Time Written: 20090905150015.000000-000
Event Type: Informationen
User:

Computer Name: DELL
Event Code: 8032
Message: Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{60401A05-9C98-4369-8CA6-37F39FEA0F3B}" zu oft fehl. Der Sicherungssuchdienst wird beendet.
Record Number: 107323
Source Name: BROWSER
Time Written: 20090905150224.000000-000
Event Type: Fehler
User:

Computer Name: DELL
Event Code: 7036
Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Beendet".
Record Number: 107324
Source Name: Service Control Manager
Time Written: 20090905151016.000000-000
Event Type: Informationen
User:

Computer Name: DELL
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 107325
Source Name: Service Control Manager
Time Written: 20090905151624.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: DELL
Event Code: 102
Message: WinMail (2440) WindowsMail0: Das Datenbankmodul (6.00.6001.0000) hat eine neue Instanz gestartet (0).
Record Number: 17638
Source Name: ESENT
Time Written: 20090905143646.000000-000
Event Type: Informationen
User:

Computer Name: DELL
Event Code: 1
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.
Record Number: 17639
Source Name: SecurityCenter
Time Written: 20090905143746.000000-000
Event Type: Informationen
User:

Computer Name: DELL
Event Code: 103
Message: WinMail (2440) WindowsMail0: Das Datenbankmodul hat die Instanz (0) beendet.
Record Number: 17640
Source Name: ESENT
Time Written: 20090905153845.000000-000
Event Type: Informationen
User:

Computer Name: DELL
Event Code: 102
Message: WinMail (752) WindowsMail0: Das Datenbankmodul (6.00.6001.0000) hat eine neue Instanz gestartet (0).
Record Number: 17641
Source Name: ESENT
Time Written: 20090905160054.000000-000
Event Type: Informationen
User:

Computer Name: DELL
Event Code: 103
Message: WinMail (752) WindowsMail0: Das Datenbankmodul hat die Instanz (0) beendet.
Record Number: 17642
Source Name: ESENT
Time Written: 20090905162620.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: DELL
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 37733
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090905162758.127222-000
Event Type: Überwachung gescheitert
User:

Computer Name: DELL
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 37734
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090905162758.174022-000
Event Type: Überwachung gescheitert
User:

Computer Name: DELL
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 37735
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090905162758.220822-000
Event Type: Überwachung gescheitert
User:

Computer Name: DELL
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 37736
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090905162758.283222-000
Event Type: Überwachung gescheitert
User:

Computer Name: DELL
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 37737
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090905162758.330022-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Common Files\DivX Shared\;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 2, GenuineIntel
"PROCESSOR_REVISION"=0f02
"NUMBER_OF_PROCESSORS"=2
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------
__________________

Geändert von moni81 (05.09.2009 um 18:07 Uhr)

Alt 05.09.2009, 18:01   #4
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!



2 x hintereinnader weil die logs zu viele zeivchen haben.


Zitat:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Moni at 2009-09-05 18:52:22
Microsoft® Windows Vista™ Ultimate Service Pack 1
System drive C: has 6 GB (16%) free of 36 GB
Total RAM: 1021 MB (41% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:33, on 05.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Moni\Pictures\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Moni.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.178.25/LiveTV.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DATA BECKER Update Service (DBService) - DATA BECKER GmbH & Co KG - C:\Program Files\Common Files\DATA BECKER Shared\DBService.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\Windows\SYSTEM32\DWRCS.EXE
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 4178 bytes

======Scheduled tasks folder======

C:\Windows\tasks\1-Klick-Wartung.job
C:\Windows\tasks\User_Feed_Synchronization-{C0982906-270C-4E6E-B4C6-939D82F41944}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]
"Apoint"=C:\Program Files\DellTPad\Apoint.exe [2007-07-02 159744]
"NvSvc"=C:\Windows\system32\nvsvc.dll [2007-10-04 86016]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2007-10-04 8497696]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2007-10-04 81920]
"NVHotkey"=C:\Windows\system32\nvHotkey.dll [2007-10-04 86016]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-03-09 148888]
"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2009-05-26 413696]
"iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2009-07-13 292128]
"egui"=C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe [2009-02-06 2021400]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-19 1233920]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll [2007-07-20 233888]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2009-09-05 18:34:48 ----A---- C:\Windows\zip.exe
2009-09-05 18:34:48 ----A---- C:\Windows\SWXCACLS.exe
2009-09-05 18:34:48 ----A---- C:\Windows\SWSC.exe
2009-09-05 18:34:48 ----A---- C:\Windows\SWREG.exe
2009-09-05 18:34:48 ----A---- C:\Windows\sed.exe
2009-09-05 18:34:48 ----A---- C:\Windows\PEV.exe
2009-09-05 18:34:48 ----A---- C:\Windows\NIRCMD.exe
2009-09-05 18:34:48 ----A---- C:\Windows\grep.exe
2009-09-05 18:34:42 ----D---- C:\Windows\ERDNT
2009-09-05 18:34:41 ----SD---- C:\cofi
2009-09-05 18:34:40 ----A---- C:\Windows\system32\CF9085.exe
2009-09-05 18:34:38 ----A---- C:\Windows\system32\swsc.exe
2009-09-05 18:34:16 ----D---- C:\Qoobox
2009-09-05 18:27:54 ----D---- C:\rsit
2009-09-05 18:23:25 ----D---- C:\Program Files\CCleaner
2009-09-05 12:04:20 ----D---- C:\Users\Moni\AppData\Roaming\Malwarebytes
2009-09-05 12:04:05 ----D---- C:\ProgramData\Malwarebytes
2009-09-05 12:04:05 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-09-05 11:33:02 ----D---- C:\Program Files\Panda Security
2009-09-05 11:14:00 ----D---- C:\Program Files\Trend Micro
2009-09-05 10:56:05 ----D---- C:\ProgramData\ESET
2009-09-05 10:56:05 ----D---- C:\Program Files\ESET
2009-09-05 10:49:19 ----A---- C:\Windows\system32\tzres.dll
2009-09-04 16:29:13 ----D---- C:\Windows\Minidump
2009-08-25 19:29:23 ----D---- C:\Windows\LocoRoco 2 - Wave Uninstaller
2009-08-25 19:29:23 ----A---- C:\Windows\LocoRoco 2 - Wave.ini
2009-08-25 19:29:23 ----A---- C:\Windows\LocoRoco 2 - Wave.exe
2009-08-20 21:26:38 ----A---- C:\Windows\system32\mstscax.dll
2009-08-20 21:26:34 ----A---- C:\Windows\system32\avifil32.dll
2009-08-20 21:26:31 ----A---- C:\Windows\system32\wkssvc.dll
2009-08-20 21:26:27 ----A---- C:\Windows\system32\kerberos.dll
2009-08-20 21:26:26 ----A---- C:\Windows\system32\wdigest.dll
2009-08-20 21:26:26 ----A---- C:\Windows\system32\msv1_0.dll
2009-08-20 21:26:25 ----A---- C:\Windows\system32\schannel.dll
2009-08-20 21:26:25 ----A---- C:\Windows\system32\lsasrv.dll
2009-08-20 21:26:23 ----A---- C:\Windows\system32\secur32.dll
2009-08-20 21:26:23 ----A---- C:\Windows\system32\lsass.exe
2009-08-20 21:26:13 ----A---- C:\Windows\system32\atl.dll
2009-08-20 21:21:18 ----A---- C:\Windows\system32\wmp.dll
2009-08-20 21:21:16 ----A---- C:\Windows\system32\wmpdxm.dll
2009-08-20 21:21:13 ----A---- C:\Windows\system32\spwmp.dll
2009-08-20 21:21:12 ----A---- C:\Windows\system32\dxmasf.dll
2009-08-20 21:21:11 ----A---- C:\Windows\system32\wmploc.DLL
2009-08-20 21:03:58 ----D---- C:\ProgramData\Spybot - Search & Destroy
2009-08-20 21:03:57 ----D---- C:\Program Files\Spybot - Search & Destroy

======List of files/folders modified in the last 1 months======

2009-09-05 18:52:23 ----D---- C:\Windows\Temp
2009-09-05 18:50:32 ----D---- C:\Program Files\Mozilla Firefox
2009-09-05 18:49:31 ----D---- C:\Windows\Debug
2009-09-05 18:49:31 ----D---- C:\Windows
2009-09-05 18:40:33 ----D---- C:\Windows\system32\drivers
2009-09-05 18:40:33 ----D---- C:\Windows\System32
2009-09-05 18:40:33 ----D---- C:\Windows\AppPatch
2009-09-05 18:40:32 ----D---- C:\Program Files\Common Files
2009-09-05 18:34:40 ----D---- C:\Windows\system32\de-DE
2009-09-05 18:34:18 ----D---- C:\Windows\Prefetch
2009-09-05 18:23:25 ----RD---- C:\Program Files
2009-09-05 15:01:19 ----D---- C:\Windows\rescache
2009-09-05 12:04:05 ----HD---- C:\ProgramData
2009-09-05 10:57:32 ----SHD---- C:\Windows\Installer
2009-09-05 10:55:27 ----SHD---- C:\System Volume Information
2009-09-05 10:50:44 ----D---- C:\Windows\winsxs
2009-09-05 10:50:29 ----D---- C:\Windows\system32\catroot
2009-09-05 10:50:22 ----D---- C:\Windows\system32\catroot2
2009-08-20 21:42:01 ----D---- C:\Program Files\Windows Media Player
2009-08-20 20:35:14 ----D---- C:\Windows\inf
2009-08-20 20:35:14 ----A---- C:\Windows\system32\PerfStringBackup.INI

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 CSC;Offline Files Driver; C:\Windows\system32\drivers\csc.sys [2008-01-19 350720]
R1 dwvkbd;DameWare Virtual Keyboard 32 bit Driver; C:\Windows\system32\DRIVERS\dwvkbd.sys [2007-02-15 26624]
R1 ehdrv;ehdrv; C:\Windows\system32\DRIVERS\ehdrv.sys [2009-02-06 106208]
R2 acedrv11;acedrv11; \??\C:\Windows\system32\drivers\acedrv11.sys [2008-07-30 277736]
R2 eamon;eamon; C:\Windows\system32\DRIVERS\eamon.sys [2009-02-06 113448]
R2 epfwwfpr;epfwwfpr; C:\Windows\system32\DRIVERS\epfwwfpr.sys [2009-02-06 92800]
R3 ApfiltrService;Alps Touch Pad Filter Driver for Windows 2000/XP/Vista; C:\Windows\system32\DRIVERS\Apfiltr.sys [2007-06-25 155136]
R3 b57nd60x;%SvcDispName%; C:\Windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
R3 BCM43XV;Broadcom Extensible 802.11-Netzwerkadaptertreiber; C:\Windows\system32\DRIVERS\bcmwl6.sys [2006-11-02 464384]
R3 BthEnum;Bluetooth-Auflistungsdienst; C:\Windows\system32\DRIVERS\BthEnum.sys [2008-01-19 19456]
R3 BthPan;Bluetooth-Gerät (PAN); C:\Windows\system32\DRIVERS\bthpan.sys [2008-01-19 92160]
R3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\Windows\System32\Drivers\BTHUSB.sys [2008-04-29 29184]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-19 14208]
R3 DwMirror;DwMirror; C:\Windows\system32\DRIVERS\DamewareMini.sys [2007-02-07 3712]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\system32\DRIVERS\GEARAspiWDM.sys [2009-03-19 23400]
R3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2007-10-04 7628608]
R3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\Windows\system32\DRIVERS\rfcomm.sys [2008-01-19 49664]
R3 USBCCID;USB-Smartcard-Leser; C:\Windows\system32\DRIVERS\usbccid.sys [2008-01-19 30208]
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-19 11264]
S1 gymbwciodrsvxcrp;gymbwciodrsvxcrp; C:\Windows\system32\drivers\gymbwciodrsvxcrp.sys []
S3 BTHPORT;Bluetooth-Porttreiber; C:\Windows\System32\Drivers\BTHport.sys [2008-04-29 220160]
S3 catchme;catchme; \??\C:\Users\Moni\AppData\Local\Temp\catchme.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 HSF_DPV;HSF_DPV; C:\Windows\system32\DRIVERS\VSTDPV3.SYS [2006-11-02 987648]
S3 HSFHWAZL;HSFHWAZL; C:\Windows\system32\DRIVERS\VSTAZL3.SYS [2006-11-02 200704]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 USBAAPL;Apple Mobile USB Driver; C:\Windows\System32\Drivers\usbaapl.sys [2009-06-05 39424]
S3 winachsf;winachsf; C:\Windows\system32\DRIVERS\VSTCNXT3.SYS [2006-11-02 654336]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-19 39936]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-06-05 144712]
R2 Bonjour Service;Bonjour-Dienst; C:\Program Files\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 BthServ;@%SystemRoot%\System32\bthserv.dll,-101; C:\Windows\system32\svchost.exe [2008-01-19 21504]
R2 CscService;@%systemroot%\system32\cscsvc.dll,-200; C:\Windows\System32\svchost.exe [2008-01-19 21504]
R2 DBService;DATA BECKER Update Service; C:\Program Files\Common Files\DATA BECKER Shared\DBService.exe [2008-07-31 187456]
R2 ekrn;ESET Service; C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-02-06 727720]
R2 UxTuneUp;@%SystemRoot%\System32\uxtuneup.dll,-4096; C:\Windows\System32\svchost.exe [2008-01-19 21504]
R3 iPod Service;iPod-Dienst; C:\Program Files\iPod\bin\iPodService.exe [2009-07-13 542496]
S3 AppMgmt;@appmgmts.dll,-3250; C:\Windows\system32\svchost.exe [2008-01-19 21504]
S3 DWMRCS;DameWare Mini Remote Control; C:\Windows\SYSTEM32\DWRCS.EXE [2009-01-03 236544]
S3 EhttpSrv;ESET HTTP Server; C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe [2009-02-06 20680]
S3 Fax;@%systemroot%\system32\fxsresm.dll,-118; C:\Windows\system32\fxssvc.exe [2008-01-19 523776]
S3 TuneUp.Defrag;@%SystemRoot%\System32\TuneUpDefragService.exe,-1; C:\Windows\System32\TuneUpDefragService.exe [2008-04-12 307968]
S3 UmRdpService;@%SystemRoot%\system32\umrdp.dll,-1000; C:\Windows\System32\svchost.exe [2008-01-19 21504]
S3 wbengine;@%systemroot%\system32\wbengine.exe,-104; C:\Windows\system32\wbengine.exe [2008-01-19 917504]

-----------------EOF-----------------

Alt 05.09.2009, 18:02   #5
john.doe
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!



Zitat:
Was macht so ein rootkit eigentlich?
Sich gut verstecken.
Zitat:
die confi.exe hat sich mit einem bluescreen verabschiedet
Nicht, dass wir aneinander vorbeischreiben. Meinst du den Bluescreen von Windows? Wenn du ComboFix startet, öffnet sich ein Fenster, das Blau ist. Das ist normal.

ciao, andreas

__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.09.2009, 18:05   #6
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!



Das fenster lief bis ca 50 Vorgänge und dann gabs ein Windows bluescreen und einen neustart.

Geändert von moni81 (05.09.2009 um 18:35 Uhr)

Alt 05.09.2009, 18:07   #7
john.doe
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!



Start => Ausführen => c:\combofix.txt => OK

Öffnet sich ein leeres Fenster oder siehst du einen Text? Falls du einen Text siehst, dann poste ihn hier. Ansonsten starte cofi noch einmal.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.09.2009, 18:31   #8
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!



Beim 2tem Anlauf hats geklappt:

Zitat:
ComboFix 09-09-04.02 - Moni 05.09.2009 19:12.2.2 - NTFSx86
Microsoft® Windows Vista™ Ultimate 6.0.6001.1.1252.49.1031.18.1021.413 [GMT 2:00]
ausgeführt von:: c:\users\Moni\Pictures\Desktop\confi.exe
SP: Windows-Defender *disabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-3702560507-3363755260-1649499183-1002
c:\$recycle.bin\S-1-5-21-51003140-4199384537-3980697693-500
c:\windows\Installer\1712f.msi

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_kbiwkmosiuqvsq
-------\Service_kbiwkmosiuqvsq


((((((((((((((((((((((( Dateien erstellt von 2009-08-05 bis 2009-09-05 ))))))))))))))))))))))))))))))
.

2009-09-05 17:19 . 2009-09-05 17:22 -------- d-----w- c:\users\Moni\AppData\Local\temp
2009-09-05 17:19 . 2009-09-05 17:19 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-09-05 16:34 . 2009-09-05 16:42 -------- d-s---w- C:\cofi
2009-09-05 16:27 . 2009-09-05 16:28 -------- d-----w- C:\rsit
2009-09-05 16:23 . 2009-09-05 16:23 -------- d-----w- c:\program files\CCleaner
2009-09-05 10:04 . 2009-09-05 10:04 -------- d-----w- c:\users\Moni\AppData\Roaming\Malwarebytes
2009-09-05 10:04 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-05 10:04 . 2009-09-05 10:04 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-05 10:04 . 2009-09-05 10:04 -------- d-----w- c:\programdata\Malwarebytes
2009-09-05 10:04 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-05 09:33 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-09-05 09:33 . 2009-09-05 09:33 -------- d-----w- c:\program files\Panda Security
2009-09-05 09:14 . 2009-09-05 09:14 -------- d-----w- c:\program files\Trend Micro
2009-09-05 08:56 . 2009-09-05 08:56 -------- d-----w- c:\program files\ESET
2009-09-05 08:49 . 2009-06-22 10:22 2048 ----a-w- c:\windows\system32\tzres.dll
2009-08-26 19:17 . 2009-08-26 19:17 1 ----a-w- c:\users\Abuse\AppData\Roaming\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-08-25 17:29 . 2009-08-25 17:29 -------- d-----w- c:\windows\LocoRoco 2 - Wave Uninstaller
2009-08-25 17:29 . 2008-02-20 14:50 903680 ----a-w- c:\windows\LocoRoco 2 - Wave.scr
2009-08-25 17:29 . 2008-02-20 14:49 495104 ----a-w- c:\windows\LocoRoco 2 - Wave.exe
2009-08-20 19:26 . 2009-06-04 12:34 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-08-20 19:26 . 2009-06-10 12:07 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-08-20 19:26 . 2009-06-10 12:12 160256 ----a-w- c:\windows\system32\wkssvc.dll
2009-08-20 19:26 . 2009-06-15 15:21 499712 ----a-w- c:\windows\system32\kerberos.dll
2009-08-20 19:26 . 2009-06-15 15:24 175104 ----a-w- c:\windows\system32\wdigest.dll
2009-08-20 19:26 . 2009-06-15 15:22 213504 ----a-w- c:\windows\system32\msv1_0.dll
2009-08-20 19:26 . 2009-06-15 15:24 270848 ----a-w- c:\windows\system32\schannel.dll
2009-08-20 19:26 . 2009-06-15 15:23 1256448 ----a-w- c:\windows\system32\lsasrv.dll
2009-08-20 19:26 . 2009-06-15 18:20 439896 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-08-20 19:26 . 2009-06-15 15:24 72704 ----a-w- c:\windows\system32\secur32.dll
2009-08-20 19:26 . 2009-06-15 12:57 9728 ----a-w- c:\windows\system32\lsass.exe
2009-08-20 19:26 . 2009-07-17 14:35 71680 ----a-w- c:\windows\system32\atl.dll
2009-08-20 19:21 . 2009-07-14 13:00 313344 ----a-w- c:\windows\system32\wmpdxm.dll
2009-08-20 19:21 . 2009-07-14 12:58 7680 ----a-w- c:\windows\system32\spwmp.dll
2009-08-20 19:21 . 2009-07-14 12:59 4096 ----a-w- c:\windows\system32\dxmasf.dll
2009-08-20 19:21 . 2009-07-14 10:59 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2009-08-20 19:15 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-20 19:03 . 2009-08-20 19:50 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2009-08-20 19:03 . 2009-08-21 15:04 -------- d-----w- c:\program files\Spybot - Search & Destroy

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-05 17:19 . 2007-10-22 13:40 836 ----a-w- c:\windows\bthservsdp.dat
2009-08-26 19:17 . 2008-09-11 08:50 -------- d-----w- c:\users\Abuse\AppData\Roaming\OpenOffice.org2
2009-08-20 18:35 . 2006-11-02 15:48 618442 ----a-w- c:\windows\system32\perfh007.dat
2009-08-20 18:35 . 2006-11-02 15:48 122648 ----a-w- c:\windows\system32\perfc007.dat
2009-08-17 18:41 . 2008-11-05 15:15 101520 ----a-w- c:\users\Moni\AppData\Roaming\nvModes.dat
2009-07-28 18:37 . 2009-07-28 18:36 -------- d-----w- c:\program files\iTunes
2009-07-28 18:37 . 2009-07-28 18:37 -------- d-----w- c:\program files\iPod
2009-07-28 18:37 . 2008-12-22 10:31 -------- d-----w- c:\program files\Common Files\Apple
2009-07-18 16:06 . 2009-07-28 18:42 827904 ----a-w- c:\windows\system32\wininet.dll
2009-07-18 16:01 . 2009-07-28 18:42 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-07-18 09:46 . 2009-07-28 18:42 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2009-07-09 09:39 . 2008-06-27 11:18 680 ----a-w- c:\users\Moni\AppData\Local\d3d9caps.dat
2009-06-15 15:24 . 2009-07-28 18:42 156672 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 15:20 . 2009-07-28 18:42 72704 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 15:20 . 2009-07-28 18:42 10240 ----a-w- c:\windows\system32\dciman32.dll
2009-06-15 12:52 . 2009-07-28 18:42 289792 ----a-w- c:\windows\system32\atmfd.dll
2009-01-27 01:34 . 2009-01-27 01:34 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-01-27 01:34 . 2009-01-27 01:34 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2007-07-11 03:18 . 2007-07-11 03:18 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2007-07-02 159744]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-10-04 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8497696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-10-04 81920]
"NVHotkey"="c:\windows\system32\nvHotkey.dll" [2007-10-04 86016]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-07-13 292128]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]

c:\users\Abuse\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:2cd04cc576

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3702560507-3363755260-1649499183-1000]
"EnableNotifications"=dword:00000001
"EnableNotificationsRef"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3702560507-3363755260-1649499183-1001]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{5DC1D45C-FEC8-4873-9469-F6957698410F}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{1EEFCD04-1627-4A19-A873-FD6E888A24B6}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"TCP Query User{4973C214-FD93-4125-84DC-CD394E772BA7}c:\\program files\\dbox_ifa\\dbox_ifa.exe"= UDP:c:\program files\dbox_ifa\dbox_ifa.exe:Dbox Image Flashing Assistent
"UDP Query User{3EF69F8F-E511-4734-9B83-2A5F3B3E3678}c:\\program files\\dbox_ifa\\dbox_ifa.exe"= TCP:c:\program files\dbox_ifa\dbox_ifa.exe:Dbox Image Flashing Assistent
"TCP Query User{9ADD2EC3-1DF1-4FD9-80B1-1FFA94787EF1}c:\\program files\\dboxboot\\dbox_boot.exe"= UDP:c:\program files\dboxboot\dbox_boot.exe:DBox II Boot-Manager
"UDP Query User{13186922-2B06-4354-9734-E72A020F952D}c:\\program files\\dboxboot\\dbox_boot.exe"= TCP:c:\program files\dboxboot\dbox_boot.exe:DBox II Boot-Manager
"TCP Query User{53FD6DB0-A2A6-49C0-9795-A76C5135285B}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{EAB26E38-4A6A-4C14-A8FF-4A31112DDE11}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox
"{2355EE20-E155-4A25-A3A4-98520FD5A2CD}"= UDP:6129:DameWare Mini Remote Control Service
"TCP Query User{9D79F8D7-BC3A-48C1-B6D9-29F65A5E0D4B}c:\\users\\moni\\temp\\teamviewer\\version4\\teamviewer.exe"= UDP:c:\users\moni\temp\teamviewer\version4\teamviewer.exe:teamviewer.exe
"UDP Query User{A1B6E634-C89E-41A0-A182-84244F7143F1}c:\\users\\moni\\temp\\teamviewer\\version4\\teamviewer.exe"= TCP:c:\users\moni\temp\teamviewer\version4\teamviewer.exe:teamviewer.exe
"{7FA617E4-870B-48CC-AF87-C15E59F20DDC}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{079799C7-EE7C-4A61-AB99-93B0523FFC59}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{25F57187-7C60-4AAF-9C0A-67FE5AA1E09D}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{19F2C27F-8CE2-4B90-AD01-4E74BA2F946F}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes

R0 pavboot;pavboot;c:\windows\System32\drivers\pavboot.sys [05.09.2009 11:33 28544]
R1 dwvkbd;DameWare Virtual Keyboard 32 bit Driver;c:\windows\System32\drivers\dwvkbd.sys [15.02.2007 19:00 26624]
R1 ehdrv;ehdrv;c:\windows\System32\drivers\ehdrv.sys [06.02.2009 14:23 106208]
R2 acedrv11;acedrv11;c:\windows\System32\drivers\ACEDRV11.sys [30.07.2008 07:51 277736]
R2 DBService;DATA BECKER Update Service;c:\program files\Common Files\DATA BECKER Shared\DBService.exe [31.07.2008 10:14 187456]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [06.02.2009 14:23 727720]
R2 epfwwfpr;epfwwfpr;c:\windows\System32\drivers\epfwwfpr.sys [06.02.2009 14:24 92800]
R3 b57nd60x;%SvcDispName%;c:\windows\System32\drivers\b57nd60x.sys [22.10.2008 09:10 179712]
R3 DwMirror;DwMirror;c:\windows\System32\drivers\DamewareMini.sys [07.02.2007 19:00 3712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]
%SystemRoot%\system32\soundschemes.exe /AddRegistration
.
Inhalt des "geplante Tasks" Ordners

2009-09-05 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-29 07:58]

2009-09-05 c:\windows\Tasks\User_Feed_Synchronization-{C0982906-270C-4E6E-B4C6-939D82F41944}.job
- c:\windows\system32\msfeedssync.exe [2008-10-22 07:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://192.168.178.25/LiveTV.htm
IE: View EXIF - c:\viewexif\EXIF.htm
FF - ProfilePath - c:\users\Moni\AppData\Roaming\Mozilla\Firefox\Profiles\17d6x1as.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll
FF - plugin: c:\users\Moni\AppData\Roaming\Mozilla\Firefox\Profiles\17d6x1as.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-05 19:21
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\audiodg.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\rundll32.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\DellTPad\hidfind.exe
c:\windows\System32\rundll32.exe
c:\program files\DellTPad\ApntEx.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-05 19:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-05 17:28

Vor Suchlauf: 6.229.704.704 Bytes frei
Nach Suchlauf: 5.823.856.640 Bytes frei

213 --- E O F --- 2009-09-05 08:50

Alt 05.09.2009, 18:39   #9
john.doe
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!



Solange ich das Skript bastel, kannst du schonmal scannen.

1.) http://www.trojaner-board.de/51187-a...i-malware.html (Vorher updaten, Quickscan reicht)

2.) http://www.trojaner-board.de/51871-a...tispyware.html

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

4.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.09.2009, 19:11   #10
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!



maleware findet mit quickscan nix mehr
Zitat:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2744
Windows 6.0.6001 Service Pack 1

05.09.2009 19:51:28
mbam-log-2009-09-05 (19-51-28).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 82407
Laufzeit: 8 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
SuperAS läuft noch...
soll ich danach noch kos laufen lassen?

Alt 05.09.2009, 19:12   #11
john.doe
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!



Ja, immer weiter.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.09.2009, 19:26   #12
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!





Alles drei was mit data becker. Soll ich das mal deinstalliren?

super läuft immer noch :-)

Alt 05.09.2009, 19:30   #13
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!



superAS ist durch und hat nur 3 cookies gefunden.

Zitat:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/05/2009 at 08:29 PM

Application Version : 4.27.1002

Core Rules Database Version : 4086
Trace Rules Database Version: 2026

Scan type : Quick Scan
Total Scan Time : 00:34:42

Memory items scanned : 602
Memory threats detected : 0
Registry items scanned : 416
Registry threats detected : 0
File items scanned : 23514
File threats detected : 3

Adware.Tracking Cookie
C:\Users\Abuse\AppData\Roaming\Microsoft\Windows\Cookies\abuse@euros4click[1].txt
C:\Users\Abuse\AppData\Roaming\Microsoft\Windows\Cookies\abuse@webmasterplan[2].txt
C:\Users\Abuse\AppData\Roaming\Microsoft\Windows\Cookies\abuse@www.etracker[1].txt

Alt 05.09.2009, 19:32   #14
john.doe
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!



SASW ist schnell, KOS wird am Längsten brauchen.
Zitat:
Alles drei was mit data becker. Soll ich das mal deinstalliren?
Ich würde auf Falschmeldung tippen, allerdings sind mir Programme von Data Becker sowieso ein Dorn im Auge.

Lade die erste Datei, die Prevx anmault, bitte bei uns hoch. => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2).

Falls du das Programm sowieso nicht brauchst, dann deinstalliere es.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.09.2009, 19:40   #15
moni81
 
Rootkit.TDSS werde ich nicht los! - Standard

Rootkit.TDSS werde ich nicht los!



Datei kann nicht hochgeladen werden.... meckert das Board?

Habs mal bei virustotal hochgeladen
http://www.virustotal.com/de/analisis/490b8f2db7698c3eac228c367780aa7cdacb8be47dd873b1fc6211945fcf31c2-1252175888

Antwort

Themen zu Rootkit.TDSS werde ich nicht los!
adobe, antivirus, becker, bho, dateien, defender, dll, eset nod32, explorer, hijackthis, internet, internet explorer, log, logfile, malwarebytes, malwarebytes' anti-malware, micro, microsoft, neustart, pdf, registrierungsschlüssel, registry, remote control, rootkit.tdss, rundll, server, software, system, tuneup.defrag, virus, vista, wmp



Ähnliche Themen: Rootkit.TDSS werde ich nicht los!


  1. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  2. SkyNetBDA_AMD64 (Rootkit.TDSS)
    Log-Analyse und Auswertung - 19.07.2012 (6)
  3. Problem mit Rootkit BOO/TDss.O
    Log-Analyse und Auswertung - 06.05.2012 (8)
  4. rootkit tdss.d lässt sich nicht entfernen
    Log-Analyse und Auswertung - 27.10.2011 (60)
  5. Rootkit BOO/TDss.D Bekomme ich nicht mehr weg HELP
    Log-Analyse und Auswertung - 15.09.2011 (37)
  6. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  7. rootkit.win32.tdss.d lässt sich nicht löschen oder desinfizieren!
    Plagegeister aller Art und deren Bekämpfung - 21.08.2010 (43)
  8. Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss
    Log-Analyse und Auswertung - 20.07.2010 (119)
  9. HILFE! Rootkit.win32.tdss.d kann nicht gelöscht werden und friert alles ein!
    Plagegeister aller Art und deren Bekämpfung - 01.06.2010 (1)
  10. Rootkit.Win32.TDSS.d lässt sich nicht entfernen!
    Plagegeister aller Art und deren Bekämpfung - 12.05.2010 (15)
  11. Nach Rootkit-Entfernung (TDSS) aus atapi.sys startet der Rechner nicht (Bluescreen)
    Plagegeister aller Art und deren Bekämpfung - 10.05.2010 (17)
  12. Rootkit.Win32.TDSS.d - Komme nicht mehr weiter
    Plagegeister aller Art und deren Bekämpfung - 24.04.2010 (1)
  13. Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen !
    Plagegeister aller Art und deren Bekämpfung - 12.04.2010 (5)
  14. Rootkit.TDSS kbiwkmbk...
    Plagegeister aller Art und deren Bekämpfung - 21.09.2009 (13)
  15. Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY
    Log-Analyse und Auswertung - 21.12.2008 (28)

Zum Thema Rootkit.TDSS werde ich nicht los! - Hallo, habe mir ein Virus eingefangen. Die meisten schädlichen Datein hat mir bereits Malewarebytes und NOD entfernt. Aber eine Meldung in der Registry kommt immer wieder. Malewarebyte log: Zitat: Malwarebytes' - Rootkit.TDSS werde ich nicht los!...
Archiv
Du betrachtest: Rootkit.TDSS werde ich nicht los! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.