| |
| |||||||
Log-Analyse und Auswertung: Ständig neue Browserfenster und CPU-Auslastung bei 100%Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
09.12.2009, 13:41
| #16 |
  |  Ständig neue Browserfenster und CPU-Auslastung bei 100% Hi, ja, auch in einem anderen Fall hat Dr. Web/Cureit Erfolg gegen TDSS gehabt. Poste auf jeden Fall das Log von Dr. Web und ein neues GMER log (Rootkitscann). Falls Dr. Web es nicht schafft, machen wir es "händisch"... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
09.12.2009, 19:31
| #17 |
 | Ständig neue Browserfenster und CPU-Auslastung bei 100% Hallo,
__________________der Scan mit DrWeb lief ewig aber das Log sieht doch vielversprechend aus. Code:
ATTFilter Speichervorgang: C:\Dokumente und Einstellungen\gogoli\Desktop\drweb-cureit.exe:276;;BackDoor.Tdss.565;Beseitigt.;
ComboFix.exe\32788R22FWJFW\FIND3M.bat;C:\Dokumente und Einstellungen\gogoli\Desktop\ComboFix.exe;Wahrscheinlich BATCH.Virus;;
ComboFix.exe\32788R22FWJFW\List-C.bat;C:\Dokumente und Einstellungen\gogoli\Desktop\ComboFix.exe;Wahrscheinlich BATCH.Virus;;
ComboFix.exe;C:\Dokumente und Einstellungen\gogoli\Desktop;Archiv enthält infizierte Objekte;Verschoben.;
baureg.exe;C:\Programme\MEINHAUSPLANER\PROG\CADAVA;BackDoor.Bifrost.origin;Nicht desinfizierbar.Verschoben.;
A0071113.bat;C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP370;Wahrscheinlich BATCH.Virus;;
A0071125.bat;C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP370;Wahrscheinlich BATCH.Virus;;
A0071201.bat;C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP370;Wahrscheinlich BATCH.Virus;;
A0071243.bat;C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP370;Wahrscheinlich BATCH.Virus;;
iaStor.sys;C:\WINDOWS\system32\drivers;BackDoor.Tdss.565;Desinfiziert.;
|
|
09.12.2009, 20:50
| #18 |
| | Ständig neue Browserfenster und CPU-Auslastung bei 100% Hi,
__________________wenn das wirklich zutrifft: C:\Programme\MEINHAUSPLANER\PROG\CADAVA;BackDoor.Bifrost.origin; dann solltest Du Neuaufsetzen... Hast Du das Programm gekauft oder ist das eine gecrackte Version? chris Ps.: Du solltest zwischen dem Dr.Web-Lauf und GMER u. U. mindestens einmal booten...
__________________ |
|
09.12.2009, 22:58
| #19 |
| | Ständig neue Browserfenster und CPU-Auslastung bei 100% Der Hausplaner ist gratis. Wäre ja der Hammer, wenn die Schadsoftware darin verpacken würden. Habe das direkt von deren Seite geladen. War mir aber zu murksig, ich habe es nie richtig benutzt und nun wieder deinstalliert. |
|
10.12.2009, 08:58
| #20 |
| | Ständig neue Browserfenster und CPU-Auslastung bei 100% Hi, Poste bitte das GMER-Log... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
10.12.2009, 09:39
| #21 |
| | Ständig neue Browserfenster und CPU-Auslastung bei 100% Hallo, hier ist das GMER-Log. Bis auf die Zeile mit iaStor.sys gleicht es wohl dem ersten. Es geht aber wirklich kein einziges ungebetenes Fenster mehr auf. Wobei ich auch nie herausfinden konnte, was der Auslöser war. Es war aber teilweise so, dass sich Fenster geöffnet haben, während ich in das Google-Suchfeld etwas eingetippt habe, aller zwei drei Buchstaben war es soweit. Deshalb dachte ich erst, es wäre ein javascript-Problem. Code:
ATTFilter GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-12-10 01:01:38
Windows 5.1.2600 Service Pack 3
Running: d0hcrddt.exe; Driver: C:\DOKUME~1\gogoli\LOKALE~1\Temp\uxtdqpow.sys
---- System - GMER 1.0.15 ----
SSDT 9AFE396E ZwCreateKey
SSDT 9AFE3964 ZwCreateThread
SSDT 9AFE3973 ZwDeleteKey
SSDT 9AFE397D ZwDeleteValueKey
SSDT 9AFE3982 ZwLoadKey
SSDT 9AFE3950 ZwOpenProcess
SSDT 9AFE3955 ZwOpenThread
SSDT 9AFE398C ZwReplaceKey
SSDT 9AFE3987 ZwRestoreKey
SSDT 9AFE3978 ZwSetValueKey
SSDT 9AFE395F ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xF5C4DEBF]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!GetSysColor 7E368E78 5 Bytes JMP 00418ED0 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!GetSysColorBrush 7E368EAB 5 Bytes JMP 00418F40 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 00418DC0 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!GetScrollInfo 7E37DFE2 7 Bytes JMP 00418D10 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!ShowScrollBar 7E37F2F2 5 Bytes JMP 00418E90 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!GetScrollPos 7E37F704 5 Bytes JMP 00418D50 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!SetScrollPos 7E37F750 5 Bytes JMP 00418E00 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!GetScrollRange 7E37F787 5 Bytes JMP 00418D80 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!SetScrollRange 7E37F99B 5 Bytes JMP 00418E40 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[1700] USER32.dll!EnableScrollBar 7E3B8005 7 Bytes JMP 00418CD0 C:\WINDOWS\SMINST\Scheduler.exe
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\ControlSet001\Services\tdssserv@start 1
Reg HKLM\SYSTEM\ControlSet001\Services\tdssserv@type 1
Reg HKLM\SYSTEM\ControlSet001\Services\tdssserv@imagepath \systemroot\system32\drivers\tdssserv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\tdssserv@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\tdssserv@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\tdssserv@imagepath \systemroot\system32\drivers\tdssserv.sys
Reg HKLM\SOFTWARE\Classes\CLSID\{90C9B227-00E9-ED2B-D8335C00663422E2}\{BA143829-6513-6AB3-17B76E63BBBF825B}\{B7811D8F-B091-6828-D848878685722533}
Reg HKLM\SOFTWARE\Classes\CLSID\{90C9B227-00E9-ED2B-D8335C00663422E2}\{BA143829-6513-6AB3-17B76E63BBBF825B}\{B7811D8F-B091-6828-D848878685722533}@LBML3FZBDBDV3BUIEQZJ1CU1HB1 0x01 0x00 0x01 0x00 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AB53ABC9-60C7-8B2C-A2AB126EB1F03A59}\{6511FF0A-0202-CA71-9BBA47A5377501DE}\{CE12CB05-B8C7-0E6B-6DC342F04A20B600}
Reg HKLM\SOFTWARE\Classes\CLSID\{AB53ABC9-60C7-8B2C-A2AB126EB1F03A59}\{6511FF0A-0202-CA71-9BBA47A5377501DE}\{CE12CB05-B8C7-0E6B-6DC342F04A20B600}@LBML3FZBDBDV3BUIEQZJ1CU1HB1 0x01 0x00 0x01 0x00 ...
---- EOF - GMER 1.0.15 ----
|
|
10.12.2009, 11:27
| #22 |
| | Ständig neue Browserfenster und CPU-Auslastung bei 100% Hi, sieht gut aus. Die iaStor.sys war verseucht und wurde bereinigt. Es sind noch die Regeinträge vom TDSS da, sollte aber nichts machen. Code:
ATTFilter HKLM\SYSTEM\ControlSet001\Services\tdssserv@start 1
HKLM\SYSTEM\ControlSet001\Services\tdssserv@type 1
HKLM\SYSTEM\ControlSet001\Services\tdssserv@imagepath \systemroot\system32\drivers\tdssserv.sys
HKLM\SYSTEM\ControlSet002\Services\tdssserv@start 1
HKLM\SYSTEM\ControlSet002\Services\tdssserv@type 1
HKLM\SYSTEM\ControlSet002\Services\tdssserv@imagepath
chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
10.12.2009, 12:40
| #23 |
| | Ständig neue Browserfenster und CPU-Auslastung bei 100% Hallo, du meinst also, alles wäre wieder o.K.? Wäre ja prima. Ich würde die Schlüssel gern löschen, aber es klappt nicht. Löschen und bearbeiten ist nicht möglich. "Nicht alle angegebenen Werte können gelöscht werden". Unter "Berechtigungen" ist bei den beiden Schlüsseln übrigens alles blank. Ich habe mal in der Registrierung nach anderen Schlüsseln mit "tdssserv" gesucht und folgendes gefunden. Ist das noch irgendwie von Belang? HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\tdssserv.sys HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\tdssserv.sys HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV Vielen Dank |
|
10.12.2009, 16:18
| #24 |
| | Ständig neue Browserfenster und CPU-Auslastung bei 100% Hi, können auch raus, damit stellt der Rootkit sicher, dass er auch im Safemode läuft und nicht ausgehebelt werden kann... Intressehabler, MAM updaten und noch mal laufen lassen ... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
11.12.2009, 12:09
| #25 |
| | Ständig neue Browserfenster und CPU-Auslastung bei 100% Hallo, habe die Schlüssel noch rausbekommen. MAM hat nichts gefunden. Dann hoffe ich mal, der Albtraum ist damit vorbei. Vielen Dank für die Hilfe. |
|
| Themen zu Ständig neue Browserfenster und CPU-Auslastung bei 100% |
| 100%, adobe, antivir, antivir guard, avira, bho, desktop, excel, explorer, firefox, google, gupdate, helper, hijack, hkus\s-1-5-18, hängen, hängt, internet, internet explorer, launch, mozilla, nicht sicher, object, plug-in, prozess, registrierungsschlüssel, rundll, security, software, system, windows xp |
Linear-Darstellung
